Archivi tag: virus

Perché Facebook è di nuovo oggetto di accuse e critiche su come gestisce i nostri dati, e cosa c’entrano Donald Trump e la Russia

Recentementew Guardian e New York Times hanno pubblicato una serie di articoli che dimostrano l’uso scorretto di un’enorme quantità di dati prelevati da Facebook, da parte di un’azienda di consulenza e per il marketing online che si chiama Cambridge Analytica. La vicenda non è interessante solo perché dimostra – ancora una volta – quanto Facebook fatichi a tenere sotto controllo il modo in cui sono usati i suoi dati (che in fin dei conti sono i nostri dati), ma anche perché Cambridge Analytica ha avuto importanti rapporti con alcuni dei più stretti collaboratori di Donald Trump, soprattutto durante la campagna elettorale statunitense del 2016 che lo ha poi visto vincitore.

La storia ha molte ramificazioni e ci sono aspetti da chiarire, compreso l’effettivo ruolo di Cambridge Analytica ed eventuali suoi contatti con la Russia e le iniziative per condizionare le presidenziali statunitensi e il referendum su Brexit nel Regno Unito. Ma partiamo dall’inizio.

Che cos’è Cambridge Analytica

Cambridge Analytica è stata fondata nel 2013 da Robert Mercer, un miliardario imprenditore statunitense con idee molto conservatrici che tra le altre cose è uno dei finanziatori del sito d’informazione di estrema destra Breitbart News, diretto da Steve Bannon (che è stato consigliere e stratega di Trump durante la campagna elettorale e poi alla Casa Bianca).

Cambridge Analytica è specializzata nel raccogliere dai social network un’enorme quantità di dati sui loro utenti: quanti “Mi piace” mettono e su quali post, dove lasciano il maggior numero di commenti, il luogo da cui condividono i loro contenuti e così via.

Queste informazioni sono poi elaborate da modelli e algoritmi per creare profili di ogni singolo utente, con un approccio simile a quello della “psicometria”, il campo della psicologia che si occupa di misurare abilità, comportamenti e più in generale le caratteristiche della personalità.

Più “Mi piace”, commenti, tweet e altri contenuti sono analizzati, più è preciso il profilo psicometrico di ogni utente.

Cosa se ne fa Cambridge Analytica dei dati

Oltre ai profili psicometrici, Cambridge Analytica ha acquistato nel tempo molte altre informazioni, che possono essere ottenute dai cosiddetti “broker di dati”, società che raccolgono informazioni di ogni genere sulle abitudini e i consumi delle persone. Ogni giorno lasciamo dietro di noi una grande quantità di tracce su ciò che facciamo, per esempio quando usiamo le carte fedeltà nei negozi o quando compriamo qualcosa su Internet.

Immaginate la classica situazione per cui andate sul sito di Amazon, cercate un prodotto per vederne il prezzo, poi passate a fare altro e all’improvviso vi trovate su un altro sito proprio la pubblicità di quel prodotto che eravate andati a cercare. Ora moltiplicate questo per milioni di utenti e pensate a qualsiasi altra condizione in cui la loro navigazione possa essere tracciata.

Il risultato sono miliardi di piccole tracce, che possono essere messe insieme e valutate. Le informazioni sono di solito anonime o fornite in forma aggregata dalle aziende per non essere riconducibili a una singola persona, ma considerata la loro varietà e quantità, algoritmi come quelli di Cambridge Analytica possono lo stesso risalire a singole persone e creare profili molto accurati sui loro gusti e su come la pensano.

Cambridge Analytica dice di avere sviluppato un sistema di “microtargeting comportamentale”, che tradotto significa: pubblicità altamente personalizzata su ogni singola persona.

I suoi responsabili sostengono di riuscire a far leva non solo sui gusti, come fanno già altri sistemi analoghi per il marketing, ma sulle emozioni degli utenti. Se ne occupa un algoritmo sviluppato dal ricercatore di Cambridge (da qui il nome dell’azienda) Michal Kosinski, che da anni lavora per migliorarlo e renderlo più accurato.

Il modello è studiato per prevedere e anticipare le risposte degli individui. Kosinski sostiene che siano sufficienti informazioni su 70 “Mi piace” messi su Facebook per sapere più cose sulla personalità di un soggetto rispetto ai suoi amici, 150 per saperne di più dei genitori del soggetto e 300 per superare le conoscenze del suo partner. Con una quantità ancora maggiore di “Mi piace” è possibile conoscere più cose sulla personalità rispetto a quante ne conosca il soggetto.

Ok, ma Facebook cosa c’entra?

Per capire il ruolo di Facebook nella vicenda dobbiamo fare qualche passo indietro: fino al 2014, anno in cui un altro ricercatore dell’Università di Cambridge, Aleksandr Kogan, realizzò un’applicazione che si chiamava “thisisyourdigitallife” (letteralmente “questa è la tua vita digitale”), una app che prometteva di produrre profili psicologici e di previsione del proprio comportamento, basandosi sulle attività online svolte.

Per utilizzarla, gli utenti dovevano collegarsi utilizzando Facebook Login, il sistema che permette di iscriversi a un sito senza la necessità di creare nuovi username e password, utilizzando invece una verifica controllata da Facebook.

Il servizio è gratuito, ma come spesso avviene online è in realtà “pagato” con i dati degli utenti: l’applicazione che lo utilizza ottiene l’accesso a indirizzo email, età, sesso e altre informazioni contenute nel proprio profilo Facebook (l’operazione è comunque trasparente: Facebook mostra sempre una schermata di riepilogo con le informazioni che diventeranno accessibili).

Tre anni fa circa 270mila persone si iscrissero all’applicazione di Kogan utilizzando Facebook Login, accettando quindi di condividere alcune delle loro informazioni personali. All’epoca Facebook permetteva ai gestori delle applicazioni di raccogliere anche alcuni dati sulla rete di amici della persona appena iscritta.

In pratica, tu t’iscrivevi e davi il consenso per condividere alcuni dei tuoi dati e l’applicazione aveva il diritto di raccogliere altre informazioni dai tuoi amici, senza che fossero avvisati (la possibilità era comunque indicata nelle infinite pagine delle condizioni d’uso di Facebook).

In seguito Facebook valutò che la pratica fosse eccessivamente invasiva e cambiò i suoi sistemi, in modo che le reti di amici non fossero più accessibili alle app che utilizzano Facebook Login.

L’applicazione di Kogan fece in tempo a raccogliere i dati sulle reti di amici dei 270mila suoi iscritti, arrivando quindi a memorizzare informazioni di vario tipo su 50 milioni di profili Facebook (la stima è del New York Times e del Guardian: per alcuni è sovradimensionata, per altri comprende per lo più dati inutili). Kogan fu quindi in grado di costruire un archivio enorme, comprendente informazioni sul luogo in cui vivono gli utenti, i loro interessi, fotografie, aggiornamenti di stato pubblici e posti dove avevano segnalato di essere andati (check-in).

Ma se Facebook lo lasciava fare, dov’è il problema?

Fino a quando l’app di Kogan ha raccolto dati sulle reti social degli utenti non c’è stato nulla di strano, perché in quel periodo la pratica era consentita. I problemi sono nati dopo, quando Kogan ha condiviso tutte queste informazioni con Cambridge Analytica, violando i termini d’uso di Facebook.

Il social network vieta infatti ai proprietari di app di condividere con società terze i dati che raccolgono sugli utenti. Per i trasgressori sono previste sanzioni come la sospensione degli account, provvedimento che può determinare la fine del tuo intero modello di business, se questo si basa sui dati e le possibilità di accesso all’applicazione che hai costruito tramite il social network. A quanto sembra, nel caso di Cambridge Analytica la sospensione è arrivata molto tardivamente.

