Prima / SAPERE / Reale/Virtuale / Gangster sul web

Gangster sul web

Il Symantec internet security threat report, il tradizionale rapporto della Symantec, l’azienda specializzata in protezione, riporta che nel primo trimestre di quest’anno (2007) sono stati registrati 212.101 codici maligni nuovi, con un incremento del 185% rispetto alla seconda metà del 2006. I Trojan hanno pesato per il 73% sulla lista dei primi 50 esemplari di codice maligno, con un aumento significativo rispetto al 60% del periodo precedente. Durante questo semestre, il 43% delle infezioni da worm proveniva da Europa, Medio Oriente e Africa (regione Emea). Si tratta di un vero e proprio giro d’affari illegale multi-miliardario.

Nel mirino dei cyber-criminali vi sono anche piccole banche e siti di social networking, attualmente molto visitati dagli utenti. In pericolo anche l’e-commerce, le transazioni on-line effettuate con carta di credito. Lo studio contiene analisi approfondite degli attacchi condotti via rete, una disamina delle vulnerabilità note e il riepilogo delle tipologie di codice pericoloso identificate; ed ha anche ha analizzato i numerosi problemi legati alle frodi online come phishing e spam. Secondo il rapporto, MPack costituisce una delle minacce più gravi registrate nella prima metà del 2007. Si tratta di un sofisticato toolkit venduto online che sferra attacchi contro le vulnerabilità browser e client-side per installare codice maligno sui computer di ignari utenti che si collegano a un sito violato. E’ stato verificato che MPack veniva venduto online al costo di mille dollari. Un ulteriore elemento che testimonia la natura commerciale di tali attività illecite è la diffusione di toolkit per phishing, ovvero una serie di script grazie ai quali un cyber-criminale può aprire automaticamente siti di phishing somiglianti in tutto e per tutto a quelli legittimi, addirittura con loghi e immagini fedeli a quanto appare sui siti originali. Tali script permettono inoltre di generare i corrispondenti messaggi email di phishing. Durante la prima metà del 2007, l’86% di tutti i siti Web di phishing rilevati da Symantec risiedeva su un limitato 30% di indirizzi IP di phishing, a indicare che i phisher stanno iniziando a utilizzare toolkit di phishing con una certa frequenza. Anche l’aumento del numero di server usati per supportare le attività di questo sistema economico sommerso rappresenta una prova ulteriore del fatto che gli attacchi maligni sono ormai una realtà sempre meglio organizzata sia professionalmente che commercialmente. Questi server vengono usati dai cyber-criminali per vendere informazioni violate, generalmente da riutilizzare nel furto di identità. Informazioni che possono riguardare numeri di identificazione rilasciati da enti pubblici, carte di credito, carte bancarie, codici PIN, account utente e liste di indirizzi mail. Durante i primi sei mesi del 2007, gli Usa si riconfermano al primo posto per quantità di server usati per supportare il traffico sommerso pesando per il 64% sul totale registrato da Symantec. L’oggetto maggiormente pubblicizzato sui server sommersi è risultato essere la carta di credito, che rappresenta il 22% di tutti i prodotti pubblicizzati. In questo periodo Symantec ha rilevato 8.011 carte di credito diverse proposte per lo scambio sui server sommersi. L’85% delle carte di credito pubblicizzate per la vendita attraverso questi server risultava essere emesso da banche statunitensi. Un’ulteriore tendenza da parte degli aggressori è quella di creare minacce aventi una natura regionale, un fenomeno che, sebbene si sia già verificato in passato, sta assumendo ora dimensioni sempre più rilevanti identificando target accomunati dalla stessa lingua, dalla stessa infrastruttura e/o dalla stessa tipologia di attività online. Se prima la natura delle minacce era prevalentemente globale, l’estensione di Internet a banda larga verso aree notoriamente non servite da connessioni high-speed ha offerto agli aggressori nuovi possibili target per i loro attacchi. L’arrivo della banda larga in nuove aree geografiche si traduce in nuovi possibili target per gli aggressori, che rivolgono quindi la loro attenzione a regioni mai prese precedentemente in considerazione. La regionalizzazione delle attività di attacco risulta particolarmente evidente nella diffusione di certe tipologie di codice maligno. Durante questo periodo il 44% di tutte le potenziali infezioni Trojan è stato rilevato in Nordamerica, mentre il 37% è scaturito dalla regione Emea. Per quanto concerne invece le infezioni da worm, l’area Emea ha raggiunto il 43% mentre il Nordamerica solo il 23%. Se in passato gli hacker creavano un singolo episodio di violazione per accedere illegalmente ai dati presenti su una determinata macchina, ora le tecniche si sono affinate tanto che Symantec ha parlato di attacchi multi-fase: viene creato un primo contatto che funge da via di ingresso per perpetrare attacchi successivi, in diverse fasi. Gli attacchi multi-fase rappresentano il tentativo da parte dei cyber-criminali di mettere a punto le tecniche utili a scavalcare applicazioni di sicurezza come IDS/IPS e firewall, effettivamente capaci di contrastare attacchi di rete su larga scala condotti tramite worm e DoS. Un esempio di questo approccio multi-fase è rappresentato da un codice maligno noto come ‘staged downloader’. Talvolta definito anche codice maligno modulare, lo staged downloader permette agli aggressori di modificare le componenti scaricabili sulla base della minaccia che meglio assolve all’attività illecita da condurre. L’utilizzo di attacchi multi-fase rappresenta l’estensione naturale dell’evoluzione dell’obiettivo ultimo degli attacchi. Come rilevato già nelle ultime tre edizioni del Report di Symantec, l’attività è mossa in primo luogo da scopi finanziari. La maggior parte degli attacchi mira a dati o informazioni utilizzabili direttamente per frodi o furti, come numeri di carte di credito o informazioni relative a conti bancari‚ o indirettamente per creare le condizioni necessarie alla conduzione di attività fraudolente. Una delle attività fraudolente più comuni è sicuramente il furto di identità. Molti degli attacchi multi-fase analizzati da Symantec sono progettati per ottenere informazioni che possono a loro volta violare informazioni non autorizzate. In alcuni casi, questa pratica richiede una serie di passaggi. I metodi utilizzati in passato, come ad esempio attacchi DoS e con worm di rete su vasta scala, non sono più efficaci per raggiungere tali obiettivi. Al contrario, ora sono necessari attacchi distribuiti in più fasi e su scala più ridotta. A dimostrazione di ciò, nel primo semestre 2007 otto su dieci dei principali staged downloader rilevati da Symantec erano Trojan.

