Misure ed indicazioni per prevenire la diffusione di minacce informatiche

Misure ed indicazioni per prevenire la diffusione di minacce informatiche

In virtù della sempre più diffusa inconsapevolezza sulle minacce digitali o dalle scarse conoscenze informatiche dell’utente medio, vorrei fare mente locale, aiutandomi con documenti accreditati già esistenti,  per stilare una lista dei rischi informatici più comuni, come riconoscerli e come prevenirli.

Tra le fonti che ho consultato vi è il documento pubblicato il 19 novembre 2019 dall’ufficio CERT della Pubblica Amministrazione (a.k.a. CERT-PA), il quale viene definito dalla stessa come una serie di azioni “utili per contrastare l’esecuzione e la diffusione di malware”.

Considerato che le misure proposte in questo articolo dovrebbero rappresentare il minimo sindacale per quanto riguarda le contromisure da adottare in ambito della sicurezza informatica, mi permetto di suggerire a chiunque, di qualsiasi livello di esperienza e a prescindere dalle mansioni lavorative, di leggere ed applicare quanto descriverò di seguito.
Da non dimenticare che queste misure sono valide anche per ambienti casalinghi.

A chi è rivolto questo prontuario

Prima di iniziare, è necessario comprendere il modo in cui queste minacce vengano diffuse e come questi malware possano agire sulla propria macchina o, peggio, nell’infrastruttura aziendale.

Queste nozioni sono rivolte alla fetta di utenti che più sono vulnerabili alle campagne malware e che più rischiano di essere il “portone di ingresso” per qualsivoglia attaccante.

Gli utenti più vulnerabili sono quelli che hanno a loro disposizione un computer con almeno:

  • Sistema operativo Microsoft Windows;
  • Suite di Microsoft Office, almeno i programmi Word e Excel;
  • Accesso alla rete interna aziendale (INTRANET) totale o parziale o l’accesso diretto ad apparati dell’infrastruttura (firewall, NAS, router…);
  • Client di posta elettronica ordinaria (PEO) o certificata (PEC) installato;
  • Possibilità di operare con privilegi amministrativi (anche se si utilizza un account limitato);

Come si può essere infettati?

Phishing e Malspam

Secondo Symantec, il 55% delle email che girano sul web sono messaggi di spam e 1 mail ogni 412 contiene allegati malevoli.

Ormai è risaputo che i messaggi di posta elettronica, ordinaria o certificata, siano i vettori preferiti dagli attaccanti, occupando sempre il primo posto nelle classifiche dei metodi più abusati per diffondere malware.

Nel 2017, l’utente medio riceveva almeno 16 email contenente malware ogni mese.https://blog.alertlogic.com/must-know-phishing-statistics-2018/

I tipi di email malevole che sono inviate con lo scopo di arrecare danno alle vittime sono prevalentemente phishing, ossia le tecniche utilizzate dai malintenzionati per convincere l’utente a cliccare su un link o scaricare un programma/documento apparentemente legittimo, con l’intento di “far abboccare” la vittima e installare malware, rubare dati personali o finanziari e così via.

Secondo una statistica di Google, i siti web creati con l’intento di rubare credenziali sono stati “preferiti” dai malintenzionati, rispetto ai siti che ospitavano malware o programmi malevoli, tanto da far scendere l’ammontare di siti web infetti del 91%, rispetto al 2017.

Ricapitolando, quindi, le email di phishing sono il vettore più utilizzato dagli hacker per diffondere malware.

Come si presentano queste email?

Le email di phishing possono presentarsi in due formati: con allegato o con un link da dover cliccare.

Nel primo caso, i messaggi vengono definiti “malspam“, ossia “Malware/Malicious Spam” e per citare due esempi si possono ricordare le note e stra-note campagne “fattura N. ####” o “avviso scadenza/giacenza/spedizione”.

Un esempio di campagna di tipo “fattura” (esempio qui di sotto), è quella mail dove l’utente viene invitato (alcune volte con un italiano molto precario) di aprire il documento o file allegato senza fornire ulteriori informazioni, facendo leva sulla curiosità e il dubbio da parte della vittima di chiedersi “stavo aspettando una fattura/un pagamento?”.