Christopher Wylie, ex dipendente di Cambridge Analytica e principale fonte del Guardian per questa storia, sostiene che Facebook fosse al corrente del problema da circa due anni. Come sostengono anche i legali dell’azienda, temendo una sospensione fu la stessa Cambridge Analytica ad autodenunciarsi con Facebook, dicendo di avere scoperto di essere in possesso di dati ottenuti in violazione dei termini d’uso e di averne disposto subito la distruzione.

Se così fosse, però, non è chiaro perché Facebook abbia deciso di sospendere Cambridge Analytica solo venerdì 16 marzo, e solo dopo essere venuto a conoscenza dell’imminente pubblicazione degli articoli sul caso da parte del Guardian e del New York Times.

Falla? Quale falla?

I giornalisti del Guardian dicono di avere ricevuto forti pressioni da Facebook nei giorni prima della pubblicazione degli articoli, soprattutto per non definire “falla” il meccanismo che consentì a Kogan e poi a Cambridge Analytica di ottenere quell’enorme quantità di dati. Una singola parola può sembrare poca cosa, ma in realtà è centrale in questa vicenda.

Da un punto di vista prettamente informatico e di codice non c’è stata nessuna falla: Kogan non ottenne i dati sfruttando qualche errore o buco nel codice che fa funzionare Facebook, semplicemente sfruttò un sistema che all’epoca era lecito e contemplato nelle condizioni d’uso.

L’integrità informatica di Facebook non è stata quindi violata in nessun modo, e su questo punto i suoi responsabili puntano comprensibilmente molto per tranquillizzare gli utenti e ridimensionare l’accaduto. D’altra parte, non si può negare che le condizioni d’uso di Facebook fossero “fallate”, visto che permettevano una raccolta di informazioni sproporzionata e senza che se ne potessero rendere facilmente conto le persone comprese nelle reti di amici. Il fatto che la pratica fosse lecita non riduce la sua portata o gli effetti che poi nei fatti ha avuto.

Ricapitolando:

• c’è una società vicina alla destra statunitense, Cambridge Analytica, che raccoglie dati personali per creare profili psicologici degli utenti da usare in campagne di marketing super mirate;
• viene sospesa di colpo da Facebook con l’accusa di avere usato dati raccolti sul social network che non le appartenevano;
• Guardian e New York Times pubblicano articoli accusando Facebook di avere reso possibile la raccolta, seppure non attivamente, e di avere poi sottovalutato o nascosto la cosa.

Ora che abbiamo raccolto le idee, possiamo passare all’ultima parte della storia: cosa c’entrano Trump e Brexit.

Trump e le presidenziali del 2016

Venerdì 16 marzo il procuratore speciale Robert Mueller, che indaga sulle presunte interferenze della Russia nelle elezioni statunitensi e sull’eventuale coinvolgimento di Trump, ha chiesto che Cambridge Analytica fornisca documenti sulle proprie attività. Il sospetto è che l’azienda abbia in qualche modo facilitato il lavoro della Russia per fare propaganda contro Hillary Clinton e a favore di Trump.

Nell’estate del 2016, il comitato di Trump affidò a Cambridge Analytica la gestione della raccolta dati per la campagna elettorale. Jared Kushner, il genero di Donald Trump, aveva assunto un esperto informatico, Brad Pascale, che era poi stato contattato da Cambridge Analytica per fargli provare le loro tecnologie.

Steve Bannon, all’epoca capo di Breitbart News e manager della campagna elettorale, sostenne l’utilità di avere una collaborazione con Cambridge Analytica, di cui era stato vicepresidente. Non sappiamo quanto l’azienda abbia collaborato né con quali strumenti, ma dalle indagini condotte finora (giudiziarie, parlamentari e giornalistiche) sappiamo che comunque l’attività online pro-Trump fu molto organizzata e su larga scala.

Furono usate grandi quantità di account fasulli gestiti automaticamente (“bot”) per diffondere post, notizie false e altri contenuti contro Hillary Clinton, modulando la loro attività a seconda dell’andamento della campagna elettorale. Gli interventi erano quasi sempre in tempo reale, per esempio per riempire i social network di commenti durante i dibattiti televisivi tra Trump e Clinton, gli eventi più attesi e seguiti dagli elettori.

Ogni giorno venivano prodotte decine di migliaia di annunci pubblicitari, sui quali misurare la risposta degli utenti online e ricalibrarli privilegiando quelli che funzionavano di più. Tutte attività sulle quali da anni Cambridge Analytica dice di avere grandi capacità e conoscenze.

Cambridge Analytica e la Russia

Anche grazie a un’inchiesta del Wall Street Journal, dalla scorsa estate ci sono nuovi e consistenti indizi sul fatto che Michael Flynn, l’ex consigliere della sicurezza nazionale di Trump, avesse stretti legami con la Russia e le attività per interferire nelle elezioni.

Da un documento fiscale sappiamo inoltre che Flynn ebbe un ruolo da consigliere per una società legata all’analisi di dati online che ha aiutato il comitato elettorale di Trump. Quell’azienda era proprio Cambridge Analytica, che ora sta collaborando con la giustizia statunitense, negando comunque di avere fatto qualcosa di illecito.

Al momento non sappiamo se la grande quantità di dati raccolta da Cambridge Analytica, comprese le informazioni ottenute da Facebook, sia stata passata alla Russia. E se così fosse non è comunque detto che sia stata direttamente Cambridge Analytica a farlo. Non sappiamo nemmeno di quanto si sia avvalso degli strumenti dell’azienda il comitato di Trump, a fronte del grande impegno online per la propaganda elettorale.

Brexit

Nel maggio del 2017 il Guardian aveva già dedicato una lunga inchiesta a Cambridge Analytica e al suo ruolo nella campagna referendaria per Brexit. Secondo l’articolo, l’azienda aveva collaborato alla raccolta di dati e informazioni sugli utenti, utilizzati poi per condizionarli e fare propaganda a favore dell’uscita del Regno Unito dall’Unione Europea.

Tramite Mercer, Bannon e lo stesso Trump, la società era di fatto in contatto con i principali sostenitori del “Leave” compreso il leader del partito populista UKIP, Nigel Farage. Il Guardian aveva anche messo in evidenza strani passaggi di denaro verso il comitato del “Leave”. Dopo quell’articolo, Cambridge Analytica avviò un’azione legale contro il Guardian.

Ok, ma anche Obama “vinse grazie a Facebook”

In molti hanno fatto notare che i sistemi utilizzati da Cambridge Analytica sono tali e quali alle soluzioni impiegate dai comitati elettorali di Barack Obama nel 2008 e nel 2012, quando fu eletto per due volte presidente degli Stati Uniti. In parte è vero: durante le due campagne elettorali fu raccolta una grande mole di dati sugli utenti per indirizzare meglio pubblicità politiche e coinvolgerli online.

Dalla seconda elezione di Obama a quella di Trump sono però passati quattro anni, un periodo di tempo che ha permesso ulteriori evoluzioni dei sistemi per produrre campagne mirate e soprattutto per raccogliere molti più dati e incrociarli tra loro. Il comitato elettorale di Obama parlava a generici gruppi di persone con interessi comuni, Cambridge Analytica a utenti per i quali individua profili psicologici e comportamentali in modo molto più raffinato.

