Privacy online: arriva il tracker che nessun (o quasi) antitracker può bloccare

Categories:

Privacy online: arriva il tracker che nessun (o quasi) antitracker può bloccare

Tutti i browser più diffusi, Firefox tra i primi, mettono a disposizione degli utenti alcune funzionalità anti tracciamento che non solo bloccano i cookies, ma anche altre tipologie di tracciamento e profilazione dell’utente. A queste funzionalità si affiancano estensioni specifiche (uBlock Origin è un esempio, così come Privacy Badger ecc..) che permettono un maggior livello di protezione.

Nella vicenda che raccontiamo non c’entra molto il cyber crimine: il contesto in cui si inserisce è quello di una corsa continua tra le agenzie di marketing, che cercano di carpire più informazioni possibili sull’utente che visita un determinato sito web, e gli sviluppatori di software che, al contrario, cercano di ridurre l’invasività (talvolta apertamente contro la legge) delle stesse. Per adesso gli anti tracker esistenti, free o a pagamento, garantiscono buoni risultati e comunque danno la possibilità sia di bloccare completamente le visualizzazioni delle pubblicità e il tracciamento dei cookie o di impostar livelli intermedi di protezione.

La novità però, proprio di questi giorni, è l’utilizzo da parte del sito di news Liberation di un tracker capace di aggirare tutte le forme di protezione fino ad ora esistenti: il tracker, sviluppato dall’agenzia di marketing Eulerian, fa leva sulla distinzione tra cookie dell’editore e cookie di terze parti e si “insinua nella terra di mezzo” tra queste due tipologie di cookie.

I cookie dell’editore sono spesso considerati uno strumento essenziale e indispensabile per il funzionamento di un sito: sono ritenuti uno strumento positivo perchè raccolgono dati sull’esperienza di navigazione del visitatore al solo scopo di migliorare la navigazione stessa. I cookie di terze parti, al contrario, sono uno strumento di monitoraggio della navigazione che aziende terze usano a scopo di lucro o per profilare l’utente e indirizzare pubblicità mirata. Tutte le tecniche di protezione della privacy si basano su questa distinzione: consentono i cookie dell’editore e bloccano quelle di terze parti.

Il tracker usato sul sito Liberation invece aggira la questione: viene creato un sottodominio che, a livello di DNS, viene collegato al principale con un record CNAME. In questa maniera il tracker nasconde la sua vera origine, riuscendo a passare per “tracker dell’editore”. Dal punto di vista tecnico l’espediente funziona perfettamente, ma dal punto di vista normativo, è in aperto conflitto con il GDPR. Il GDPR infatti prevede un consenso esplicito da parte dell’utente per consentire la raccolta di dati secondo queste modalità ed è inutile dire che non è prevista nessuna richiesta di consenso esplicito alla raccolta dati da parte del tracker di Eulerian, ne una tipologia tale di tracker potrebbe prevederne.

C’è un solo modo per adesso…

di bloccare questo tracker. uBlock Origin ha rilasciato una nuova versione dell’estensione capace di bloccare anche questa tipologia di tracker, ma, per adesso, funziona solo su Firefox. Questo perché Firefox è ad ora l’unico browser che, grazie ad alcune API, permette ad una estensione di risolvere i DNS e di individuare quindi questo tracker. Ma le cose potrebbero cambiare presto, visto che, GDPR o meno, sono sempre di più le aziende che usano questa tecnica “furbetta” di tracciamento. da parte dei vari vendor di browser però, si sta già correndo ai ripari.

RevengeHotels: massiva campagna di attacco colpisce alberghi in vari stati (Italia compresa)

Categories:

RevengeHotels: massiva campagna di attacco colpisce alberghi in vari stati (Italia compresa)

Kaspersky ha pubblicato ieri un interessante report riguardante una campagna massiva campagna di attacco contro strutture ricettive (alberghi, ostelli, bed and breakfast) in varie nazioni del mondo. La maggior parte delle infezioni si registrano in Brasile, ma risultano colpite decine di strutture anche in Argentina, Bolivia, Cile, Francia, Messico, Portogallo, Spagna e anche in Italia. Il tracciamento dei link consentito dal servizio di abbreviazione link Bit.ly mostra come vi siano migliaia di click anche da altri paesi: la lista, insomma, è destinata ad allungarsi.

