Trend 2013, volume 19, pubblicato nel giugno 2014

Transcript

1 Trend 2013, volume 19, pubblicato nel giugno 2014 Report sulle minacce alla sicurezza dei siti Web 2014

2 Sommario Introduzione 3 Sintesi 4 La sicurezza nel 2013, mese per mese 5-7 Il 2013 in cifre 8 Violazioni 9 Web 10 Attacchi mirati 11 Spear phishing 12 Basati su Web Spear phishing (cont.) Attacchi watering hole Individuazione delle reti e intercettazione di dati 21 Violazioni di dati 23 Tattiche di e-crime e di diffusione del malware Tattiche di diffusione del malware 27 Attacchi Web bloccati 30 Classificazione dei siti Web più violati nel Tattiche di diffusione del malware (cont.) Proporzioni del traffico 32 Social media Spam e phishing Siti compromessi 40 Prospettive della sicurezza Raccomandazioni e linee guida per le best practice HeartBleed Proteggere le attività online con Symantec 49 Informazioni su Symantec 50 2 I Symantec Corporation

3 Introduzione Symantec vanta la più completa fonte di dati relativi alle minacce Internet, un sapere collettivo raccolto dalla Symantec Global Intelligence Network, una rete costituita da oltre 41,5 milioni di sensori di attacco in grado di registrare migliaia di eventi ogni secondo. La rete monitora le attività correlate agli attacchi in più di 157 paesi e regioni, mediante una combinazione di prodotti e servizi Symantec quali Symantec DeepSight Threat Management System, Symantec Managed Security Services, prodotti Norton, soluzioni Symantec per la sicurezza dei siti Web e altre fonti di dati fornite da terze parti. Symantec implementa inoltre uno dei più completi database delle vulnerabilità al mondo, che attualmente ospita oltre vulnerabilità registrate da più di fornitori, per una base complessiva di oltre prodotti. I dati relativi a spam, phishing e malware vengono acquisiti da una varietà di fonti, tra cui Symantec Probe Network, un sistema formato da più di 5 milioni di account esca, Symantec.cloud, i prodotti di contrasto del malware e delle vulnerabilità di Symantec Website Security Solutions e altre tecnologie Symantec per la sicurezza. Skeptic, la tecnologia euristica proprietaria di Symantec.cloud, è in grado di rilevare nuove e sofisticate minacce mirate prima che queste raggiungano le reti dei clienti. Ogni giorno vengono elaborati oltre 8,4 miliardi di messaggi e filtrate più di 1,7 miliardi di richieste Web in 14 data center. Symantec raccoglie inoltre informazioni sul phishing tramite una comunità antifrode formata da aziende, fornitori di soluzioni di sicurezza e oltre 50 milioni di consumatori. Le soluzioni Symantec per la sicurezza dei siti Web garantiscono una disponibilità del 100% e l elaborazione di oltre 6 miliardi di ricerche OCSP (Online Certificate Status Protocol) al giorno, eseguite per ottenere lo stato di revoca dei certificati digitali X.509 in tutto il mondo. Grazie a queste risorse, gli analisti Symantec dispongono di una dovizia senza eguali di dati, per mezzo dei quali individuare, analizzare e resocontare le tendenze emergenti in fatto di attacchi, codice dannoso, phishing e spam. Il risultato è la terza pubblicazione del Report Symantec sulle minacce alla sicurezza dei siti Web (basato sul volume 19 del report ISTR di Symantec), che ogni anno fornisce a grandi aziende, piccole e medie imprese e consumatori informazioni essenziali per proteggere con efficacia i propri sistemi sia nell attualità che per il futuro. 3 I Symantec Corporation

