Connect with us
speciale truffe online

segnalaci un sito truffa

Notizie

Smart Card: il pericolo proviene dal lettore non certificato

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Milioni di dipendenti e appaltatori del governo degli Stati Uniti hanno ricevuto una carta d’identità intelligente e sicura che consente l’accesso fisico agli edifici e agli spazi controllati e l’accesso alle reti e ai sistemi informatici governativi al livello di sicurezza appropriato per il titolare della carta. Ma molti dipendenti statali non dispongono di un dispositivo di lettura approvato che consenta loro di utilizzare queste carte a casa o in remoto, e quindi si rivolgono a lettori a basso costo che trovano online.

Cosa potrebbe andare storto? Ecco un esempio.

KrebsOnSecurity ha recentemente sentito un lettore che chiameremo “Mark” perché non è stato autorizzato a parlare con la stampa che lavora nell’IT per un importante appaltatore governativo della difesa e gli è stata rilasciata una smart card governativa PIV (Personal Identity Verification) progettata per i dipendenti civili. Non avendo un lettore di smart card a casa e non avendo ricevuto indicazioni evidenti dai suoi colleghi su come procurarsene uno, Mark ha optato per l’acquisto di un lettore da 15 dollari su Amazon che diceva di essere fatto per gestire le smart card governative degli Stati Uniti.

Il dispositivo USB scelto da Mark è il primo risultato che compare attualmente quando si cerca su Amazon.com lettore di carte PIV“. Il lettore di carte acquistato da Mark è stato venduto da un’azienda chiamata Saicoo, il cui annuncio sponsorizzato su Amazon pubblicizza un “DOD Military USB Common Access Card (CAC) Reader” e ha più di 11.700 valutazioni per lo più positive.

La Common Access Card (CAC) è l’identificazione standard per il personale in servizio attivo in uniforme, la riserva selezionata, i dipendenti civili del Dipartimento della Difesa e il personale appaltatore idoneo. È la tessera principale utilizzata per consentire l’accesso fisico agli edifici e agli spazi controllati e fornisce l’accesso alle reti e ai sistemi informatici del Dipartimento della Difesa.

Mark ha riferito che quando ha ricevuto il lettore e lo ha collegato al suo PC Windows 10, il sistema operativo si è lamentato che i driver hardware del dispositivo non funzionavano correttamente. Windows ha suggerito di consultare il sito Web del fornitore per ottenere driver più recenti.

Mark si è quindi recato sul sito Web indicato sulla confezione di Saicoo e ha trovato un file ZIP contenente i driver per Linux, Mac OS e Windows:

Per eccesso di prudenza, Mark ha inviato il file dei driver di Saicoo a Virustotal.com, che analizza simultaneamente qualsiasi file condiviso con oltre cinque dozzine di prodotti antivirus e di sicurezza.

Virustotal ha riportato che circa 43 diversi strumenti di sicurezza hanno rilevato i driver Saicoo come dannosi.

Sembra che il file ZIP contenga una minaccia malware nota come Ramnit, un cavallo di Troia abbastanza comune ma pericoloso che si diffonde aggiungendosi ad altri file.

Ramnit è una minaccia ben nota e di vecchia data, emersa per la prima volta più di dieci anni fa, ma si è evoluta nel corso degli anni e viene ancora impiegata in attacchi di esfiltrazione dei dati più sofisticati. Amazon ha dichiarato in una dichiarazione scritta che sta indagando sulle segnalazioni.

Sembra un rischio potenzialmente significativo per la sicurezza nazionale, considerando che molti utenti finali potrebbero avere livelli di autorizzazione elevati e utilizzare le carte PIV per l’accesso sicuro“, ha dichiarato Mark.

Mark ha raccontato di aver contattato Saicoo in merito al fatto che il loro sito web presentava malware e di aver ricevuto una risposta in cui si diceva che l’hardware più recente dell’azienda non richiedeva alcun driver aggiuntivo. Ha detto che Saicoo non ha risposto alle sue preoccupazioni riguardo al fatto che il pacchetto di driver sul suo sito web fosse un pacchetto di malware.