L’attacco mira a infettare i sistemi delle strutture ricettive per sottrarre i dati delle carte di credito di ospiti e viaggiatori, ma anche per rubare le credenziali e i dati finanziari ricevuti da popolari agenzie di viaggio online come Booking.com.

Il vettore di attacco è banale, se paragonato all’efficacia che questa campagna di attacco sta registrando. E’ la classica email di phishing contenete allegati compromessi, solitamente contenenti file dannosi Word, Excel o Pdf. Alcuni di questi eseguono l’exploit della vulnerabilità CVE-2017-0199: l’exploit è eseguito utilizzando script VBS e PowerShell. Se l’exploit ha successo vengono installate versioni riadattate su misura per il tipo di struttura di vari Remote Access trojan (RAT) come RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT. Insomma, se il dipendente al front desk dell’albergo riceve e apre questa email, non fa altro che consentire agli attaccanti di ricavarsi un accesso al sistema, utilizzabile in qualsiasi momento e continuativo nel tempo.

Una analisi approfondita del traffico collegato a questa campagna mostra come, in realtà, siano addirittura due i gruppi attivi, che utilizzano strumenti e infrastrutture separate ma molto simili tra loro: RevengeHotel e ProCC. Non solo: le credenziali rubate dai sistemi infetti sono già state ritrovate in vendita nel dark web.

Le email vettore

In dettaglio, le email vettore sono messaggi di spear-phishing: i mittenti si “travestono” da aziende legittime e realmente esistenti, il testo è scritto correttamente in varie lingue e il corpo messaggi contiene molti molti dettagli, che rafforzano la credibilità della comunicazione stessa.

revengehotels-1

Sopra è visibile una delle email di questa campagna: è una falsa richiesta di prenotazione da parte di uno studio legale realmente esistente, scritta in portoghese. Il dominio di invio dell’email risulta registrato il giorno precedente l’invio della email e emula quello dello studio legale. Il file allegato si chiama “Reserva Advogados Associados.docx” ed è un file Word che contiene una macro dannosa da eseguire. La macro è responsabile del download ed esecuzione del payload finale.

I malware diffusi

I file scaricati nella campagna del gruppo RevengeHotels sono file binari .NET, il cui codice è pesantemente offuscato. Una volta estratti e deoffuscati è stato possibile, per i ricercatori, individuare il malware diffuso, una versione del trojan di accesso remoto RevengeRAT. A questo trojan è stato aggiunto un modulo ulteriore, chiamato ScreenBooking, che è responsabile proprio del furto dei dati delle carte di credito.

Vecchie campagne, molto simili, prevedevano il download di file diversi per due diversi moduli: una backdoor per l’accesso al sistema e un modulo per catturare le schermate. La nuova campagna ha semplicemente raccolto in un unico modulo sia la backdoor, che i moduli per la raccolta dati dagli appunti e dall’acquisizione delle schermate.

L’altro gruppo, ProCC, usa un meccanismo di infezione del tutto simile nelle componenti essenziali, divergente su alcuni dettagli. Ad esempio i file scaricati sono binari Delphi. La backdoor installata è più personalizzata rispetto a quella usata dal primo gruppo: qui i dati della carta di credito sono rubati monitorando gli appunti del sistema e i documenti inviati alle stampanti.

E non è tutto…

Scavano nei vari forum “del mondo sommerso”, i ricercatori hanno scoperto come gli attaccanti cerchino anche di infettare le macchine della reception per individuare le credenziali di accesso dei software di amministrazione della struttura ricettiva: possono così rubare anche altri dati. Non solo: alcuni degli attaccanti non stanno vendendo soltanto i dati rubati, ma anche, direttamente, gli accessi ai sistemi tramite le backdoor installate. Chi acquista gli accessi potrà quindi continuare a rubare dati in autonomia, almeno finchè la backdoor sarà operante.