4 Sintesi Nel 2013 l attenzione è stata catalizzata dai fenomeni dello spionaggio informatico, delle minacce per la privacy e delle violazioni compiute da personale interno. Un bilancio a fine 2013 ci ricorda tuttavia che è ancora il crimine informatico a dominare la scena dell illegalità online, una presenza che continua a incombere sulla sicurezza delle aziende e dei consumatori. Delle violazioni avvenute nel 2013, solo 8 hanno portato, ciascuna, all esposizione di oltre 10 milioni di identità. Gli attacchi mirati sono nel complesso aumentati. Il report WSTR di quest anno copre l intero panorama delle minacce, riassumendo i dati raccolti e analizzati dagli esperti della sicurezza di Symantec. Eccone una breve sintesi. I trend più importanti del 2013: 2013, l anno della mega violazione Secondo la definizione che ne dette allora l Internet Security Threat Report, il 2011 fu l anno della violazione dei dati. Tenuto conto dei nuovi fenomeni, possiamo definire il 2013 l anno della mega violazione. Il numero totale delle violazioni del 2013 (253) è aumentato del 62% rispetto all anno precedente, arrivando a infrangere il record del 2011 (208). Eppure, persino un dato eloquente come l incremento del 62% non rende una dimensione realistica dell impatto delle violazioni nel Otto di quelle avvenute in quell anno hanno causato, ciascuna, l esposizione di più di 10 milioni di identità. Nel 2012 solo una violazione aveva prodotto un esposizione di tale entità. Nel 2011, anno dei record, non più di cinque. Nel complesso, più di 552 milioni di identità hanno subito una violazione nel 2013, mettendo a repentaglio le informazioni personali dei clienti (carte di credito, password, indirizzi...). Attacchi mirati: diffusione e salto di qualità Come riportato per la prima volta nel report dello scorso anno, una nuova arma è andata ad arricchire l arsenale degli hacker: gli attacchi watering hole. Le analisi che sanciscono la morte dello spear phishing appaiono in buona parte affrettate. Se il numero totale delle utilizzate per le campagne, così come quello degli attacchi mirati, è diminuito, di segno opposto appare il trend delle campagne di spear phishing, che nel 2013 hanno fatto osservare un aumento vertiginoso: +91%. Attacchi watering hole facilitati dalle vulnerabilità zero-day e dai siti Web non bonificati Il numero delle vulnerabilità rilevate nel 2013 da Symantec supera quello di qualsiasi altro anno. Le 23 venute alla luce rappresentano un aumento del 61% rispetto al 2012 e di più di due terzi rispetto alla somma delle violazioni dei due anni precedenti. Le vulnerabilità zero-day assumono un valore significativo per gli hacker in quanto offrono loro un mezzo per infettare la vittima senza dover fare ricorso al social engineering. Abbinando questi exploit agli attacchi watering hole, aggirano il possibile blocco da parte delle tecnologie anti-phishing. Sfortunatamente, alla diffusione di questo tipo di attacchi hanno contribuito gli stessi siti Web legittimi privi di procedure efficaci di gestione delle patch. Il 78% dei siti Web legittimi ha rivelato la presenza di vulnerabilità sfruttabili e, tra questi, 1 su 8 presentava vulnerabilità importanti. Uno scenario di questo genere ha fornito ai cybercriminali un ventaglio di possibilità enorme riguardo ai siti Web da scegliere come destinazione occulta del malware, capace di fare da trappola per le proprie vittime. In genere, gli hacker più sofisticati cessano di sfruttare una vulnerabilità una volta che sia diventata di pubblico dominio, ma ciò non significa che ne venga cessato automaticamente l uso. I criminali informatici comuni la fanno rapidamente propria per potenziare la forza d attacco sulla generalità delle aziende e dei consumatori. Anche se, in media, le cinque più importanti vulnerabilità zero-day sono state rimosse con patch nel giro di cinque giorni, Symantec ha rilevato un totale di attacchi a 30 giorni dalla loro scoperta. Immutato il comportamento degli utenti dei social media nonostante la diffusione delle truffe Il pubblico dei social media continua sostanzialmente a cadere vittima delle tecniche fraudolente. Le offerte fittizie, come l accredito di minuti gratis per la telefonia mobile, hanno rappresentato la forma più diffusa di attacchi tra gli utenti di Facebook nel 2013: 81% rispetto al 56% del E, nonostante il 12% degli utenti di social media affermi di avere subito una violazione dell account con conseguente furto dell identità, un quarto continua a condividere le password dei social network e un terzo a entrare in contatto con persone totalmente sconosciute. L attenzione crescente degli hacker all Internet degli oggetti Baby monitor, videocamere di sicurezza e router sono saliti alla ribalta dei report sulle minacce online del Le ricerche hanno portato alla luce anche violazioni dei nuovi sistemi connessi di home entertainment, in-car ed elettromedicali. Sono dati che ci offrono una significativa anteprima di quello che potrà essere l impatto sulla sicurezza della rapida diffusione dell Internet degli oggetti (IoT, Internet of Things). 4 I Symantec Corporation