Fumo e arrosto

In tutta questa vicenda al momento ci sono moltissimo fumo e indizi che qualcosa sia effettivamente bruciato, ma nessuno ha ancora trovato l’arrosto, la prova definitiva e incontrovertibile, soprattutto sugli eventuali legami tra Trump, Russia e Cambridge Analytica. Alcune valutazioni nell’inchiesta sul Guardian suonano un po’ esagerate, considerato che molte cose sul funzionamento di Cambridge Analytica e sulla raccolta dati tramite Facebook erano già note.

L’inchiesta del Guardian ha però il pregio di portare nuovi elementi nel grande dibattito sulle notizie false, sulla propaganda e sulla facilità di diffusione di questi contenuti tramite un uso distorto dei social network. Dimostra che Facebook è probabilmente in buona fede, ma continua ad avere un enorme problema nel garantire che non si faccia un uso non autorizzato dei nostri dati.

Facebook continua a fidarsi troppo degli sviluppatori e a non avere strumenti per prevenire un utilizzo distorto dei dati: può punire chi non rispetta le regole, ma non può fare molto per evitare che i dati siano consegnati ad altri e poi ad altri ancora, come probabilmente è avvenuto nel caso di Cambridge Analytica.

La posizione di Facebook è ulteriormente complicata dal fatto che usa sistemi di raccolta e analisi simili per il suo servizio di marketing interno, attraverso cui tutti possono organizzare campagne pubblicitarie sul social network, e che costituisce la sua principale fonte di ricavo.

Lo stesso problema riguarda buona parte delle altre aziende attive online e che offrono gratuitamente i loro servizi, in cambio della pubblicità e della raccolta di informazioni sugli utenti. In misure diverse, vale per esempio per Google e Twitter. Mentre negli ultimi anni l’Unione Europea ha avviato iniziative per arginare il problema, inasprendo le regole sulla privacy, negli Stati Uniti il mercato dei dati non ha subìto particolari limitazioni.

Le richieste negli ultimi giorni di politici e membri del Congresso a Facebook di chiarire meglio la propria posizione, chiedendo che sia anche organizzata un’audizione parlamentare per il CEO Mark Zuckerberg, indicano che qualcosa potrebbe cambiare anche negli Stati Uniti. Una regolamentazione più precisa è del resto attesa da tempo da organizzazioni e attivisti per la tutela della privacy online.

dark web, deep web, malware

Quanto costano i tuoi dati sul darkweb (febbraio 2018 – edizione USA)

30 Marzo 2018 shep54 Lascia un commento

Preso tradotto e adattato da top10vpn

I truffatori stanno comprando e vendendo le tue informazioni personali rubate sul darkweb e non si tratta solo di dettagli della carta di credito.

Con profili di incontri hackerati, servizi di streaming e persino account di Airbnb in vendita, abbiamo creato l’indice dei prezzi di mercato del mercato nero (US Edition) per monitorare questo traffico illecito.

Ndr. Non credere che da noi sia tanto diverso, comunque, sei su internet “la rete globale” bello.

La tua intera identità online potrebbe valere meno di $ 1,200, secondo una nuovissima ricerca sulla vendita illecita di informazioni personali rubate sul dark web

Anche se non sorprende sapere che i dettagli della carta di credito sono tra i più scambiati, lo sapevate che i truffatori stanno hackerando account Uber, Airbnb e Netflix e li vendono per non meno di $ 10 ciascuno? Tutto ha un prezzo sul dark web.

I conti Paypal con un saldo salutare attirano i prezzi più alti (in media $ 247). All’altro estremo della scala però, gli account Grubhub o Walmart hackerati valgono meno di $ 10. Gli aspiranti truffatori possono facilmente spendere di più per il loro panino all’ora di pranzo piuttosto che per acquistare account di clienti rubati per negozi online come Costco ($ 5) e ASOS ($ 2).

L’utente medio ha dozzine di account che formano la sua identità online, ognuno dei quali può essere hackerato e venduto. 7

Il nostro team di esperti di sicurezza ha esaminato decine di migliaia di annunci su tre dei più popolari mercati del dark web, Dream, Point e Wall Street Market.

Questi siti web crittografati, che possono essere raggiunti solo utilizzando il browser Tor, consentono ai criminali di vendere anonimamente informazioni personali rubate, insieme a tutti i tipi di contrabbando, come droghe e armi illecite.

Ci siamo concentrati su elenchi con ID rubato, account hackerati e informazioni personali rilevanti per gli Stati Uniti per creare l’indice dei prezzi del mercato web scuro. Abbiamo calcolato i prezzi medi di vendita per ogni articolo e siamo rimasti scioccati nel vedere che $ 1,170 è tutto ciò che costerebbe acquistare l’intera identità di qualcuno se dovessero avere tutti gli articoli elencati.

Per aiutare gli Stati Uniti a capire quanto valgono i loro dati personali abbiamo creato il seguente indice dei prezzi.

I prezzi di vendita spiegati

Personal finance

I dettagli finanziari in bianco sono di gran lunga gli articoli più comunemente elencati, in particolare le carte di credito sono le più preziose. I prezzi di vendita tendono ad essere il 10% del saldo disponibile, tuttavia abbiamo trovato esempi credibili di account Paypal che costavano il doppio, suggerendo un’elevata domanda corrente per questi account.

Un tipo popolare di quotazione è ciò che è noto come “Fullz”. Questi pacchetti di informazioni di identificazione “complete”, a volte sono impacchettati con dettagli finanziari o venduti separatamente. Abbiamo trovato elenchi con il nome delle persone, l’indirizzo di fatturazione, il cognome da nubile della madre, il numero di previdenza sociale, la data di nascita e altri dati personali.

Proof of identity

Una delle tattiche preferite dai criminali informatici è quella di creare linee di credito nel nome di qualcun altro. Ecco perché vediamo scambiare ogni sorta di prova digitale dell’identità, come scansioni di passaporti, selfie e bollette.

I prezzi elevati riflettono la facilità con cui tali articoli possono essere utilizzati per commettere frodi.

Shopping online

Ci può essere un grande calo nel prezzo, ma i conti degli acquisti online compromessi offrono molte opportunità di frode.

La maggior parte delle gestioni cambia per meno di $ 10, alcuni per molto meno di quello.

Memorizzare i dettagli di pagamento nei conti Amazon o Bestbuy può essere molto conveniente ma lascia i titolari di conti aperti a una serie di truffe, tali frodi ordinano oggetti costosi per poi rivenderli e intascare i contanti.

Anche i conti gestiti da hacker su eBay sono particolarmente allettanti in quanto non solo consentono ai criminali di ingannare gli acquirenti per inviare denaro per inserzioni false, ma anche di acquistare beni costosi con i fondi del proprietario dell’account per intercettare e vendere.

Travel Dispite

Con un prezzo di vendita medio inferiore a $ 8 gli account Airbnb compromessi aprono un mondo di truffe al compratore. Ci sono state segnalazioni di hacker che cambiano i dettagli di pagamento degli host per rubare i loro guadagni.

I truffatori gestiscono anche account di ospiti di alto livello per prenotare soggiorni in proprietà premium e persino svaligiare i padroni di casa. Airbnb ha introdotto nuove misure di sicurezza, ma nei suoi forum della community continuano a essere pubblicate storie dell’orrore.

Ci sono state anche notizie di russi che usano account Uber hackerati, che vendono qui per soli $ 7, per farsi pagare grandi conti per viaggi Uber che il vero proprietario non ha mai preso , a volte dall’altra parte del mondo. L’accesso ad altri account di viaggio, come Booking.com, offre ai criminali l’opportunità di inviare e-mail fasulle inducendo le persone a effettuare pagamenti di alto valore relativi alle loro modalità di viaggio, oltre a rubare la loro carta di credito.

