Come guadagnare con il malware

Transcript

1 Come guadagnare con il malware Come agisce il cybercrimine e come contrastarlo Di Chester Wisniewski, Senior Security Advisor È importante capire le ragioni che si celano dietro i continui assalti di codice malevolo che bombardano firewall, utenti e server. Ogni giorno i SophosLabs rilevano più di file malevoli. Questi file non sono creati da governi o spie per scatenare una nuova cyberguerra. I criminali informatici di oggi sono motivati da una sola cosa: il guadagno. Interagire gli uni con gli altri come una comunità, al fine di capire meglio il cybercrimine, ci dona le munizioni necessarie per consolidare le nostre difese e per approfittare delle debolezze delle reti criminali.

2 Come agisce il cybercrimine Lo scopo della maggior parte del malware è generare un utile. I criminali informatici dispongono di diversi metodi per monetizzare le proprie attività. Per fortuna è necessario completare varie azioni per far funzionare l'intero processo. Ogni fase rappresenta una nuova opportunità per rompere la catena e impedire che le loro fatiche siano rimunerative. Il primo passo dei criminali informatici è l'individuazione delle vittime. Quelli che seguono sono i sei metodi principali di cui si servono i criminali informatici per adescare vittime inconsapevoli e comprometterne i computer per scopi criminali. 1. Spam: originariamente, la monetizzazione del malware ha avuto inizio con lo spam . Spaccio di medicine illegali, orologi falsi e spose russe costituiscono tuttora una pratica rimunerativa per molti criminali. Sebbene il volume di spam abbia cominciato a registrare un calo, gli spammer continuano a inviare miliardi di messaggi al giorno, nella speranza che anche solo una percentuale minima di essi riesca a superare i filtri antispam e a convincere qualcuno che abbia abbassato la guardia a effettuare un acquisto. Anche se in parte il malware viene ancora inviato come allegato , al giorno d'oggi utilizza più che altro il Web. 2. Phishing: criminali sfruttano le per scopi che vanno oltre lo spam volto alla promozione di prodotti e servizi. Le sono il metodo prediletto per sferrare attacchi di phishing. Tali attacchi possono variare da che si spacciano per un servizio di Internet banking al fine di prelevare le vostre coordinate bancarie, fino ad attacchi mirati che cercano di ottenere l'accesso ai servizi della vostra azienda. 3. Social media: molti spammer sono passati dallo spam diffuso tramite a quello che sfrutta i social media. Quando un link di spam a contenuto commerciale sembra provenire da amici o colleghi su servizi come Facebook e Twitter, vi è una più alta probabilità che gli utenti lo aprano. Notizie dell'ultima ora e altri servizi speciali su queste reti possono indurre vittime curiose a cliccare su link poco raccomandabili. 4. Blackhat SEO: gli scammer continuano a giocare al gatto e al topo con Google e Bing, per manipolare i risultati dei motori di ricerca in un meccanismo che si chiama Blackhat SEO o SEO poisoning. Questa trappola conduce a risultati di ricerca che sono stati sottoposti a "poisoning", inclusi risultati nella prima pagina che portano a siti contenenti exploit, malware e attacchi di phishing. Per ulteriori informazioni sul SEO poisoning, leggere il documento tecnico compilato dai SophosLabs. 5. Download drive-by: la maggior parte delle vittime cade nelle grinfie di questi ladri semplicemente visitando siti Web contenenti exploit noti come download drive-by. Ogni giorno i SophosLabs registrano nuovi URL che espongono navigatori Web innocenti a tutta una serie di codici che cercano di sfruttare le vulnerabilità di sistemi operativi, browser, plugin e applicazioni. 6. Malware: worm, virus e altri file di malware sono ancora oggi un valido aiuto per i propri creatori. Nonostante siano meno diffusi di quanto non lo fossero 10 anni fa, vi sono malintenzionati opportunisti che sfruttano tuttora i sistemi esposti e reclutano i dispositivi informatici della gente per conseguire i propri scopi. Whitepaper Sophos giugno