In risposta alla richiesta di commento di KrebsOnSecurity, Saicoo ha inviato una risposta un po’ meno rassicurante.

Dai dettagli che ci ha fornito, il problema potrebbe essere causato dal sistema di difesa della sicurezza del suo computer, in quanto sembra che non riconosca il nostro driver usato raramente e lo rilevi come dannoso o un virus“, ha scritto il team di supporto di Saicoo in un’e-mail.

In realtà, non contiene alcun virus, come potete fidarvi di noi; se avete il nostro lettore a portata di mano, ignoratelo e proseguite con l’installazione“, continua il messaggio. “Una volta installato il driver, questo messaggio sparirà dalla circolazione. Non preoccupatevi“.

La risposta di Saicoo a KrebsOnSecurity.

Il problema dei driver apparentemente infetti di Saicoo potrebbe essere poco più di un caso di azienda tecnologica che ha subito un attacco al proprio sito e ha risposto male. Will Dormann, analista di vulnerabilità presso il CERT/CC, ha scritto su Twitter che i file eseguibili (.exe) nel file ZIP dei driver Saicoo non sono stati alterati dal malware Ramnit, ma solo i file HTML inclusi.

Dormann ha detto che è già abbastanza grave che la ricerca di driver di dispositivi online sia una delle attività più rischiose che si possano intraprendere online.

Fare una ricerca di driver sul Web è una ricerca MOLTO pericolosa (in termini di rapporto tra risultati legittimi e dannosi) da eseguire, in base ai risultati di tutte le volte che ho provato a farlo“, ha aggiunto Dormann. “Se a questo si aggiunge l’apparente due diligence del fornitore qui descritta, il quadro non è dei migliori“.

Ma a detta di tutti, la superficie di attacco potenziale in questo caso è enorme, poiché molti dipendenti federali chiaramente acquisteranno questi lettori da una miriade di venditori online quando se ne presenterà la necessità. Gli elenchi dei prodotti di Saicoo, ad esempio, sono pieni di commenti di clienti che dichiarano di lavorare in un’agenzia federale (e molti hanno segnalato problemi nell’installazione dei driver).

Un thread sull’esperienza di Mark su Twitter ha generato una forte risposta da parte di alcuni dei miei follower, molti dei quali, a quanto pare, lavorano in qualche modo per il governo degli Stati Uniti e possiedono carte CAC o PIV emesse dal governo.

Da questa conversazione sono emerse chiaramente due cose. La prima è stata la confusione generale sul fatto che il governo degli Stati Uniti abbia una sorta di lista di fornitori approvati. Invece ce l’ha. La General Services Administration (GSA), l’agenzia che gestisce gli acquisti per le agenzie federali civili, mantiene un elenco di fornitori di lettori di schede approvati all’indirizzo idmanagement.gov (Saicoo non fa parte di questo elenco).

L’altro tema che ha attraversato la discussione su Twitter è stata la realtà che molte persone trovano più conveniente acquistare i lettori disponibili sul mercato piuttosto che seguire il processo di approvvigionamento ufficiale della GSA, sia perché non ne hanno mai ricevuto uno, sia perché il lettore che stavano usando non funziona più o è stato perso e ne hanno bisogno rapidamente.

Quasi tutti gli ufficiali e i sottufficiali della componente di riserva che conosco hanno un lettore CAC che hanno comprato perché dovevano accedere alla loro posta elettronica del Dipartimento della Difesa a casa e non hanno mai ricevuto un computer portatile o un lettore CAC“, ha detto David Dixon, un veterano dell’esercito e autore che vive nella Virginia settentrionale. “Quando il tuo capo ti dice di controllare la tua e-mail a casa e tu sei nella Guardia Nazionale e vivi a due ore dalla più vicina [installazione di rete militare non classificata], cosa pensi che succederà?“.