Entertaining

Come con la maggior parte degli account compromessi che abbiamo trovato in vendita sul Web scuro, questi accessi offrono un percorso verso il potenziale furto di identità. Un ulteriore vantaggio è che i criminali opportunisti possono anche trasmettere i contenuti gratuitamente, almeno fino a quando il vero proprietario non nota che il loro account Netflix o Spotify è stato compromesso. Il basso costo di questi articoli riflette la limitata capacità di riutilizzo.

Communication

Gli account Skypesono stati utilizzati per inviare spam anche quando è stata attivata l’autenticazione a due fattori. I messaggi di spam contengono talvolta collegamenti di phishing a siti popolari come LinkedIn e Baidu.

Gli account di telefonia mobile sono una miniera di opportunità di frode, in particolare dato l’uso di messaggi SMS per la verifica del conto bancario, ad esempio.

Gli accessi di Facebook a $ 5,20 si vendono più cari di altri account di social media a causa del maggior potenziale in grado di fornire sufficienti dati personali per ottenere l’accesso a account più redditizi o commettere furti d’identità.

I selfie e il food porn di Instagram potrebbero non avere alcun valore per i truffatori, ma i conti hacker sulla piattaforma rimangono in vendita, anche se per un dollar. Per un investimento così basso, può essere interessante per i criminali informatici accedere e vedere cosa potrebbero trovare utile per il furto di identità.

Ottenere l’accesso alle e-mail di una vittima è spessol’aspetto critico di una truffa online, anche se non è altrettanto utile come altri account. I dettagli della carta di credito non sono in genere memorizzati lì, mentre la ricerca di migliaia di e-mail in cerca di informazioni personali non è efficiente come altri metodi.

La sicurezza su Gmail, come l’autenticazione a due fattori e gli avvisi di accesso sospetti, spinge il prezzo a solo $ 1 rispetto ad altri fornitori, in quanto l’accesso può essere revocato rapidamente, rendendo inutili i dettagli compromessi.

Food delivery

Sembra che anche i truffatori abbiano fame, hackerando servizi di consegna di cibo come Grubhub per ordinare in modo fraudolento cibo e alcolici costosi. Ci sono rapporti di ordini di quasi $ 180 che vengono incasinati su account hackerati, che vendono per poco più di $ 9 sul dark web.

Dating

Questi tipi di annunci sono usciti con il prezzo medio più basso nel nostro indice, che riflette il loro uso limitato ai criminali. Mentre gli account di appuntamenti piratati potrebbero sicuramente essere usati per “catfishing”, un classico congo in cui il truffatore adotta un’identità fittizia per attirare la vittima in una relazione per trarne vantaggio finanziario, è più economico e più facile creare solo account falsi.

Ovviamente, come con la maggior parte degli articoli nel nostro indice, c’è la possibilità di estrarre l’account per informazioni personali per aiutare con il furto di identità.

La linea di fondo è che gli hacker proveranno a vendere tutto ciò che hanno nella speranza di ricavare qualche valore dalla loro attività criminale.

Metodologia: il nostro team ha esaminato tutte le schede relative alle frodi su tre dei più grandi mercati del dark web, Dream, Point e Mercato di Wall Street dal 5 all’11 febbraio 2018. Gli elenchi pertinenti sono stati raccolti e classificati per calcolare i prezzi medi di vendita. Indice dei prezzi di mercato Web scuro – Feb 2018 – Raw

malware, sicurezza e virus

L’Agenzia per l’Italia Digitale avverte: diffusione di malware attraverso il dominio “documenticertificati.com”

21 Marzo 2018 shep54 Lascia un commento

Sicurezza: diffusione di malware attraverso il dominio “documenticertificati.com”

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Riporto di seguito maggiori approfondimenti destinati ai tecnici provenienti dal sito di CERT-PA

(link is external).
Dettaglio News
Attività malevola attraverso il dominio “documenticertificati.com”
13/03/2018
In data odierna il CERT-PA (Computer emergency response team – Pubblica Amministrazione) è venuto a conoscenza di una attività malevola di diffusione malware attraverso il dominio documenticertificati[.]com che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.

È quasi superfluo sottolineare che il dominio in oggetto non ha alcun legame con AgID e/o il circuito SPID.

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”.

La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”. (con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, verrà proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Indicatori di Compromissione

DocumentiCV.exe
MD5: 32afb5d9d3ed93fdaf0cae35063dd53e
URL: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.html
STIX: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.stix
LettoreDOC.jar
MD5: a76e9730dd08c15ef57919ac62a5d435
URL: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.html
STIX: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.stix

L’analisi dei sample è in corso, nuovi dettagli verranno forniti nell’apposito bollettino di prossima emissione.

i termini del web, internet, malware, metodo nielsen, sicurezza e virus, social network

Internet semplice

7 Marzo 2018 shep54 2 commenti

i termini del web spiegati in modo comprensibile per i non addetti ai lavori

Esistono termini oggi molto usati, spesso a sproposito, dai soliti esperti informatici, ma basta informarsi per comprenderne il corretto significato.

In questo piccolo manuale sono raccolte le definizioni dei principali termini con cui ci si deve confrontare durante la navigazione su internet e le pagine web.

Trovi su Amazon il libro che ti spiega internet in modo diretto e comprensibile.
Internet semplice
in versione digitale oppure su carta

Appunto cosa significa web? e internet?

Ognuno dei dodici capitoli è dedicato alla spiegazione di un termine:

Conoscere il significato di queste parole è indispensabile per affrontare con sicurezza il mondo che ci si presenta dall’altra parte dello schermo del nostro computer, tablet o smartphone.

Ogni definizione è raccolta in una scheda che affronta il tema in modo semplice, senza usare termini destinati agli addetti ai lavori.

Come base per questa schede ho raccolto il materiale didattico, ormai ben collaudato, che ho preparato negli anni per i corsi di comunicazione online per adulti e di grafica multimediale per la scuola.

Questi sono i termini affrontati in questi libro

Breve storia di internet
Come funziona internet
Interattività
URL e protocolli
Nomi a dominio
Collegamenti ipertestuali
World Wide Web
Sito web
Virus o malware
Blog e come funziona
Browser Motori di ricerca
Social network

Sono una persona fortunata perchè faccio due lavori che mi piacciono.

Progetto grafica per applicazioni multimediali, quindi posso dare sfogo alla mia creatività. Inoltre insegno ai ragazzi, ma anche alle persone adulte, la teoria e la tecnica del web design. Che è quello che ho fatto per anni di mestiere e che continuo tuttora a fare.

Trasmettere le proprie conoscenze è appassionante, anzi, il confronto con gli studenti dà modo di verificare la padronanza degli argomenti esposti.

Nel mio caso sono argomenti che toccano sia la comunicazione che la creatività. Mi è venuto quindi naturale trasportare le mie lezioni su “carta”, partendo proprio dai concetti base, utili a chiunque desideri approfondire la propria conoscenza di internet e dl web.

“Cosa vuole dire” è forse la domanda che i bambini fanno più di frequente e proprio da semplici definizioni si parte per conoscere il mondo digitale che è nuovo per tanti di noi.

deep web, malware, sicurezza e virus

Il sito web Pirate Bay rifila malware ai visitatori

25 Febbraio 2018 shep54 Lascia un commento

Il sito Web Pirate Bay esegue un miner di criptovaluta a spese nostre

Alcune ore fa un miner di criptovaluta è apparso sul sito Web di The Pirate Bay, utilizzando le risorse informatiche dei visitatori per estrarre le monete Monero.