3 Guadagno e malware Una volta adescata una vittima, i criminali dispongono di diversi modi per generare un utile. Quelli che seguono sono otto stratagemmi utilizzati dai cybercriminali per sfruttare le vittime a scopo di lucro. Vendita di prodotti Il modo più semplice per generare guadagni da qualsiasi tipo di malware, spam o violazione di un sito è la vendita di un prodotto. I criminali devono semplicemente avviare un negozio online e utilizzare i siti Web infetti per inviare promozioni e pubblicità che generino traffico sulla propria vetrina virtuale. Molte di queste operazioni non sono solamente semplici business fittizi. Inviano imitazioni di prodotti famosi come Viagra, orologi Rolex, borse Gucci, nonché vari pacchetti software piratati. Furto delle credenziali di accesso Lo scopo dei messaggi spam di phishing è spacciarsi per comunicazioni provenienti da qualcuno che conoscete o di cui vi fidate. I criminali sfruttano tecniche di ingegneria sociale copiate da marchi veri per prelevare nomi utente e password associati a siti ad alto valore commerciale, come ad es: PayPal, banche, Facebook, Twitter, Yahoo e servizi basati sul Web. Per i criminali è facile imitare queste aziende, in quanto tutto ciò che si trova on-line è digitale. Si appropriano di comunicazioni legittime delle aziende utilizzate dalle vittime, reindirizzando i link su pagine Web fittizie. In percentuale, le di phishing rappresentano una minaccia sempre più concreta che sfrutta l'ingenuità degli utenti in materia di attacchi e violazione dei dati. Frodi "pay-per-click" Dopo aver violato il computer di un utente, i criminali possono scaricare malware in grado di manipolare il traffico Internet. Ridirigono i clic della vittima su pubblicità situate sulle pagine Web dei criminali. I criminali generano utili dalle reti pubblicitarie incrementando il traffico sugli annunci dei clienti. Software di sicurezza fasulli Spesso noti come fake anti-virus, questi programmi sono studiati per comportarsi in maniera completamente opposta rispetto al malware tradizionale: sono chiassosi, fastidiosi e appariscenti. I fake anti-virus agiscono quando un utente visita una pagina Web che installa di nascosto il fake anti-virus sul computer, convincendo la vittima della presenza di un rischio di infezione. Solitamente, i criminali esigono circa US$100 per "rimuovere" la minaccia dal computer infetto con il fake anti-virus. In realtà, il fake anti-virus non rimuove le minacce: è una minaccia in sé. E i criminali possono addirittura estorcere altri soldi dalla vittima offrendo supporto e sottoscrizioni di diversi anni. Le suite di sicurezza fasulle prendono di mira gli utenti Windows, Mac e persino Android. Whitepaper Sophos giugno

4 Ransomware I cybercriminali possono utilizzare il ransomware per cifrare documenti, settori di avvio, o altri componenti importanti dei vostri PC per tenerli in ostaggio fino a quando non venga pagato un riscatto. Spesso il ransomware si serve di algoritmi di cifratura moderni e solamente i criminali posseggono la chiave per sbloccare i file. Se volete recuperare le informazioni, dovete pagare. Tradizionalmente il ransomware proveniva quasi esclusivamente dalla Russia, ma recentemente si è notato che queste gang stanno prendendo di mira America del Nord, Europa e Australia. Una nuova variante che affligge gli utenti Internet nel 2012 è un comunicato delle forze dell'ordine fasullo, che sostiene di aver rilevato sul computer contenuti relativi alla pedofilia. Il messaggio comunica alla vittima che il computer è stato bloccato e che è necessario pagare una multa di $100 per sbloccarlo. Il ransomware blocca un computer o determinati file, fino a quando la vittima non paga ai cybercriminali una multa o un riscatto. Spam sui social media Al giorno d'oggi, fare in modo che i messaggi raggiungano la nostra casella di posta in arrivo è più difficile che mai. I filtri antispam bloccano più del 99% dello spam prima ancora che possa essere avvistato. E gli utenti possono individuare i nomi fasulli dello spam che riesce a superare i filtri. I social media come Facebook e Twitter sono un ambito molto allettante per le attività degli spammer. I criminali possono acquistare l'accesso a credenziali di accesso sottratte illecitamente, oppure convincere gli utenti a diffondere frodi per conto loro. Usufruiscono del vostro capitale sociale: più amici e seguaci avete, più gente può ricevere spam per mezzo del vostro account. È molto più probabile che gli utenti clicchino su un messaggio che promuove ipad gratuiti o piani di dimagrimento miracolosi, se proviene da qualcuno che conoscono e di cui si fidano. Whitepaper Sophos giugno