5 La sicurezza nel 2013, mese per mese

6 La sicurezza nel 2013, mese per mese 01 January Gennaio 02 February Febbraio March Marzo April Aprile May Maggio June Giugno Il team Elderwood Project viene identificato come utilizzatore di una nuova vulnerabilità zero-day di Internet Explorer (CVE ) Una vulnerabilità zero-day di Java viene rilevata nel Cool Exploit Kit (CVE ) La vulnerabilità Android.Exprespam viene identificata come in grado di infettare migliaia di dispositivi La vulnerabilità Backdoor.Barkiofork viene utilizzata per attaccare le organizzazioni dei settori aerospaziale e difesa La botnet Bamital viene smantellata Una vulnerabilità zero-day di Adobe viene utilizzata nell attacco LadyBoyle (CVE ) Il toolkit multipiattaforma Frutas, utilizzato per la creazione del tool di attacco RAT (Remote Access Tool), viene scoperto Un finto aggiornamento di Adobe Flash che installa ransomware ed esegue clic fraudolenti viene scoperto Bit9 è vittima di una violazione della sicurezza Un malware Android invia spam ai contatti delle vittime La truffa Facebook Black si diffonde su Facebook Il kit di exploit Blackhole sfrutta la crisi finanziaria cipriota Varie banche e broadcaster sudcoreani vengono coinvolti in un attacco informatico La campagna hacktivista #OpIsrael attacca i siti Web israeliani NPR, Associated Press e vari account Twitter vengono violati dal gruppo Syrian Electronic Army (SEA) Un attacco DDoS (Distributed Denial of Service) viene sferrato a Reddit e a varie banche europee Una vulnerabilità di un plug-in di WordPress che consente attacchi PHP injection viene scoperta LivingSocial è costretta ad azzerare le password di 50 milioni di account dopo una violazione dei dati Un sito Web del Dipartimento del Lavoro USA è vittima di un attacco watering hole Criminali informatici sottraggono più di 1 milione di dollari a un ospedale dello stato USA di Washington Il gruppo SEA viola gli account Twitter di The Onion, E! Online, The Financial Times e Sky Una nuova vulnerabilità zero-day di Internet Explorer 8 viene utilizzata in un attacco watering hole (CVE ) La campagna hacktivista #OpUSA viene lanciata contro vari siti Web statunitensi Sette uomini vengono arrestati a New York in connessione con il loro ruolo negli attacchi informatici internazionali che hanno portato al furto di 45 milioni di dollari in 26 paesi Microsoft e FBI smantellano le botnet Citadel Uno scandalo del settore della sicurezza nazionale emerge negli Stati Uniti, dopo che un ex fornitore di servizi di intelligence del governo americano ha diffuso una serie di documenti riservati Una vulnerabilità zero-day viene rilevata nella maggior parte dei browser usati in PC, Mac, dispositivi mobili e console di gioco Anonymous sferra l attacco #OpPetrol contro le aziende del settore idrocarburi internazionali 65 siti Web vengono compromessi e resi host di adware mediante il trojan ZeroAccess La vulnerabilità FakeAV viene rilevata nei dispositivi Android 6 I Symantec Corporation