Gli operatori di The Pirate Bay lo giustificano come un nuovo modo di generare entrate, ma molti utenti non sono contenti. Quattro anni fa molti siti di torrent popolari hanno aggiunto un’opzione per donare tramite Bitcoin. The Pirate Bay è stato uno dei primi a saltare a bordo e ancora elenca il suo indirizzo sul sito web.

Mentre non c’è niente di sbagliato nell’usare Bitcoin come strumento di donazione, l’aggiunta di un miner di criptovaluta Javascript su un sito è di un ordine completamente diverso.

Trovi su Amazon il manuale per imparare velocemente come realizzare il tuo sito internet.

Il libro contiene anche suggerimenti di web design e un piccolo glossario dei principali termini usati.
WordPress semplice
in versione digitale oppre su carta

Poche ore fa molti utenti di Pirate Bay hanno iniziato a notare che il loro utilizzo della CPU aumentava notevolmente quando navigavano su alcune pagine di Pirate Bay.

Ad un’ispezione più ravvicinata, questo picco sembra essere stato causato da un minatore Bitcoin incorporato nel sito. Il codice in questione è nascosto nel footer del sito e utilizza un minatore fornito da Coinhive.

Questo servizio offre ai proprietari del sito l’opzione di convertire la potenza della CPU degli utenti in monete Monero. Sembra che il minatore aumenti un po ‘l’utilizzo della CPU.

È rallentato a ritmi diversi (abbiamo visto sia lo 0.6 che lo 0.8), ma l’aumento delle risorse è immediatamente evidente. Il miner non è abilitato in tutto il sito. Quando abbiamo controllato, è apparso nei risultati di ricerca e negli elenchi di categorie, ma non nella home page o nelle singole pagine torrent.

Non c’è stato alcun commento ufficiale da parte degli operatori del sito sul problema , ma molti utenti si sono lamentati di questo. Nei forum ufficiali del sito, il supermoderatore TP di Sid non è chiaramente d’accordo con l’ultima aggiunta del sito.

“Questo è davvero serio, quindi speriamo di poter intervenire rapidamente. E forse ottenere un po ‘di attenzione per il caricamento e commentare i bug mentre ci sono, “scrive Sid.

Come molti altri, sottolinea anche che il blocco o la disabilitazione di Javascript può fermare l’estrazione automatica.

Questo può essere fatto tramite le impostazioni del browser o tramite i componenti aggiuntivi di script blocker come NoScript e ScriptBlock.

In alternativa, le persone possono bloccare l’URL minatore con u spftware per il blocco di annunci.

Il minatore è uno strumento nuovo e permanente, o forse innescato da un inserzionista, è sconosciuto al punto.

Aggiornamento di Pirate Bay: ci è stato detto che il minatore è stato testato per un breve periodo (~ 24 ore) come un nuovo modo per generare entrate.

Questo potrebbe alla fine sostituire gli annunci sul sito.

Altre informazioni potrebbero essere rivelate in seguito. Aggiornamento: gli operatori hanno pubblicato anche una dichiarazione sul sito. “Come forse avrai notato, stiamo testando un minatore di javascript Monero. Questo è solo un test. Vogliamo davvero sbarazzarci di tutte le pubblicità. Ma abbiamo anche bisogno di denaro sufficiente per mantenere attivo il sito.

Vuoi pubblicità o vuoi regalare alcuni dei tuoi cicli di CPU ogni volta che visiti il sito? Ovviamente il mining può essere bloccato da un normale ad-blocker.

Nota: Inizialmente c’era un piccolo errore di battitura in modo da utilizzare tutta la CPU per un client. Questo dovrebbe essere corretto ora, quindi dovrebbe essere utilizzato solo il 20-30%. Inoltre è limitato a essere eseguito in una sola scheda.

dark web, deep web, internet, malware, sicurezza e virus

Darknet: il mercato della droga a chilometri zero

12 Febbraio 2018 shep54 Lascia un commento

Ancora notizie da darknet e lo spaccio di droga che aggiungono informazioni al report sul tema pubblicato pochi giorni fa. Leggi anche: Chi vende droga sulla darknet

Platform Criminalism: La geografia “Last-Mile” della catena di fornitura del mercato Darknet Martin Dittus, Joss Wright, Mark Graham

Traduco alcuni passi e riporto il link di download:

La recente crescita di i mercati darknet indica una lenta riorganizzazione del traffico illecito di droga?

Dove sono i mercati darknet situati nella filiera globale della droga? In linea di principio, queste piattaforme consentono ai produttori di vendere direttamente agli utenti finali, evitando le tradizionali rotte del traffico.

Eppure, ci sono prove che molte offerte provengono da un piccolo numero di paesi consumatori altamente attivi, piuttosto che da paesi che sono principalmente noti per la produzione di droga. In uno studio empirico su larga scala, determiniamo la geografia del trading darknet di tre farmaci a base vegetale in quattro dei più grandi mercati darknet, e la confrontiamo con l’impronta globale della produzione e del consumo di questi farmaci.

Si presenta una forte evidenza che i venditori di cannabis e cocaina si trovano principalmente in un piccolo numero di paesi consumatori, piuttosto che in paesi produttori, suggerendo che il trading darknet avviene nell’ultimo miglio, lasciando probabilmente intatte le vecchie rotte del traffico.

Un modello per spiegare i volumi di scambio di oppiacei è inconcludente. Non siamo in grado di trovare prove per importanti offerte sul versante della produzione in nessuno dei tipi di droga o dei mercati. Le nostre prove suggeriscono inoltre che la geografia delle transazioni del mercato darknet è principalmente guidata dalla domanda dei consumatori esistenti, piuttosto che dalla nuova domanda promossa dai singoli.

Anticipiamo le conclusioni dello studio

I mercati darknet stanno lentamente riorganizzando il commercio globale di droga? In uno studio empirico su larga scala, abbiamo determinato la geografia del trading su darknet di tre farmaci a base vegetale nei maggiori mercati, e la confrontiamo con l’impronta globale della produzione e del consumo di questi farmaci.

Questo è il primo studio per analizzare la geografia economica dei mercati darknet in modo empirico così completo, e le nostre scoperte ci permettono di trarre nuove conclusioni sulla natura della catena di approvvigionamento sottostante. Non siamo in grado di trovare prove per importanti offerte sul versante della produzione in nessuno dei tipi di droga o dei mercati.

Al contrario, presentiamo una forte evidenza che i venditori di cannabis e cocaina si trovano principalmente in un piccolo numero di paesi consumatori altamente attivi, suggerendo che i mercati darknet occupano principalmente il ruolo dei rivenditori locali che servono l’ultimo miglio per alcune regioni.

Questo probabilmente lascia intatte le vecchie relazioni con i produttori e le rotte di traffico. In confronto, un modello per spiegare i volumi di scambio di oppiacei è inconcludente. Le nostre scoperte suggeriscono inoltre che la geografia delle transazioni sul mercato darknet è principalmente guidata dalla domanda dei consumatori esistenti, piuttosto che dalla nuova domanda promossa dai singoli mercati.