5 Malware bancario Ultimamente è sorto un settore altamente specializzato mirato a carpire informazioni relative all'autenticazione per accedere a istituzioni finanziarie on-line. Sebbene in origine fosse un semplice software di key-logging avente lo scopo di prelevare illecitamente nomi utente e password, è ora diventato un complicato gioco del gatto e topo fra criminali e banche. Esistono trojan di Internet banking per dispositivi BlackBerry, Windows, Android, ecc... Questi trojan sono in grado di carpire i messaggi SMS e di filmare il vostro schermo mentre effettuate l'accesso, caricando video come quelli di YouTube che i criminali possono visualizzare. Una gang arrestata dall'fbi nel 2010 ha cercato di derubare le proprie vittime di quasi 220 milioni di dollari 1. Frode degli SMS a tariffa maggiorata Invece di chiedere il numero di carta di credito o cercare di prelevare una somma direttamente dal conto bancario, molti spammer dei social media e autori di malware mobile sfruttano i servizi SMS. Quando partecipate a un sondaggio su Facebook che richiede il vostro numero di cellulare per inviare notifica di un'eventuale vincita, in realtà venite iscritti a un servizio SMS a tariffa maggiorata. Le app piratate del vostro Android possono implicare degli extra: un programma che comincia a inviare a vostre spese messaggi SMS a numeri a tariffa maggiorata. La rete dei cybercriminali Con tutte le varie fasi necessarie per il funzionamento degli stratagemmi criminali volti al lucro, i malintenzionati devono specializzarsi. Devono possedere abilità, esperienza e conoscenza per poter continuare a eludere le nostre difese e evitare la cattura da parte delle forze dell'ordine. In questo paragrafo vengono descritti i vari ruoli di cui hanno bisogno i criminali informatici per creare una rete criminale di successo. Autori di exploit Gli autori di exploit sono hacker specializzati nell'individuare vulnerabilità del software e nel creare pacchetti di exploit: una serie di vulnerabilità raccolte in un unico pacchetto. Gli autori di exploit rivendono tali pacchetti a criminali dalle competenze tecniche inferiori, che li utilizzano su siti Web e allegati per installare malware sui computer privi di patch. Traduttori La qualità del linguaggio utilizzato per contenenti spam, esche e attacchi di ingegneria sociale ha subito un rapido miglioramento negli ultimi anni. Sembra che gli autori di tali attacchi investano in servizi professionali di traduzione per incrementare il numero di vittime che possono allettare con le loro truffe. 1 "Zbot suspects arrested in Ukraine," Blog Naked Security, Whitepaper Sophos giugno