7 La sicurezza nel 2013, mese per mese 07 Luglio 08 Agosto 09 Settembre 10 Ottobre 11 Novembre 12 December Dicembre Ubisoft viene violata e i dati relativi agli account dei propri utenti rubati La Francia viene coinvolta nello scandalo PRISM alla luce di nuove rivelazioni sulle violazioni di dati Un nuovo kit di exploit prende di mira alcune falle di Internet Explorer, Java e Adobe Reader Un ransomware che genera false comunicazioni dell FBI e diretto ai computer OSX viene scoperto La vulnerabilità Master Key di Android viene sfruttata su larga scala Viber e Thomson Reuters si aggiungono alle numerose vittime degli attacchi del gruppo SEA New York Post, SocialFlow, Washington Post, New York Times e il blog di Channel 4 vengono compromessi dalle azioni di SEA Una violazione di DNS causa il reindirizzamento degli utenti di migliaia di siti verso un kit di exploit Due nuove truffe basate su ransomware vengono rilevate: una modifica le credenziali di accesso di Windows sui sistemi cinesi, l altra sfrutta il controverso programma PRISM della NSA Un finto Instagram per PC indirizza gli utenti Internet a sondaggi fraudolenti Hacker attaccano i meccanismi di switch bancario per rubare milioni di dollari La tecnica di social engineering Francophoned segna un salto di qualità negli attacchi mirati Il gruppo Syrian Electronic Army compromette, presumibilmente con un trojan Mac, il sito Web del corpo dei Marine statunitensi e gli account Twitter di Fox Viene alla luce il caso dei bancomat che distribuiscono contante ai criminali Il ransomware chiamato Cryptolocker, che crittografa i file delle vittime e chiede un riscatto per decodificarli, viene scoperto Symantec porta alla luce il gruppo di hacker a contratto Hidden Lynx Un azienda di telecomunicazioni belga viene compromessa in quella che si suppone essere una campagna di cyberspionaggio Symantec Security Response neutralizza la botner ZeroAccess Il mercato nero virtuale Silk Road, temporaneamente fuori uso, riprende le attività verso la fine del mese Il gruppo SEA attacca GlobalPost, i siti Web del Qatar e le dello staff del presidente USA Adobe conferma una violazione della sicurezza e la conseguente esposizione di 150 milioni di identità L autore dei kit di exploit Blackhole e Cool viene arrestato WhatsApp, AVG e Avira vengono danneggiati dagli attacchi del gruppo di hacker KDMS Un nuovo ransomware chiede un riscatto in valuta Bitcoin in cambio della chiave di decodifica Una seconda vulnerabilità Master Key di Android viene scoperta Una vulnerabilità zero-day di Microsoft viene sfruttata per attacchi mirati e truffe elettroniche (CVE ) Il gruppo SEA viola VICE.com per ritorsione a un articolo che rivelerebbe l identità di suoi membri Anonymous annuncia di aver violato la rete Wi-Fi del parlamento britannico durante le proteste londinesi Un worm Linux che prende di mira la cosiddetta Internet degli oggetti viene scoperto Target conferma di aver subito una violazione dei dati con conseguente esposizione di 110 milioni di identità I dati di 20 milioni di ospiti di hotel cinesi vengono violati Una vulnerabilità Cross Site Scripting (XSS) viene rilevata in un applicazione per il controllo delle turbine eoliche Imitazioni di Cryptolocker, sviluppate nell intento di sfruttare il successo dell originale, vengono scoperte 105 milioni di account sudcoreani vengono esposti in seguito a una violazione della sicurezza delle carte di credito 7 I Symantec Corporation

8 Il 2013 in cifre

9 Violazioni Le mega violazioni sono le violazioni di dati che hanno causato, ciascuna, l'esposizione di almeno 10 milioni di identità. Otto sono state quelle del 2013, rispetto all'unica rilevata nel Violazioni con esposizione di più di 10 milioni di identità I dieci tipi di dati violati più frequentemente 01 Nominativi 02 Date di nascita 03 Codici fiscali o sanitari +700 % 04 Indirizzi anagrafici 05 Cartelle sanitarie 06 Numeri di telefono 07 Dati finanziari 08 Indirizzi 09 Nomi utente e password 10 Dati assicurativi Violazioni totali Totale identità esposte milioni % +493 % milioni 2012 Nel 2013, l'hackeraggio si è confermato la principale causa di violazioni di dati. Esso può minare la fiducia nell'azienda, mettendone in luce il livello inadeguato di attenzione alla sicurezza, e danneggiarne la reputazione a seguito della pubblicità negativa causata dalla perdita di dati personali. L'hackeraggio ha rappresentato il 35% di tutte le violazioni di dati rilevate nel Nel 2013, otto violazioni di dati hanno fruttato agli hacker l'accesso a 10 milioni o più di identità, raggiungendo in un caso l'impressionante cifra di 150 milioni di identità violate. Contrariamente, solo una violazione aveva prodotto un'esposizione di entità superiore ai 10 milioni di identità nel I Symantec Corporation

10 Web Circa il 67% dei siti Web utilizzati per diffondere il malware è stato identificato come legittimo e successivamente compromesso. Nuovi domini Web dannosi univoci % Attacchi Web bloccati ogni giorno % I Symantec Corporation

11 Attacchi mirati

12 Attacchi mirati - Spear phishing ATTACCHI MIRATI SPEAR PHISHING Attacchi di spear phishing per dimensioni aziendali 50 % 19 % 31 % 2012 Grandi aziende > dipendenti Medie imprese Piccole imprese % 31 % 30 % 2013 Rischio di attacco 1 SU 2,3 1 SU 5,2 Gli attacchi mirati diretti alle piccole imprese (1-250 dipendenti) hanno rappresentato il 30% degli attacchi mirati di spear phishing. Di queste aziende, una su cinque è stata vittima di almeno un attacco di spear phishing nel Il 39% degli attacchi mirati di spear phishing è stato sferrato verso grandi aziende con più di dipendenti. Una su due ha subito almeno un attacco di questo tipo. La prima linea di questi attacchi sta risalendo la catena logistica delle grandi aziende, che rischiano di vedersi colpite da attacchi watering hole basati su Web in seconda battuta, quando le di spear phishing non producono gli effetti desiderati. 12 I Symantec Corporation