Proponiamo che questo presenti un contributo teorico che aiuti a caratterizzare la geografia economica dei mercati darknet con nuove specificità. Il nostro studio fornisce nuove prove che aiutano a situare queste piattaforme all’interno delle reti di produzione globali del commercio di droghe illecite.

deep web, facebook instagram twitter google+, Google, Bing motori di ricerca, malware, sicurezza e virus, user experience

700.000 app pericolose rimosse da Play Store

10 Febbraio 2018 shep54 Lascia un commento

tratto, tradotto ed adattato da Techcrunch

Riporto malvolentieri questo articolo di lodi nei confronti di big G, effettivamente 700.000 app dannose rimosse da play Store denunciano una falla nella sicurezza e non un comportamento virtuoso di chi cerca di porre rimedio ad una struttura come Play Store, troppo aperta, oggi, alle intrusioni di codice maligno.*

La natura relativamente aperta di Android ne ha fatto una risorsa per gli autori di malware e altri tipi di malware di ogni genere che spesso cercano di ricavare guadagni dai nostri telefono telefoni attraverso il Google Play Store ufficiale, gli app store di terze parti e ogni altro modo che riescono ad inventarsi.

Per la maggior parte degli utenti, tuttavia, il principale app store di Android è il Play Store di Google e, come annunciato oggi dalla società, la società ha rimosso 700.000 app potenzialmente dannose o ingannevoli dal suo negozio l’anno scorso.

Rappresenta il 70 % in più ispetto al 2016. Ciò significa che la tua possibilità di installare un’app malevola: quella che cerca di danneggiare il tuo telefono o rubare le tue informazioni, o un’app che sta semplicemente cercando di ingannarti facendogli credere che sia Spotify quando è solo un brutto copycat – dal Play Store ufficiale, sempre che non presenti contenuti porno, è stata alta fino a poco tempo fa e sembra che si stia si sta riducendo di giorno in giorno.

Infatti, come mi ha detto Dave Kleidermacher, vicepresidente e responsabile della sicurezza di Google per Google Play, la possibilità di installare un’app dannosa è ora pari allo 0,00006 percento (e Google vede circa 8 miliardi di installazioni al mese in tutto il mondo). La stragrande maggioranza di queste app dannose (99 percento) non è mai entrata nel negozio ed è stata completamente respinta dagli algoritmi e dai team di sicurezza di Google.

Kleidermacher rileva inoltre che hai 10 volte più probabilità di installare un’app dannosa da una fonte non Play rispetto allo store ufficiale di Google. Con Google Play Protect ora in esecuzione su oltre 2 miliardi di dispositivi, è probabilmente lo scanner di malware più utilizzato al mondo.

Il numero di app rimosse si riferisce al crescente numero di tentativi da parte degli sviluppatori di introdurre app dannose sul telefono, ma anche agli sforzi di Google nell’utilizzare l’apprendimento automatico e altre tecniche per trovare queste app prima che compaiano nel negozio.

Google ha utilizzato a lungo le tecniche di analisi statica per trovare codice potenzialmente dannoso nelle nuove app, ma con l’aggiunta dell’apprendimento automatico negli ultimi anni, l’azienda è ora in grado di trovare una gamma di app molto più ampia.

Google ha rimosso oltre 250.000 di queste app nell’ultimo anno

Google è consapevole del fatto che non è in grado di rilevare ogni singola app dannosa prima che colpisca l’archivio, però. “Abbiamo questa fantastica tecnologia e funziona il 99,9994 per cento delle volte”, ha affermato. “Ma non è mai perfetto.”

In fondo, alcune forme di abuso sono quasi impossibili da rilevare, soprattutto ora che gran parte del codice per le app viene eseguito su sistemi di back-end di cui Google non ha alcun controllo.

Se un’applicazione ti chiede di registrarti ma poi vende le tue credenziali sul mercato nero, non c’era nulla al telefono che potesse impedirlo.

Per ovviare a questo problema, Google vuole insegnare agli utenti come prendere decisioni migliori in materia di sicurezza, sebbene utilizzi anche gli strumenti di Navigazione sicura di Google per rilevare se un’app si connette a un sito non valido conosciuto.

Alla fine, però, ci saranno sempre alcune app che scivoleranno nella rete. La cosa buona è che, per la maggior parte, queste app in genere non trovano molti utenti.

*Per completezza riporto anche un articolo da ANSA che mi sembra meno di parte

Google nel 2017 ha rimosso 700mila applicazioni dal suo negozio di app per dispositivi Android, il 70% in più rispetto al 2016.

Le espulsioni dal Google Play Store, fatte usando anche l’intelligenza artificiale, hanno riguardato le app che violano il diritto d’autore, con contenuti pornografici e contenenti malware.

Lo rende noto la compagnia, aggiungendo di aver bloccato anche 100mila sviluppatori colpevoli di non aver rispettato più volte le politiche aziendali.

Oltre 250mila applicazioni rimosse rientrano nella categoria “copycat”. Si tratta di app che copiano nel nome e nella grafica le app famose, sperando di ingannare gli utenti.

Sono poi state fatte fuori le applicazioni con contenuti inappropriati, dalla pornografia alla violenza, dall’incitamento all’odio alle attività illegali.

Altra categoria coinvolta è quella delle applicazioni potenzialmente pericolose, quelle cioè che contengono malware in grado di rubare i dati degli utenti e infettare i dispositivi.

Nota del redattore:

Mi rende nervoso apprendere di questa situazione pericolosa soprattutto per i bambini, porno nelle app di giochi, tramite interviste a pezzi grossi di Google in cui si racconta quanto sono stati bravi a cancellare tutte quelle minacce.

Ma porca paletta! Ai tempi si diceva che è inutile chiudere la stalla quando i buoi sono scappati. Bisogna rivedere la policy di Play Store e subito!

deep web, Google, Bing motori di ricerca, malware, sicurezza e virus

Google lancia Chronicle, compagnia specializzata in cybersecurity

30 Gennaio 2018 shep54 Lascia un commento

tratto, tradotto ed adattato da Business insider

La casa madre di Google ha appena annunciato un nuovo progetto per dare al mondo digitale un sistema immunitario.

Il team di ricerca e sviluppo gestito da Google la compagnia madre Alphabet, ha annunciato oggi una nuova società indipendente chiamata Chronicle. Chronicle spera di prevedere e deviare “attacchi informatici prima che si infiltrino nella rete di un’organizzazione”.

Chronicle sta già assumendo e le aziende stanno utilizzando la piattaforma come primi tester per fornire feedback.

“X” di Alphabet, il team di ricerca e sviluppo fondato da Google per sviluppare soluzioni che affrontano questioni globali, vuole aiutare i team di sicurezza a prevenire gli attacchi informatici prima che debbano affrontare le ripercussioni.

X è orgoglioso di affrontare problemi su larga scala come la sicurezza del traffico creando nuove tecnologie che fanno di più che costruire semplicemente su strumenti esistenti. Ora, sta assumendo il crimine informatico come sua prossima missione con una nuova società indipendente chiamata Chronicle, che l’amministratore delegato Stephen Gillett ha annunciato tramite un post media mercoledì mattina.

“La realtà per la maggior parte delle aziende oggi quando si parla di sicurezza informatica è reattiva: trova e ripulisci il danno: la vera sfera di cristallo da realizzare, che è ancora lontana diversi anni, predice e devia gli attacchi informatici prima che si infiltrino nella rete di un’organizzazione”, Astro Teller, leader di X, ha detto in un post Media separato.

L’annuncio di Gillett è andato in dettaglio su come Chronicle intende rendere quella luna piena una realtà. “X, la fabbrica della dfera di cristallo, è stata la nostra casa per gli ultimi due anni, infine abbiamo capito dove potevamo avere il maggiore impatto su questo enorme problema.

Ora siamo pronti a svelare la nostra nuova compagnia, che avrà due parti: una nuova piattaforma di intelligence e analisi della sicurezza informatica che speriamo possa aiutare le imprese a gestire e comprendere meglio i propri dati relativi alla sicurezza e VirusTotal, un servizio di intelligence malware acquisito da Google nel 2012 che continuerà a funzionare come negli ultimi anni.