È interessante notare che chiunque chieda su Twitter come orientarsi nell’acquisto del giusto lettore di smart card e come farlo funzionare correttamente viene invariabilmente indirizzato verso militarycac.com. Il sito è gestito da Michael Danberry, un veterano dell’esercito decorato e in pensione che ha lanciato il sito nel 2008 (il suo design ricco di testi e link riporta molto indietro nel tempo, all’epoca di Internet e delle pagine web in generale). Il suo sito è stato persino raccomandato ufficialmente dall’esercito (PDF). Mark ha condiviso le e-mail che mostrano come Saicoo stesso raccomandi militarycac.com.

La Riserva dell’Esercito ha iniziato a utilizzare il login CAC nel maggio 2006“, ha scritto Danberry nella sua pagina “About”. “Sono diventato il ‘go to guy‘ per il mio Centro della Riserva dell’Esercito e per il Minnesota. Ho pensato: perché fermarsi lì? Potrei usare il mio sito web e la mia conoscenza del CAC e condividerla con voi”.

Danberry non ha risposto alle richieste di intervista, senza dubbio perché è impegnato nell’assistenza tecnica per il governo federale. Il messaggio amichevole sulla segreteria telefonica di Danberry indica ai chiamanti che necessitano di assistenza di lasciare informazioni dettagliate sul problema che hanno con i lettori di carte CAC/PIV.

Dixon ha detto che Danberry ha fatto di più per mantenere l’esercito in funzione e connesso di tutti i G6 [Army Chief Information Officers] messi insieme“.

Per molti versi, Danberry è l’equivalente di quello sviluppatore di software poco conosciuto il cui piccolo progetto di codice open-sourced finisce per essere ampiamente adottato e infine inserito nel tessuto di Internet. Mi chiedo se 15 anni fa avrebbe mai immaginato che il suo sito web sarebbe diventato un giorno “infrastruttura critica” per lo Zio Sam.

Commenti da Facebook

Notizie

SessionManager il malware che crea backdoor da Microsoft Exchange

Condividi questo contenuto

Tempo di lettura: 2 minuti. Secondo Five Eyes, la posta di Microsoft è tra i dieci punti deboli nella sicurezza informatica di larga scala

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Un malware che fornisce una backdoor ai server Microsoft Exchange è stato utilizzato in attacchi a server governativi e organizzazioni militari in Europa, Medio Oriente, Asia e Africa. I ricercatori di sicurezza affermano che il malware è difficile da rintracciare, il che rende problematica la sua rimozione.

Il malware, denominato SessionManager, è un modulo di codice maligno per il software del server web Internet Information Services (IIS) di Microsoft, che fa parte dei sistemi Exchange.

Che cos’è il malware Microsoft Exchange SessionManager?

Una volta installato su un server Microsoft Exchange, SessionManager consente un’ampia gamma di attività dannose, come ottenere l’accesso alle e-mail, prendere il controllo di sistemi secondari e distribuire altro malware, secondo un rapporto della società di sicurezza Kaspersky. La backdoor consente un “accesso persistente, resistente agli aggiornamenti e furtivo” all’infrastruttura IT di un’organizzazione informatica.

Session Manager sembra essere difficile da rilevare. Secondo una scansione effettuata dai ricercatori di Kaspersky, il malware è ancora presente nei sistemi del 90% delle aziende che sono state avvisate della sua presenza quando Session Manager è stato scoperto per la prima volta all’inizio dell’anno.

I criminali che utilizzano il malware hanno mostrato un particolare interesse per le ONG e gli enti governativi e hanno compromesso 34 server di 24 organizzazioni di Europa, Medio Oriente, Asia meridionale e Africa, secondo Kaspersky.

Le vulnerabilità dei server Microsoft Exchange sono un grande obiettivo per i criminali

Le vulnerabilità dei server Exchange sono un obiettivo sempre più popolare per gli hacker. Secondo l’alleanza per la sicurezza Five Eyes, i problemi con Exchange hanno rappresentato tre delle dieci vulnerabilità di sicurezza più sfruttate nel 2021. Exchange è stato l’unico sistema a comparire nella top ten più di una volta.