6 Bot herder Il compito dei bot herder è quello di infettare tutti i computer zombie da inserire in una botnet; quest'ultima viene a sua volta sfruttata dai criminali per diffondere spam, per sferrare attacchi DDoS, per impostare proxy, oppure per soddisfare altre esigenze informatiche legate ad attività criminali segrete. I bot herder identificano e vendono o concedono in leasing i computer in base a ubicazione e tipo di bot richiesta dall'acquirente. Money mule e mule manager I criminali specializzati in ambito finanziario hanno bisogno di collaboratori nel mondo reale che siano in grado di recarsi in una banca e trasferire fondi o depositare assegni. I mule manager sono specializzati nell'arruolare poveri sventurati o individui disposti a chiudere un occhio quando si tratta di commettere frodi finanziarie. Molti "mule" vengono indotti con l'inganno a collaborare con truffe di tipo "work-at-home", o camuffate in altro modo. Proprietari delle Partnyo'rka In italiano, Partnyo'rka può essere tradotta approssimativamente come rete di partner. Le Partnyo'rka sono strategie di marketing di affiliazione strutturate per far sì che criminali di basso livello favoriscano varie promozioni, quali: offerte di farmacie canadesi, beni di lusso e altri servizi o oggetti pubblicizzati tramite spam. Per ogni vendita le Partnyo'rka promettono ai propri affiliati una provvigione. I proprietari delle Partnyo'rka promuovono le proprie strategie mediante spam diffuso tramite , forum, chat, commenti su blog e social media, nonché anche poisoning dei siti Web e Blackhat SEO. Tool provider Sebbene come principio generale non vi sia niente di criminale nello sviluppare un software, esiste un gruppo di persone che crea tool con il solo scopo di diffondere spam e malware. Per una cifra che può variare da 20 a diverse migliaia di dollari, i criminali informatici possono acquistare exploit, toolkit e risolutori di CAPTCHA, nonché tutta una serie di altri strumenti appositamente studiati per spammare tutti i servizi on-line possibili e immaginabili. Autori di malware Per citare il CEO di Microsoft Steve Ballmer, i developer, developer, developer sono il fulcro dell'intera operazione del cybercrimine. Sembrerebbe che la maggior parte dei developer di malware non distribuiscano i propri prodotti direttamente, bensì che li rivendano ad agenti di cybercrimine organizzato. Whitepaper Sophos giugno

7 Come essere vincenti Finché vi saranno opportunità di lucro, i criminali continueranno a sfruttare qualsiasi occasione si presenti per metterci le mani in tasca. Sebbene questa lotta contro i cybercriminali possa sembrare un'impresa ardua, è pur sempre una battaglia che possiamo vincere. Nonostante i nostri nemici abbiano moltissimi incentivi per voler infettare gli utenti, per raggiungere il proprio scopo le loro strategie richiedono il completamento di diverse fasi. Spezzando anche solo uno degli anelli della catena, possiamo impedirne immediatamente l'avanzamento. Basterebbe semplicemente applicare le patch in maniera più rapida, eliminare le applicazioni non essenziali ed effettuare l'accesso come utente privo di privilegi per contrastare più del 90% di questi attacchi. Molti attacchi vanno a segno quando gli utenti abbassano la guardia. Con validi esempi e una maggiore presa di coscienza da parte degli utenti in materia di minacce, potete ridurre il rischio che gli utenti aprano allegati contenenti malware o che clicchino su link malevoli per pura curiosità. È necessario evidenziare che, se da un lato i tool di sicurezza contribuiscono a potenziare la sicurezza della rete, sono gli utenti stessi a rappresentare la difesa più importante per le informazioni aziendali di natura sensibile. Dobbiamo imparare a riconoscere i nostri punti deboli e a collaborare gli uni con gli altri come una comunità, condividendo le informazioni che ci servono per difenderci. Minimizzare la superficie di attacco diminuendo il numero di app utilizzate, informare gli utenti e limitare i diritti di amministrazione sono tutti fattori che possono contribuire a rendere difficile il compito dei truffatori, che a loro volta dovranno recarsi altrove per trovare vittime. Partecipate a un evento "Anatomy of Attack" Per iscrivervi, visitate Sophos.com Vendite per Italia Tel: (+39) sales@sophos.it Boston, USA Oxford, Regno Unito Copyright Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. Whitepaper Sophos 06.12v1.dNA