13 Attacchi mirati - Web In breve Man mano che gli hacker ottimizzano le proprie tecniche, gli attacchi mirati si fanno più selettivi. In media, il numero globale degli attacchi di spear phishing al giorno nel 2013 è stato di 83. Le vulnerabilità zero-day, spesso utilizzate negli attacchi watering hole, hanno raggiunto i livelli più alti da quando Symantec ha iniziato a rilevarle. Ancora una volta, gli hacker si sono rivelati i maggiori responsabili delle violazioni di dati. Tuttavia, le esposizioni accidentali, i furti e le perdite sono aumentate significativamente nel Oltre 552 milioni sono state le identità esposte nelle violazioni di dati nel VULNERABILITÀ WEB BASATE SUL WEB Siti Web con vulnerabilità analizzati % % % pts dei quali con vulnerabilità critiche (%) 24 % % % pts 1 SU 8 mostrava vulnerabilità critiche non coperte da patch In genere, gli aggressori devono individuare e sfruttare una vulnerabilità in un sito Web legittimo, per poi acquisirne il controllo e impiantarvi il payload dannoso. Molti potrebbero considerare remota la possibilità che un sito Web legittimo venga compromesso, ma le analisi dei siti Web pubblici eseguite nel 2013 da Symantec Website Vulnerability Assessment Services dimostrano il contrario, rilevando la presenza di vulnerabilità nel 78% dei siti analizzati. Di queste, il 16% è stato classificato come vulnerabilità critiche che potrebbero consentire l'accesso a dati sensibili, la modifica di contenuti del sito o la compromissione dei computer dei visitatori da parte degli aggressori. Ciò sta a significare che, quando un hacker va in cerca di un sito da compromettere, in un caso su otto ha vita relativamente facile. 13 I Symantec Corporation

14 Attacchi mirati - Web Siti Web rilevati infetti da malware 1 SU SU La presenza di malware è stata rilevata in 1 su 566 dei siti Web analizzati dal servizio di scansione anti-malware di Symantec. Vulnerabilità zero-day 23 vulnerabilità software erano di tipo zero-day, 5 delle quali Java Il 97 % degli attacchi che impiegavano exploit per vulnerabilità identificate come zero-day era basato su Java NUMERO DI ATTACCHI RILEVATI MIGLIAIA % giorni Tempo di esposizione totale per le prime 5 vulnerabilità zero-day 5 vulnerabilità zero-day più diffuse Oracle Java SE CVE % Oracle Java Runtime Environment CVE % Oracle Java Runtime Environment CVE % Microsoft Internet Explorer CVE % Microsoft Internet Explorer CVE <1% 4 giorni Tempo medio di applicazione patch Le vulnerabilità zero-day trovano frequente applicazione negli attacchi mirati di tipo watering hole basati su Web. Il 97% degli attacchi che impiegavano exploit per vulnerabilità inizialmente identificate come zero-day era basato su Java. Il tempo totale trascorso dalla divulgazione dell'esistenza della vulnerabilità zero-day alla pubblicazione della relativa patch è stato di 19 giorni per le cinque vulnerabilità zero-day più sfruttate. Il periodo medio tra divulgazione e patch è stato di 4 giorni. 0 GIORNI TRASCORSI DALL'ANNUNCIO DELL'ESISTENZA DELLA VULNERABILITÀ 90 Cosa è cambiato nel 2013 È opportuno dare uno sguardo al trend di questi ultimi anni per comprendere cosa è mutato e cosa no nel Si è osservato un aumento del 42% degli attacchi mirati rispetto al Nel 2013 gli attacchi in generale sono diminuiti del 28%, riportandosi a livelli simili al Gli attacchi appaiono più selettivi man mano che gli hacker consolidano e ottimizzano le proprie tecniche. Per quanto riguarda le campagne di attacco basate su 1, il numero delle singole campagne identificate da Symantec segna un incremento del 91% rispetto al 2012 e di circa sei volte il dato del È invece diminuito il numero medio degli attacchi per campagna: -76% rispetto al 2012 e -62% rispetto al Ciò sta a indicare che, per quanto diminuite nelle dimensioni, le campagne sono nel complesso aumentate nel Per campagna di attacco si intende una serie di che: a) mostrano con evidenza l'accurata selezione dell'oggetto e dell'obiettivo; b) contengono almeno 3 o 4 forti correlazioni con altre quanto ad argomento, indirizzo del mittente, dominio del destinatario, indirizzo IP di origine o altri elementi analoghi; c) vengono inviate lo stesso giorno o periodo di giorni. 14 I Symantec Corporation