Dove sono le vittime

In base ai dati telemetrici raccolti e dai dati estratti dalle statistiche di Bit.ly, Kaspersky ha reso una mappa che distribuisce le varie vittime. La mappa subirà sicuramente un aggiornamento, dato che si registrano nuove vittime in nuovi stati.

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti

Categories:

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti

È stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici. Parla di un “incidente” che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell’istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l’Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.

Cosa si sa per adesso

Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca.

Tra le informazioni sottratte si trovano:

nome e cognome
città di residenza
numero di telefono
indirizzo email

Unicredit Bank ha escluso categoricamente la compromissione non solo delle credenziali di accesso all’home banking, ma anche di altri tipi di dettagli finanziari e personali: nessuno dei dati rubati cioè può mettere l’attaccante in condizione di accedere ai conti dei clienti e/o effettuare transazioni non autorizzate.

Non sono state diffuse informazioni sul come sia avvenuto tale attacco, ma anche sul quando Unicredit è parca di dettagli: si può supporre, leggendo la nota sopra menzionata, che l’attacco sia avvenuto proprio nel 2015, quindi che la violazione risalga a 4 anni fa. Ed è verosimile pensarlo anche perchè, anche se non ci sono riscontri ufficiali, alcuni organi di stampa esteri (la notizia è rimbalzata un pò in tutta Europa e non solo) riportano che la scoperta della violazione sia avvenuta proprio in conseguenza del ritrovamento del database in questione nel Dark Web.

Unicredit ha annunciato di aver avviato immediatamente una indagine sull’accaduto, segnalando la violazione alle autorità italiane e al Garante per la Privacy, secondo gli obblighi previsti dal GDPR. Nel frattempo l’Istituto si sta occupando di contattare e avvisare individualmente i clienti riguardanti dal furto dei propri dati, anche tramite notifiche via banking online.

Ci pare corretto però ricordare, sopratutto se si è clienti Unicredit, che ad indagini in corso, è assai arduo, forse eccessivamente avventato, escludere categoricamente che non siano stati trafugati altri dati oltre a quelli indicati sopra e che, comunque, anche i dati il cui furto è stato accertato non sono comunque dati meno importanti o sensibili di altri. Consigliamo, da questo punto di vista, la lettura di questa breve riflessione di Alessandro Papini, presidente di Accademia Italiana Privacy.

I precedenti

Non è la prima volta che Unicredit è vittima di un incidente di questo tipo: i tecnici della banca avevano scoperto due data breach molto simili, avvenuti uno tra Settembre e Ottobre 2016 e l’altro da Giugno e Luglio 2017. I due data breach avevano compromesso la sicurezza dei dati di oltre 400.000 clienti.

Nell’Ottobre 2018 invece sempre Unicredit è stata vittima di un tentativo di intrusione ai servizi di banking online, notificato il giorno dopo al Garante per la Privacy: 731.000 circa i clienti che potevano essere riguardati dalla violazione. I sistemi di sicurezza IT e il team di cyber esperti di Unicredit sventarono il tentativo di intrusione che avrebbe potuto compromettere dati come nome, cognome, codice fiscale, il codice identificativo del cliente e il REB (ovvero un codice identificativo per l’accesso ai servizi bancari). I tecnici di Unicredit bloccarono in quell’occasione 6.856 account, compromessi dall’individuazione del PIN prima che l’intrusione fosse bloccata e gli attaccanti esclusi dalla rete.

Dati i precedenti quindi, Unicredit ha concluso la nota con la quale denuncia il data breach odierno dettagliando le risorse e gli sforzi spesi negli ultimi 3 anni per aumentare la sicurezza dei propri sistemi e dei dati: si parla di oltre 2.4 miliardi di euro investiti in aggiornamento e rafforzamento dei sistemi IT e dell’introduzione di sistemi di autenticazione più sicuri della mera password, come la password usa e getta o l’identificazione biometrica.