Le campagne con link da cliccare, dette “phishing“, puntano sul fatto che l’utente sia convinto che sia necessaria una qualsivoglia azione da intraprendere cliccando un collegamento internet, il quale lo reindirizzerà ad un servizio lecito.
I servizi più abusati per le campagne phishing sono PayPal, Microsoft, OneDrive, Office365, servizi di spedizione come TNT, DHL o Royal Mail, servizi bancari come ING, BNL o addirittura localizzati nel paese della vittima come Monte dei Paschi di Siena (phishing mirato ad una cerchia più stretta di utenti).

Come sopra, l’autore del messaggio spera di attirare attenzione dell’utente, quasi minacciando una ripercussione come la chiusura del profilo. Unica salvezza per evitare questa ripercussione è cliccare su un link che non porterà al servizio ufficiale dichiarato, ma reindirizzerà la vittima verso una pagina creata ad-hoc che salverà e spedirà le credenziali inserire all’autore della campagna.

Pagina di login fraudolenta che imita il form ufficiale Microsoft

Remote Desktop Protocol

Gli attacchi che sfruttano o abusano del protocollo di controllo remoto (noto come RDP) sono un numero che cresce anno dopo anno.

Non è solo colpa delle vulnerabilità riscontrate o della “bravura” degli hacker, ma anche perché il servizio RDP rimane acceso sulle macchine anche quando non necessario, lasciando una porta aperta a malintenzionati “casuali” o facilitando attacchi premeditati.

Nel 2017, sono stati scansionati in giro per il web più di 10 milioni dispositivi che avevano il servizio RDP esposto su Internet!

Come si abusa del protocollo RDP?

Per abusare di vulnerabilità presenti nel protocollo RDP, basta eseguire un programma o un documento contenente del codice appositamente scritto per mirare alle funzioni vulnerabili, non ancora risolte dal fornitore del sistema. Questo programma malevolo aprirà un vero e proprio “tunnel” tra la macchina vittima e quella dell’hacker, permettendo un canale sicuro e potenzialmente disastroso, per il malcapitato.

Alternativamente, se il servizio RDP fosse attivo e anche esposto su Internet, basterebbe che un malintenzionato inviasse alla macchina vittima uno o più pacchetti appositamente programmati per abusare della vulnerabilità desiderata, qualora essa fosse tanto grave da essere sfruttata con la sola ricezione di un pacchetto “bomba”.

Il danno e il rischio dipendono da quanto la falla permette al malintenzionato di “muoversi” nel sistema vittima.

Risorse web malevole o siti web compromessi

Un modo con cui un utente può entrare in contatto con programmi indesiderati o malevoli è attraverso siti web che sono stati compromessi o creati ad-hoc per convincere l’utente malcapitato che si tratti di software lecito.

Un esempio è il sito web ufficiale del progetto Monero, che ha subito una compromissione del setup che installa il client del portafoglio XMR, trasferendo denaro automaticamente nel conto dell’hacker.

Script Powershell

Appoggiandosi alle mail di phishing/malspam, gli hacker inseriscono all’interno di documenti di Office Word o Excel del codice Powershell che, una volta eseguito, proseguirà con l’infezione della macchina vittima.

Un esempio di codice Powershell ottenuto dal contenuto dentro un documento Excel malevolo:

Macro di Office

All’interno di documenti Office Word o Excel malevoli possono essere contenuti non solo codici di scripting Powershell, ma anche macro contenenti codice Visual Basic, come nell’esempio di sotto.

Come prevenire l’esecuzione e la diffusione dei malware?

Rimani informato sulle minacce e campagne attuali

Esistono bollettini e testate online che, gratuitamente, tengono informati i loro utenti riguardo le campagne che veicolano malware attualmente in corso, quasi sempre con suggerimenti precisi per prevenire l’infezione e sensibilizzare i lettori in merito alle minacce con cui possono venire in contatto.