” Le funzionalità di ricerca e di apprendimento automatico della piattaforma mirano a ridurre le migliaia di minacce alla sicurezza digitale attualmente contrassegnate a causa di tutti gli strumenti utilizzati per il rilevamento.

Invece, le aziende avranno una comprensione più chiara dello stato attuale della sicurezza. Inoltre, la piattaforma ridurrà tempi e costi dal momento che viene costruita sulla stessa infrastruttura che consente agli altri progetti di Alphabet la quantità di storage e potenza di elaborazione richiesta. Secondo il post medio di Gillett, il progetto sta andando avanti rapidamente.

Chronicle sta già assumendo e le aziende stanno utilizzando la piattaforma come primi tester per fornire feedback. “Ci auguriamo che rendendo questo mix di tecnologie disponibile per più aziende a prezzi accessibili, possiamo dare un vantaggio ai” bravi ragazzi “e aiutarci a invertire la tendenza contro il crimine informatico”.

facebook instagram twitter google+, Google, Bing motori di ricerca, interfaccia utente, malware, sicurezza e virus

Malware mostra annunci porno nelle app di giochi scaricate da Google Play

29 Gennaio 2018 shep54 Lascia un commento

Tradotto e adattato da una ricerca di: Elena Root e Bogdan Melnykov per Check Point.

I ricercatori hanno rivelato un nuovo e sgradevole codice dannoso su Google Play Store che si nasconde in circa 60 app di gioco, molte delle quali sono destinati ad essere utilizzati dai bambini.

Secondo i dati di Google Play, le app sono state finora scaricate tra 3 milioni e 7 milioni di volte.

Come funziona e quali sono le app incriminate

Soprannominato ‘AdultSwine’, questa applicazione dannosa provoca il caos in tre modi:

- - Visualizzazione di annunci pubblicitari dal Web che sono spesso altamente inappropriati e pornografici.
  - Tentativo di indurre gli utenti a installare false “app di sicurezza”.
  - Indurre gli utenti a registrarsi ai servizi premium a spese dell’utente.
Oltre a queste attuali tre attività principali, il codice dannoso può utilizzare la sua infrastruttura per ampliare i propri obiettivi ad altri scopi, come il furto di credenziali.
Una volta che l’app dannosa è installata sul dispositivo, attende il verificarsi di un avvio o la possibilità per un utente di sbloccare lo schermo, sul quale inizia la sua attività dannosa.
Annunci illegittimi e non appropriati
Innanzitutto, il malware contatta il proprio server Command and Control (C & C) per segnalare l’installazione corretta, invia i dati sul dispositivo infetto e quindi riceve le configurazioni, che ne determinano il corso.
Queste configurazioni indicano se nascondere l’icona (per impedire la rimozione), quali annunci visualizzare, su quali app e con quali termini.
È interessante notare che il server, tuttavia, vieta la visualizzazione degli annunci su determinate app come browser e social network, al fine di evitare sospetti.
Il codice dannoso verifica quindi alcune condizioni relative allo stato del dispositivo e controlla quale app è attualmente in esecuzione sullo schermo.
Una volta soddisfatti tutti i termini, inizia a visualizzare gli annunci illegittimi al di fuori del contesto dell’app. Se è incorporato in un’app del browser Web, gli annunci verranno visualizzati all’interno del browser, in caso contrario verranno visualizzati all’interno di una visualizzazione Web designata.
Per quanto riguarda gli annunci visualizzati, provengono da due fonti principali;

il primo è quello dei principali fornitori di annunci, che vietano la visualizzazione illegittima dei loro annunci

il secondo è la libreria di annunci del codice dannoso, che contiene annunci di natura offensiva, compresi gli annunci pornografici.

Tutti questi sono mostrati ai bambini durante il gioco in cui l’app si nasconde.

Tattiche di installazione di app ingannevoli

Un’altra linea di condotta perseguita dall’applicazione dannosa è quella di spingere gli utenti a installare app “di sicurezza” non necessarie e addirittura dannose.

Innanzitutto, l’app dannosa mostra un annuncio che afferma che il dispositivo dell’utente è stato infettato da un virus. Se l’utente preme la notifica “Rimuovi virus ora”, viene reindirizzato a un’app nel Google Play Store con una capacità alquanto discutibile di rimozione dei virus.

Un occhio esperto potrebbe facilmente prevedere questa tattica, anche se un bambino che gioca un’app di gioco è una facile preda per tali applicazioni nefaste.

Registrazione ai servizi Premium

Un’altra tecnica utilizzata dall’app dannosa è la registrazione ai servizi premium e l’addebito sull’account della vittima di servizi premium fraudolenti che non hanno richiesto di inviare o ricevere.

In modo simile alla tattica dello scareware vista in precedenza, l’app dannosa visualizza inizialmente un annuncio pop-up, che tenta di convincere l’utente a fare clic.

Questa volta, tuttavia, l’annuncio afferma che l’utente ha diritto a vincere un iPhone semplicemente rispondendo a quattro brevi domande.

Se l’utente risponde, il codice dannoso informa l’utente che ha avuto successo e gli chiede di inserire il suo numero di telefono per ricevere il premio.

Una volta inserito, il codice dannoso utilizza questo numero per registrarsi ai servizi premium. Segue la falsa notifica di vincita dell’iPhone

Richiesta di inserire il numero di telefono

Una minaccia completa.Anche se per il momento questa app malevola sembra essere una seccatura fastidiosa, e sicuramente dannosa sia a livello emotivo che finanziario, tuttavia ha anche una gamma potenzialmente molto più ampia di attività dannose che può perseguire, tutto basandosi sullo stesso concetto comune.

Il codice dannoso riceve semplicemente un collegamento di destinazione dal suo server di comando e controllo e lo visualizza all’utente.

Mentre in alcuni casi questo link è semplicemente una pubblicità, potrebbe anche portare a qualsiasi schema di ingegneria sociale che l’hacker abbia in mente. In effetti, questi grafici continuano ad essere efficaci anche oggi, specialmente quando provengono da app scaricate da fonti attendibili come Google Play.

diseguito le app incriminate:

Five Nights Survival Craft
Mcqueen Car Racing Game
Addon Pixelmon for MCPE
CoolCraft PE
Exploration Pro WorldCraft
Draw Kawaii
San Andreas City Craft
Subway Banana Run Surf
Exploration Lite : Wintercraft
Addon GTA for Minecraft PE
Addon Sponge Bob for MCPE
Drawing Lessons Angry Birds
Temple Crash Jungle Bandicoot
Drawing Lessons Lego Star Wars
Drawing Lessons Chibi
Girls Exploration Lite
Drawing Lessons Subway Surfers
Paw Puppy Run Subway Surf
Flash Slither Skin IO
Invisible Slither Skin IO
Drawing Lessons Lego Ninjago
Drawing Lessons Lego Chima
Temple Bandicoot Jungle Run
Blockcraft 3D
Jungle Survival Craft 1.0
Easy Draw Octonauts
halloweenskinsforminecraft
skinsyoutubersmineworld
youtubersskins
DiadelosMuertos
Draw X-Men
Moviesskinsforminecraft
Virtual Family – Baby Craft
Mine Craft Slither Skin IO
Guide Clash IO
Invisible Skin for Slither IO app
Zombie Island Craft Survival
HalloweenMakeUp
Thanksgi
ThanksgivingDay2
Jurassic Survival Craft Game
Players Unknown Battle Ground
Subway Bendy Ink Machine Game
Shin Hero Boy Adventure Game
Temple Runner Castle Rush
Dragon Shell for Super Slither
Flash Skin for Slither IO app
AnimePictures
Pixel Survival – Zombie Apocalypse
Fire Skin for Slither IO app
San Andreas Gangster Crime
fidgetspinnerforminecraft
Stickman Fighter 2018
Subway Run Surf
Guide Vikings Hunters
Woody Pecker
Pack of Super Skins for Slither
Spinner Toy for Slither
How to Draw Coco and The Land of the Dead
How to Draw Dangerous Snakes and Lizards Species
How to Draw Real Monster Trucks and Cars
How to Draw Animal World of The Nut Job
How to Draw Batman Legends in Lego Style