Credenziali aziendali in vendita nel Dark Web

Categories:

21 milioni di credenziali aziendali in vendita nel Dark Web

In vari siti e forum nel Dark Web sono sparsi circa 21.000.000 di credenziali (username e password) nella disponibilità di cyber-criminali disposti a pagare alcuni dollari. Sono credenziali riferite a molteplici società e le più colpite risultano essere quelle del settore tecnologico, finanziario, energetico e sanitario, presenti nella lista Fortune 500, che raccoglie le maggiori società americane per fatturato.
Da un report del sito ImmuniWeb si evince che si tratta di informazioni raccolte, sia in chiaro che craccate, in vari attacchi informatici, e non si tratta di dati vecchi visto che oltre 16.000.000 di queste credenziali sono state rubate nell’ultimo anno.

tab1

Dall’analisi effettuata da ImmuniWeb risulta evidente l’inadeguatezza della protezione delle password spesso ridicole e facili da violare, nonostante gli specialisti della sicurezza suggeriscano, ormai da anni, di usarne di “solide”.

tab2

Tra le più facilmente utilizzate troviamo “password” in buona compagnia di “123456”; “000000”; “opensesame” (trad. “apriti sesamo”), ecc. I ricercatori hanno verificato che, nel database, solo 4.900.000 password erano uniche.

Quasi il 40% delle password aveva collegamenti con il nominativo dell’azienda, particolare che rende estremamente facili gli attacchi di brute forcing.
Nello studio viene anche evidenziato che, per i pirati informatici, la prima fonte di approvvigionamento risulta essere il phishing: il numero di pagine di phishing trovate sul web è proporzionale al numero di credenziali rubate.

Detto tutto ciò, le password complesse sono sicure ma per la maggior parte possono essere difficili da ricordare. In questo caso, si può valutare l’utilizzo di un gestore affidabile per le password e, se si dovesse utilizzare qualche applicazione di questo tipo, bisogna assicurarsi che la password principale sia impenetrabile e, molto più importante, unica cioè non utilizzata per nessun altro account.

Diffusione del ransomware FTCODE

Categories:

Ancora allarme per una nuova, massiva, campagna di email di spam finalizzata alla distribuzione del ransomware FTCODE.

 

FTCODE in breve

FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile.

La nuova campagna di diffusione

Il nuovo alert del CERT-PA risale ad appena due giorni fa: si segnala una nuova, massiva, campagna di diffusione sempre tramite email di spam. Le email presentano, come corpo del messaggio, un unico link: segnaliamo, come elemento utile all’individuazione delle email vettore, che tutti i link osservati nelle email analizzate dai ricercatori del CERT terminano con un punto esclamativo.

Fonte: https://www.cert-pa.it/
FTC1

Il link punta su un archivio .ZIP che contiene, a sua volta, un file rinominato “archivos” e un file VBS il cui nome inizia per IT. Il primo file è una specie di “riempimento”: si compone di byte nulli e serve solo a rendere più credibile la dimensione dello ZIP. Il file VBS è invece il responsabile dell’avvio della catena di infezione.

Indicatori di compromissione

Qui gli indicatori di compromissione relativi all’ultima campagna di diffusione >> ftcode_iocs.txt

FTC1

C’è speranza?

Pare esserci un risvolto positivo in questa vicenda: alcuni ricercatori hanno pubblicato sul noto portale Github un tool per la risoluzione delle infezioni da ransomware FTCode. Il tool, che è ancora in fase di test, sfrutta quello che parrebbe essere un bug del ransomware: FTCode infatti comunica al proprio server di comando e controllo la password di criptazione di ogni utente, sia in forma criptata che in chiaro. Il tool quindi, intercettando le comunicazioni tra il ransomware sulla macchina infetta e il server di comando e controllo, individua la password necessaria ad invertire il meccanismo di criptazione e riportare in chiaro i file.

Il tool, come detto, è un versione di test: ne stiamo monitorando l’andamento e compiendo alcuni test. Aggiorneremo prima possibile sull’efficacia di questo strumento. C’è però da aspettarsi che, a breve, il bug venga risolto dagli sviluppatori del ransomware: quando e se la password sarà comunicata solo in forma criptata al server di comando e controllo, tale meccanismo di intercettazione non avrà più alcuna efficacia rendendo impossibile la decriptazione di eventuali nuove versioni del ransomware.