15 Spear phishing (cont.) Gli attacchi di spear phishing ripongono molte delle loro chance di successo sul social engineering. Le vengono confezionate dagli aggressori in modo da suscitare l interesse della vittima potenziale, nella speranza che sia indotta ad aprirle. Ad esempio, un aggressore potrebbe inviare a un impiegato finanziario o contabile un di spear phishing che all apparenza rende note nuove regole finanziarie. In un esempio particolarmente aggressivo di spear phishing, l aggressore ha inviato un e successivamente telefonato direttamente alla vittima, fingendosi un responsabile di questa, per indurla ad aprire immediatamente l allegato. Ad esempio, nel 2013, un cliente Symantec.cloud su 54 è stato preso di mira in almeno un attacco di spear phishing. La gravità degli attacchi di spear phishing tentati appare ancora più evidente se, con lo stesso criterio, si confrontano queste cifre al rischio annuale di incendio negli uffici. La probabilità che un edificio prenda fuoco è, nella peggiore delle ipotesi, di 1 su 161. Furti nel cuore della notte Può capitare che le prove di un crimine informatico vengano da una fonte inaspettata. Una società di servizi finanziari aveva notato un anomalo trasferimento di denaro, avvenuto nelle prime ore del mattino di un dato giorno e originato da un dato computer. Risoltisi a controllare le registrazioni delle videocamere di sicurezza, i responsabili riscontrarono che, al momento della transazione, la postazione da cui essa era avvenuta era completamente deserta. L ulteriore esame del computer portò alla scoperta di un trojan backdoor. La minaccia fu rimossa, ma in tempo non sufficiente a impedire che i malviventi riuscissero a sottrarre più di euro. Nel 2013, un cliente Symantec.cloud su 54 è stato preso di mira in almeno un attacco di spear phishing. La gravità degli attacchi di spear phishing tentati appare ancora più evidente se, con lo stesso criterio, si confrontano queste cifre al rischio annuale di incendio negli uffici. La probabilità che un edificio prenda fuoco è, nella peggiore delle ipotesi, di 1 su I Symantec Corporation

16 Spear phishing (cont.) ATTACCO MIRATO LE FASI PRINCIPALI Fonte: Symantec 1 INCURSIONE L'aggressore si procura l'accesso all'organizzazione scelta come bersaglio. Ciò è in genere preceduto da un'attività di ricognizione volta a determinare la tattica di social engineering appropriata. 2 SCOPERTA Ottenuto accesso al sistema della vittima, l'aggressore si impegna a preservare tale accesso e a scoprire a quali dati e altre risorse preziose può condurre. 3 ACQUISIZIONE Una volta scoperta e identificata come apprezzabile la presenza di dati, l'aggressore cerca il modo più efficace per acquisirli e quindi trafugarli. 4 SOTTRAZIONE L'aggressore cerca un meccanismo che gli consenta di sottrarre i dati dall'organizzazione vittima, ad esempio caricandoli su un server o un sito Web remoto cui abbia accesso. Metodi più elusivi, come la crittografia o la steganografia, consentono di offuscare la sottrazione dei dati, ad esempio nascondendoli all'interno dei pacchetti di richieste DNS. 16 I Symantec Corporation

17 Spear phishing (cont.) Il rischio di di spear phishing aumenta parallelamente alle dimensioni dell azienda. Più del 50% degli allegati utilizzati negli attacchi di spear phishing nel 2013 conteneva file eseguibili. Altri veicoli frequenti sono stati i documenti Microsoft Word e PDF, in proporzione rispettivamente del 7,9% e 5,3%. Queste percentuali sono tuttavia in flessione rispetto al Delle aziende con più di dipendenti, una su 2,3 è stata vittima di almeno un attacco di spear phishing. Il rapporto per le PMI è di una su 5. Un 4,7% degli allegati utilizzati per lo spear phishing era rappresentato da file.class Java. Analisi delle di spear phishing utilizzate negli attacchi mirati Fonte: Symantec Tipo eseguibile exe 31,3% 39%.scr 18,4% 2%.doc 7,9% 34%.pdf 5,3% 11%.class 4,7% <1%.jpg 3,8% <1%.dmp 2,7% 1%.dll 1,8% 1%.au3 1,7% <1%.xls 1,2% 5% 17 I Symantec Corporation Report sulle Website minacce Security alla sicurezza Threat dei Report siti Web I Volume I Volume 19 19