I bollettini di cui consiglio la lettura sono:

Nome Fornitore Paese Link
CSIRT Italia Pubblica Amministrazione Italia https://www.cert-pa.it/
CERT GARR Ministero dell'Istruzione, dell'Università e della ricerca Italia https://www.cert.garr.it/it/alert/security-alerts
YOROI YOROI Italia https://blog.yoroi.company/
TS-WAY Weekly Threats TS-WAY Italia https://www.ts-way.com/it/weekly-threats/
Securelist Kaspersky Labs Russia https://securelist.com/
US CERT Department of Homeland Security Stati Uniti https://www.us-cert.gov/
MSRC Microsoft Stati Uniti https://msrc-blog.microsoft.com/
CERT EU Parlamento Europeo Europa https://cert.europa.eu/cert/filteredition/en/CERT-LatestNews.html

Phishing e Malspam

Se siete utenti non esperti, alzate il livello di sospetto se le email ricevute:

  • Sono scritte con un italiano precario (tempi verbali, figure maschili/femminili o singolari e plurali sbagliati) o presentano errori di ortografia elementari (“un’operaio”, “ti hanno stato chiesto”, “un ora fa”…);
  • Sono vaghe e non presentano una spiegazione dettagliata di ciò che sta succedendo;
  • Utilizzano un approccio quasi “minatorio” e imperativo verso l’utente;
  • Sono scritte da un mittente che dice di essere una vecchia amicizia o un contatto frequentato in passato;
  • Citano o riportano una comunicazione avvenuta in passato di cui non ricordate aver preso parte;

In caso riceviate un messaggio del genere, vi consiglio le opzioni:

  1. Contattate, se possibile, un parente o amico in grado di indicarvi come agire in maniera cauta senza innescare alcuna infezione;
  2. Ignorare il messaggio ricevuto;
  3. Qualora fosse un palese tentativo di frode, cestinare il messaggio;

Se siete utenti intermedi o avanzati, potete verificare l’autenticità del messaggio controllando l’URL riportato o l’allegato (se presente) su VirusTotal o su UrlScan, per esempio.

(in arrivo una guida su come analizzare una mail sospetta e assicurarsi che sia lecita)

RDP

Potete disattivare l’accesso remoto alla vostra macchina cercando sul menu START la parola “assistenza”, aprire “Consenti accesso remoto al computer” e deselezionare l’unica casella disponibile.

In aggiunta, può aiutare anche una regola in entrata nel firewall di Windows, aggiungendo un blocco esclusivo per la porta TCP 3389.

Risorse web malevole o siti web compromessi

In caso il sito web dove si è atterrati risulti sospetto o se ne volesse verificare la “affidabilità”, si possono sfruttare per due semplici strumenti:

VirusTotal

VirusTotal è una piattaforma che comprende più di 60 soluzioni antivirus, in grado di analizzare files, siti web o domini, restituendo gratuitamente un esito per ognuno dei risultati ottenuti.

Per esempio, io ho ricevuto una email di phishing che si è spacciata per l’Agenzia delle Entrate:

Analizzando il link presente nella mail su VirusTotal…

Ho ottenuto l’esito che cercavo, ossia potenzialmente malevolo!

UrlScan.io

Ne ho già parlato nel mio articolo sui motori di ricerca OSINT.

UrlScan è uno strumento molto potente e completo, che scansionerà per noi l’indirizzo fornito, fornendo un report su chi ospita il sito, come si presenterà esteticamente (screenshot), quali sono le chiamate HTTP, le risorse richieste…

Script Powershell

A meno che non siate smanettoni, sistemisti o sviluppatori, la Powershell è uno strumento potentissimo che però non troverà alcuno scopo per voi, pertanto è caldamente consigliato di disattivare la possibilità di esecuzione, per evitare che venga abusata con comandi pericolosi.

Per disattivare la Microsoft Powershell, recarsi su Pannello di controllo -> Programmi e Funzionalità e disattivare “Windows Powershell”.

Macro di Office

Le macro di Office sono molto importanti in certi ambienti lavorativi, perciò assicuratevi che sia possibile disattivarle senza ripercussioni.

Per disattivare la visualizzazione e l’esecuzione di macro VBA, è necessario aprire le impostazioni locali dei programma di Office e navigare fino a “Centro Protezione”, per poi esplodere il menu “Impostazioni macro”.

Successivamente, selezionare “Disattivare tutte le macro”,


Letture interessanti:

Mostra i Commenti