Secondo Kaspersky, un attento monitoraggio dei server è l’unico modo per tenere testa ai criminali informatici. “Nel caso dei server Exchange, non lo sottolineeremo mai abbastanza: le vulnerabilità dell’ultimo anno li hanno resi bersagli perfetti, a prescindere dall’intento malevolo, quindi devono essere attentamente controllati e monitorati per individuare eventuali impianti nascosti, se non lo erano già“, ha dichiarato Pierre Delcher, ricercatore di sicurezza senior del Kaspersky global research and analysis team.

Commenti da Facebook
Prosegui la lettura

Notizie

L’Africa è la nuova patria del crimine informatico. Crescono gli attacchi hacker

Condividi questo contenuto

Tempo di lettura: 2 minuti. Analisi del territorio africano grazie all’attività di Trend Micro

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Trend Micro Incorporated sta aprendo la strada a un approccio collaborativo alla lotta contro la criminalità informatica, a fronte di un aumento del 95% degli attacchi in Sudafrica.

La cronica mancanza di investimenti nelle misure di sicurezza informatica in tutto il continente, unita alla crescente dipendenza dalla tecnologia, ha fatto sì che il numero di attacchi informatici in Africa sia cresciuto in modo significativo nell’ultimo decennio. In effetti, il problema è cresciuto al punto che il Sudafrica è stato segnalato come il terzo paese al mondo per numero di vittime di crimini informatici nel 2021.

Un recente rapporto dell’azienda leader nella sicurezza informatica, Trend Micro, ha mostrato un drastico aumento degli attacchi informatici basati sulle e-mail nel 2021. Avendo bloccato oltre 33,6 milioni di minacce via e-mail nel cloud a livello globale nello stesso periodo, i leader della sicurezza globale hanno condiviso che ciò riflette un aumento del 101% rispetto all’anno precedente.

La mancanza di investimenti nella sicurezza costa alle economie africane miliardi di dollari all’anno. Tuttavia, in Kenya solo il 4% delle aziende ha speso più di 5.000 dollari USA per la sicurezza informatica nel 2019. Un recente studio ha inoltre evidenziato la crescente minaccia in Sudafrica:

  • Il 25% di tutti i crimini informatici nel decennio tra il 2010 e il 2020 si è verificato nel 2020;
  • quasi il 40% di tutti gli attacchi legati a violazioni di dati sono state violazioni di dati; e
  • il 39% ha avuto una motivazione criminale.

Lo stesso rapporto sostiene che questa tendenza alla crescita annuale è destinata a continuare, a meno che le aziende non investano in modo significativo nella sicurezza informatica. Tuttavia, l’Africa ha già attirato l’attenzione dei criminali informatici e negli ultimi mesi ha subito diverse violazioni di alto profilo. Questa vulnerabilità sottolinea ulteriormente la necessità di una collaborazione intersettoriale.

Trend Micro ha recentemente riconosciuto la stessa necessità di collaborazione, investendo in partnership con istituzioni locali e globali per sconfiggere i criminali informatici in Nigeria.

Il piano, denominato Operazione Killer Bee, ha visto Trend Micro collaborare con le forze dell’ordine globali, l’Interpol e la Commissione per i crimini economici e finanziari (EFCC) della Nigeria, per catturare tre sospetti legati a una truffa globale che ha preso di mira le aziende del settore petrolifero e del gas prima di una riunione critica dell’Organizzazione dei Paesi esportatori di petrolio (Opec).

Nigeria arrestato membro Silver Terrier: 50.000 le vittime dei malware

Trend Micro è stata in grado di utilizzare la sua esperienza nella sicurezza informatica per identificare il malware, Agent Tesla, che possiede capacità di furto di informazioni e credenziali, e condividere queste informazioni con i suoi partner. Le informazioni incluse in questo rapporto hanno fornito approfondimenti cruciali sul modus operandi del gruppo e hanno aiutato l’Interpol e l’EFCC a catturare il sospetto.