18 Attacchi watering hole

19 Attacchi watering hole Nel 2013, la forma più sofisticata di attacco mirato ha fatto uso della tecnica dei watering hole. Con questa tecnica, l aggressore si infiltra in un sito Web legittimo frequentato dalle potenziali vittime, vi installa codice dannoso e attende che le vittime lo visitino. Ne sono un esempio gli attacchi Hidden Lynx 2, che hanno portato all infezione di circa utenti in un solo mese. In alcuni casi, i visitatori del sito compromesso con watering hole che non rappresentano l obiettivo primario dell attacco vengono infettati con altre forme di malware o lasciati indenni. Ciò dimostra che, per quanto efficaci, gli attacchi watering hole possono essere sfruttati come tattica di lungo termine e, in tal caso, richiedono una buona dose di pazienza da parte degli aggressori nell attesa che la vittima prestabilita visiti il sito. Per predisporre un attacco watering hole, gli aggressori devono individuare e sfruttare una vulnerabilità in un sito Web legittimo, che consenta loro di assumerne il controllo e impiantarvi il malware. Molti potrebbero considerare remota la possibilità che un sito Web legittimo venga compromesso, ma le analisi dei siti Web pubblici eseguite nel 2013 dalla divisione Symantec Website Solutions 3 dimostrano il contrario, rilevando la presenza di vulnerabilità nel 78% dei siti analizzati. Di queste, il 16% è stato classificato come vulnerabilità critiche che potrebbero consentire l accesso a dati sensibili, la modifica di contenuti del sito o la compromissione dei computer dei visitatori da parte degli aggressori. Ciò sta a significare che, quando un hacker va in cerca di un sito da compromettere, in un caso su otto ha relativamente vita facile. Quando un sito Web viene compromesso, i criminali possono monitorarne i registri e vedere chi lo visita. Se la vittima prescelta è, ad esempio, un organizzazione del settore della difesa, potrebbero cercare gli indirizzi IP delle aziende fornitrici. Se questi indirizzi sono reperibili nei registri del traffico, gli aggressori potranno sfruttare il sito Web con la tecnica del watering hole. Gli attacchi Hidden Lynx 2 hanno infettato circa utenti in un solo mese I Symantec Corporation

20 Attacchi watering hole 8 Vulnerabilità zero-day, 2013 Fonte: Symantec G F M A M G L A S O N D Gli attacchi watering hole fanno leva sulle vulnerabilità zero-day, in quanto la possibilità di essere scoperti è molto bassa. Le vulnerabilità zero-day sfruttate negli attacchi sono aumentate nel 2013, che ne ha visto identificate ben 23 nuove (contro le 14 individuate nel 2012): il dato più alto da quando Symantec ha iniziato a rilevarle, nel Tuttavia, nonostante il loro aumento nel 2013, gli exploit zero-day non sempre sono un requisito imprescindibile per sferrare un attacco watering hole. Un motivo della crescente diffusione degli attacchi watering hole sta nel fatto che gli utenti non vengono in genere insospettiti da siti Web legittimi che conoscono e riscuotono la loro fiducia. Di norma, questi attacchi vengono predisposti su siti Web legittimi che presentano contenuti di interesse dell'individuo o del gruppo preso a bersaglio. L'utilizzo delle vulnerabilità zero-day sui siti Web legittimi ha reso gli attacchi watering hole un metodo di estrema attrattiva per i cybercriminali che dispongono delle risorse necessarie per orchestrare questi attacchi. Le vulnerabilità zero-day sfruttate negli attacchi sono aumentate nel corso del 2013, che ne ha visto identificate ben 23 nuove. 20 I Symantec Corporation