Si assiste a un cambio di tendenza per il quale i cyber-criminali non ricercano più le proprie vittime, bensì attendono che siano gli stessi utenti, naturalmente in maniera totalmente inconsapevole, a creare il contatto. Una tecnica che funziona in quanto gli aggressori violano applicazioni e/o siti conosciuti, notoriamente sicuri e affidabili: accade quindi che collegandosi a un certo sito o aprendo una determinata applicazione la vittima permetta al cyber-criminale di inserirsi prontamente nel computer e sferrare l’attacco. Una tendenza resa possibile anche dal crescente sviluppo di applicazioni Web e dall’adozione di tecnologie Web 2.0 che utilizzano un browser per la loro interfaccia utente, che si basano su HTTP come protocollo di trasmissione e che risiedono su Web server. Tra le applicazioni Web-based si trovano sistemi di content management, siti di e-commerce (come ad esempio gli shopping cart), Weblog e mail Web-based.

Anche i siti di social networking si sono dimostrati canali utili per gli hacker che possono accedere a numerosi gruppi di utenti; utenti che hanno piena fiducia in quel determinato sito e nei relativi contenuti, e che quindi lo ritengono completamente sicuro. Gli aggressori prendono sempre più di mira i siti di social networking in quanto gli utenti sono sospettosi rispetto a messaggi email inattesi e altri metodi di adescamento.

I cyber-criminali hanno capito che gli stessi attacchi possono essere sferrati proprio dai siti di cui i consumatori si fidano; siti che possono essere facilmente violati grazie alla prevalenza delle vulnerabilità delle applicazioni Web presenti. Durante il periodo analizzato, il 61%o di tutte le vulnerabilità registrate riguardava proprio le vulnerabilità delle applicazioni Web. Per contro, questo trend ha sicuramente un impatto fortemente negativo sulla reputazione, sull’identità e sulla fiducia di consumatori e aziende appartenenti al mondo online. Tradizionalmente, l’Internet security threat report ha sempre analizzato e discusso le problematiche di sicurezza in quanto attività ben distinte, nello specifico attacchi Internet, vulnerabilità, codice maligno, phishing, spam e altre attività pericolose. Il report qui presentato mantiene questo tipo di approccio e di struttura. Ciononostante, nell’arco degli ultimi due semestri presi in esame è apparso sempre più chiaro che, se in passato le diverse minacce venivano utilizzate separatamente, ora gli aggressori stanno invece affinando le tecniche e consolidando le risorse al fine di creare dei network globali a supporto di un’attività criminale ben coordinata. A prova di questo Symantec sta rilevando una certa convergenza tra i diversi metodi di attacco.

Vedi anche

Quarto, la camorra, i cinquestelle e il pm che arrestò il principe di Savoia

Nel piccolo Comune di Quarto (circa 40 mila abitanti ad una ventina di chilometri da …

Lascia un commento

Questo sito utilizza i cookies. Se accetti o continui nella tua visita, consenti al loro utlizzo .

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close