dark web, deep web, sicurezza e virus, WordPress

WordPress fa del tuo computer uno schiavo segreto degli hacker

30 Dicembre 2017 shep54 Lascia un commento

Durante l’ultimo mese, i media per la sicurezza delle informazioni hanno prestato molta attenzione al malware di criptovaluta. Stiamo iniziando a vedere attacchi che tentano di caricare malware di data mining e di pulizia dei siti che sono già infetti.

Questo articolo spiega cos’è il mining di criptovaluta, come verificare se hai questo problema e cosa fare al riguardo.

Attacchi minerari di criptovaluta su WordPress

Per quelli di voi che non lo sanno possiamo dire che le criptovalute sono valute digitali che possono fungere da alternativa alle valute tradizionali. Gli esempi includono Bitcoin, Litecoin, Ethereum e Monero, tra molti altri.

Il mining di criptovaluta è una serie di elaborate operazioni fatte da computer che contribuisce alle operazioni della rete di criptovaluta mentre soprattutto genera nuova valuta a vantaggio di chi lo gestisce.

Ci vuole una grande quantità di risorse informatiche per generare entrate significative. Le persone interessate al mining di criptovalute devono generalmente investire in costose attrezzature e risolvere il consumo energetico e il calore generato dall’hardware.

Di recente sono emerse piattaforme online che consentono ai proprietari di siti Web di sfruttare la potenza di calcolo dei visitatori del loro sito Web per creare la criptovaluta con operazioni di mining non dichiarate e fatte svolgere a danno dei visitatori.

I proprietari di siti web registrano semplicemente un account magari per scaricare un software gratuitamente e così facendo aggiungono JavaScript al loro sito. Il rovescio della medaglia è che le loro risorse informatiche vengono poi sfruttate. È molto discutibile pensare che i visitatori del sito web pirata vedranno questa pratica in modo favorevole, ma sarà interessante osservarne l’evoluzione.

Abbiamo visto il primo attacco su un sito WordPress che tentava di incorporare il codice di mining di criptovaluta il 17 settembre. Il volume di attacchi è stato finora molto basso e poco sofisticato.

Gli attacchi finora analizzati stanno tutti tentando di sfruttare le vulnerabilità di sicurezza note che esistono da molto tempo, quindi un sito ben aggiornato dovrebbe essre meno vulnerabile.

Abbiamo anche visto alcuni tentativi di inserire codice di mining utilizzando account di amministratore di WordPress compromessi, nonché alcuni attacchi che utilizzano account FTP compromessi, quindi attenti al phishing.

Come gli hacker traggono profitto dal malware di minig di criptovaluta

Gli hacker stanno incorporando il codice Javascript maligno sui siti Web che hanno compromesso. Per esempio il malware Coinhive fornisce un modo per estrarre una criptovaluta nota come Monero. Monero si differenzia da altre criptovalute come Bitcoin, in quanto non consente ai miners che utilizzano GPU o altri hardware specializzati un vantaggio computazionale significativo.

Ciò significa che è adatto per l’uso nei browser Web, eseguendo come JavaScript su CPU consumer, quindi è un attacco che mira all’utilizzatore non professionale del web, attenzione.

I proprietari dei siti che inseriscono il codice Coinhive sui propri siti Web guadagnano Monero perchè il malware Coinhive utilizza le risorse computazionali dei visitatori del sito per estrarre Monero.

Un utente malintenzionato può inserire il codice Coinhive su migliaia di siti Web e guadagnare Monero dall’attività di mining che avviene nei browser dei visitatori deli siti che ha infettato.

Ricerche recenti hanno concluso che un utente malintenzionato in grado di raggiungere una media di 1.000 utenti simultanei in tutti i siti infetti genererebbe 2.398 dollari di entrate mensili.

Pensiamo che questi attacchi cresceranno in numero molto rapidamente, data la loro redditività. Gli attacchi che tentano di incorporare malware crittografici sono attualmente poco sofisticati, ma ci aspettiamo di vedere un aumento della sofisticazione degli attacchi quando si scoprirà che questa è un’impresa redditizia.

Prevediamo inoltre che questi attacchi siano indirizzati a siti Web con traffico più elevato, dal momento che il potenziale di profitto aumenta notevolmente con un numero maggiore di visitatori di siti concorrenti.

Come verificare se il tuo sito è infetto da malware di minigdi criptovaluta

Fai sempre attenzione se molti dei tuoi visitatori iniziano a riportare scarso rendimento dal loro browser o computer mentre visitano il tuo sito.

Oppure registri rallentamenti o strani malfunzionamenti. Alcuni hacker hanno modificato le impostazioni del miners in modo che utilizzi solo una parte della potenza della CPU disponibile, o in modo che sia possibile eseguire solo un’istanza dello script minatore alla volta (anche se è aperta in più schede).

Però molti malware di mining sono ancora impostati per utilizzare il 100% delle risorse disponibili, quindi un forte calo delle prestazioni può essere un allarme.

Cambiamenti nei modelli di business degli attaccanti

Nuovi modelli di business stanno emergendo costantemente per gli aggressori. Storicamente, gli aggressori hanno utilizzato siti Web compromessi per generare contenuti di spam o e-mail spam.

Nell’ultimo decennio, il virus ransomware ha guadagnato popolarità tra gli aggressori, in quanto consente loro di estorcere denaro alle vittime.

Più recentemente, l’utilizzo di risorse computazionali rubate per la criptovaluta è emerso come un modo per hackers di trarre profitto da sistemi compromessi.

Questo modello di business emergente si è fatto strada nell’ecosistema WordPress come un modo per gli aggressori di trarre profitto da siti web WordPress compromessi e dalle risorse dei pc di proprietà dei visitatori del sito web.

È imperativo che i proprietari dei siti WordPress attivino un firewall ed effettuino una scansione malware sui loro siti per rilevare rapidamente questa nuova minaccia per garantire che le risorse dei loro visitatori non vengano dirottate sulla produzione di criptovaluta per “conto terzi” a favore di criminali.

Cosa fare se il tuo sito è infetto da malware di minig di criptovaluta

Ovviamente hai fatto copie di backup che ti consigliamo sempre di tenere aggiornate. Dopodichè esistono plugin come Anti Malware Security and Brute Force Firewall che possono anlizzare il tuo sito.

Inoltre Google stessa provvedreà ad avvisarti dell’infezione suggerendoti posssibili rimedi, via email o attraverso Search Console, poi starà a te pulire i file infetti oppure utilizzare una copia di backup recente.

Attento comunque è in arrivo una penalizzazione per i siti infettati che avrà un impatto su circa il 5% delle query (a seconda della lingua).

Google ci sta dicendo che NON si limiterà ad inserire un “link di avvertimento” all’interno degli snippet delle SERP, ma potrebbe decidere di eliminare dai risultati di ricerca le pagine colpite da hacked spam.