Il vero successo di questa operazione risiede nella dimostrazione del potere della collaborazione e dell’investimento in partenariati locali nella lotta alla criminalità informatica in Africa.

Commenti da Facebook
Prosegui la lettura

Notizie

Kaspersky scopre ShadowPad in Afghanistan, Malesia e Pakistan

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Entità situate in Afghanistan, Malesia e Pakistan sono nel mirino di una campagna di attacco che prende di mira server Microsoft Exchange non patchati come vettore di accesso iniziale per distribuire il malware ShadowPad.

La società russa di cybersicurezza Kaspersky, che ha rilevato per la prima volta l’attività a metà ottobre 2021, l’ha attribuita a un attore di minacce di lingua cinese precedentemente sconosciuto. Tra gli obiettivi ci sono organizzazioni dei settori delle telecomunicazioni, della produzione e dei trasporti.

Durante gli attacchi iniziali, il gruppo ha sfruttato una vulnerabilità di MS Exchange per distribuire il malware ShadowPad e si è infiltrato nei sistemi di automazione degli edifici di una delle vittime“, ha dichiarato la società. “Prendendo il controllo di questi sistemi, l’aggressore può raggiungere altri sistemi ancora più sensibili dell’organizzazione attaccata“.

ShadowPad, emerso nel 2015 come successore di PlugX, è una piattaforma di malware modulare venduta privatamente che è stata utilizzata da molti attori dello spionaggio cinese nel corso degli anni.

Sebbene il suo design consenta agli utenti di implementare da remoto plugin aggiuntivi che possono estendere le sue funzionalità oltre la raccolta di dati nascosti, ciò che rende ShadowPad pericoloso sono le tecniche anti-forensi e anti-analitiche incorporate nel malware.

Durante gli attacchi dell’attore osservato, la backdoor ShadowPad è stata scaricata sui computer attaccati sotto le sembianze di un software legittimo“, ha dichiarato Kaspersky. “In molti casi, il gruppo di attacco ha sfruttato una vulnerabilità nota in MS Exchange e ha inserito i comandi manualmente, indicando la natura altamente mirata delle loro campagne“.

Le prove suggeriscono che le intrusioni messe in atto dall’avversario sono iniziate nel marzo 2021, proprio nel periodo in cui le vulnerabilità ProxyLogon dei server Exchange sono diventate di dominio pubblico. Alcuni degli obiettivi sarebbero stati violati sfruttando CVE-2021-26855, una vulnerabilità SSRF (server-side request forgery) del server di posta.

Oltre a distribuire ShadowPad come “mscoree.dll“, un componente autentico di Microsoft .NET Framework, gli attacchi hanno coinvolto anche l’uso di Cobalt Strike, una variante di PlugX chiamata THOR e shell web per l’accesso remoto.

Sebbene gli obiettivi finali della campagna rimangano sconosciuti, si ritiene che gli aggressori siano interessati alla raccolta di informazioni a lungo termine.

I sistemi di automazione degli edifici sono obiettivi rari per gli attori delle minacce avanzate“, ha dichiarato Kirill Kruglov, ricercatore ICS CERT di Kaspersky. “Tuttavia, questi sistemi possono essere una fonte preziosa di informazioni altamente riservate e possono fornire agli aggressori una backdoor per altre aree più sicure delle infrastrutture“.

Conosciamo ShadowPad: strumento di attacco nella Guerra Cibernetica Cinese

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie1 giorno fa

Kaspersky scopre ShadowPad in Afghanistan, Malesia e Pakistan

Tempo di lettura: 2 minuti. Condividi questo contenutoEntità situate in Afghanistan, Malesia e Pakistan sono nel mirino di una campagna...

Notizie2 giorni fa

Dopo la Lituania, KillNet attacca la Norvegia

Tempo di lettura: 2 minuti. Il collettivo russo si è postato sull'area baltica

Notizie5 giorni fa

Iran: azienda siderurgica si blocca dopo attacco hacker

Tempo di lettura: 2 minuti. Si sospetta una risposta di Israele all'attacco informatico

Notizie5 giorni fa

Killnet rivendica l’attacco DDOS alla Lituania

Tempo di lettura: 2 minuti. Dopo la presa di posizione di Vilnius su Kaliningrad, era nell'aria che sarebbe arrivata una...

Notizie5 giorni fa

Minaccia Nucleare via mail: Fancy Bear attacca con Follina

Tempo di lettura: 3 minuti. Condividi questo contenutoIl gruppo di minacce persistenti avanzate Fancy Bear è dietro una campagna di...

Notizie6 giorni fa

La Lituania adesso ha paura degli attacchi DDoS russi

Tempo di lettura: < 1 minuto. Fino alla repressione di Kalingrad, il paese non era stato colpito da azioni russe....

Notizie7 giorni fa

HUI Loader: scoperto dopo 7 anni lo spyware di un APT cinese

Tempo di lettura: 2 minuti. Un noto malware di spionaggio sottolinea la minaccia che le aziende straniere devono affrontare da...

Notizie1 settimana fa

Cina: vietate le Tesla perchè possono spiare convegno dei capi di Governo

Tempo di lettura: 2 minuti. Nonostante in Cina siano tutti entusiasti di Tesla, l'esercito non si fida delle telecamere installate...

Notizie1 settimana fa

Apt russi spiano 42 paesi che sostengono Kiev

Tempo di lettura: 2 minuti. Stati Uniti e Polonia le più colpite, salva Estonia L'influenza informatica russa sono efficaci sia...

Notizie1 settimana fa

Università cinese sotto attacco hacker: violate le mail

Tempo di lettura: 3 minuti. Il sistema di posta elettronica di un'università della provincia di Shaanxi, nella Cina nord-occidentale, nota...

Truffe recenti

Truffe online3 giorni fa

Truffa Vinted: colpiti anche i venditori

Tempo di lettura: 2 minuti. Continuano le segnalazioni degli utenti

Truffe online3 giorni fa

Attenzione alla truffa LGBTQ+

Tempo di lettura: 3 minuti. I più esposti? Chi non ha fatto "coming out"

Pesca mirata Pesca mirata
Truffe online6 giorni fa

Attenzione alla truffa online di InBank

Tempo di lettura: < 1 minuto. La segnalazione arriva dalla società italiana di sicurezza informatica TgSoft

Truffe online3 settimane fa

Truffa WhatsApp: attenzione ai messaggi che ci spiano

Tempo di lettura: < 1 minuto. L'allarme proviene dall'Inghilterra

DeFi3 settimane fa

Criptovalute e truffa: Telegram e Meta piattaforme perfette

Tempo di lettura: 5 minuti. Meta non risponde alle richieste dei giornalisti, continua ad avallare truffe e soprusi in silenzio.

Truffe online3 settimane fa

Truffa Axel Arigato: la società risponde a Matrice Digitale

Tempo di lettura: < 1 minuto. "Ci scusiamo con i nostri utenti e provvederemo a risolvere il problema"

scam scam
Truffe online4 settimane fa

Segnalazione truffa non-mi-avrete-mai.net

Tempo di lettura: < 1 minuto. Giungono in redazione le esperienze di utenti truffati in rete.

Truffe online1 mese fa

Attenzione: Axel Arigato Italia è una truffa colossale

Tempo di lettura: 3 minuti. Il marchio non lo sa, ma in Italia truffano promettendo i suoi prodotti

Notizie1 mese fa

Truffa Charlie Brigante: lista aggiornata dei siti da evitare per acquisti online

Tempo di lettura: < 1 minuto. Continuano le segnalazioni di truffe online alla nostra rubrica

Truffe online1 mese fa

Truffa Instagram: come Meta affonda la Polizia Postale

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni sono tantissime le segnalazioni di utenti alla redazione che hanno...

Tendenza