21 Individuazione delle reti e intercettazione di dati Gli aggressori che riescono a violare i sistemi di un organizzazione possono infiltrarsi nella rete, tentare di accedere al controller di dominio, trovare documenti di proprio interesse e trafugare i dati. Uno strumento che ha acquisito particolare fortuna come mezzo di controllo di una rete aziendale nel 2013 sono stati i downloader. Spesso definiti backdoor di primo livello, rappresentano forme estremamente versatili di codice dannoso che consentono il download di altro malware, a seconda delle esigenze di attacco. La ragione della loro diffusione sta nelle ridotte dimensioni e nella facilità con cui si propagano. Una volta inoculato in una rete, un downloader caricherà, per definizione, ulteriori payload tradizionali, come trojan horse per scandagliare la rete, keylogger per acquisire i dati digitati nei computer compromessi e backdoor per il rinvio all aggressore dei dati trafugati. L obiettivo di un aggressore che sia riuscito ad accedere a una rete è in genere percorrerla nelle sue ramificazioni per ottenere accesso ai vari sistemi. Uno dei payload più diffusi tra gli aggressori sono i trojan che sottraggono informazioni. Questi trojan risiedono nei computer compromessi, da dove raccolgono i dati degli account. Molto utilizzati sono anche gli strumenti di password dumping, soprattutto in presenza di cache crittografate di password. Questi strumenti consentono a un hacker di copiare le password crittografate (o con hash ) e di tentarne la violazione, per sfruttare i sistemi vulnerabili connessi alla rete. L obiettivo è acquisire privilegi elevati nei sistemi in rete di maggior attrattiva, come server FTP o , controller di dominio e così via. Gli hacker possono utilizzare le credenziali per accedere a questi sistemi, continuare l esplorazione della rete o trafugare dati. 21 I Symantec Corporation

22 Violazioni di dati Conseguenze di una violazione di dati Il furto di dati non è un crimine senza vittime. Queste violazioni sono in grado di produrre conseguenze gravi tanto per le aziende che le subiscono quanto per i consumatori a cui i dati appartengono. Rischi per le aziende Se un azienda è vittima di una violazione grave dei dati, può subire ripercussioni tali da vedere seriamente compromessa la propria attività. Primi fra tutti, i danni alla reputazione. L episodio può erodere la fiducia dei consumatori nell azienda e spingerli verso i suoi concorrenti. Se la violazione è di proporzioni significative, probabilmente calamiterà l attenzione dei media e il danno per la reputazione sarà ancora più esteso. Alcuni esempi eloquenti: negli Stati Uniti è stata recentemente intentata una class action contro una compagnia di assicurazione sanitaria, dopo che questa aveva subito il furto di due laptop senza crittografia contenenti i dati dei suoi assicurati. Sempre negli Stati Uniti, una società di gestione dei dati clinici è stata costretta alla bancarotta dopo aver subito una violazione che aveva comportato l esposizione di indirizzi, numeri di previdenza sociale e cartelle cliniche di persone. Alla domanda sul perché avesse optato per la procedura fallimentare, l azienda ha risposto che i costi da affrontare per riprendersi dalla violazione dei dati sarebbero stati proibitivi. Citiamo infine il caso dell A.D. dell azienda della grande distribuzione statunitense Target, dimessosi a seguito del danno prodotto dalla grave violazione delle informazioni dei clienti subita nel Rischi per i consumatori I consumatori sono le vere vittime delle violazioni dei dati, esposti come sono ai vari gravi rischi prodotti dal cybercrimine. Un rischio per i consumatori di cui sono stati violati i dati è che ciò mette a repentaglio i loro account online. Gli aggressori utilizzano i dati personali di una vittima per tentare di accedere ad altri account più redditizi, ad esempio tramite la reimpostazione delle password nei siti Web. In alcuni casi, con le informazioni illecitamente ottenute potrebbero autorizzare movimenti di denaro da conti bancari ad account da essi controllati. Potrebbero inoltre utilizzare i dati finanziari della vittima per creare carte di credito o debito fraudolente e sottrarle denaro. La stessa trascuratezza con cui molti consumatori gestiscono le password potrebbe causare la compromissione dei propri account a seguito di una violazione dei dati. Se un aggressore riesce, dopo aver violato i dati, a ottenere indirizzi e password per un servizio, può utilizzarli per accedere ad altri servizi online. Preoccupazioni per la privacy digitale Per chi stesse ancora chiedendosi se i governi monitorano il traffico Internet, nuova luce sulla questione è giunta dagli eventi del 2013, quando una serie di fughe di dati ha fatto emergere l esistenza di agenzie, in vari paesi, che attingono a man bassa a tutto ciò cui riescono ad accedere. A cominciare dal giugno 2013 in poi sono stati diffusi report contenenti nuove rivelazioni sui programmi di sorveglianza dei dati della US National Security Agency (NSA). Molti ancora ne verranno divulgati, considerata la gran mole di documenti acquisiti da Edward Snowden, l ex collaboratore della NSA che ha reso pubblici i dati. I documenti affermano che, nel corso di vari anni e nell ambito dei propri programmi di sorveglianza, la NSA ha raccolto i metadati provenienti dalle telefonate e dai principali servizi online, ottenuto accesso alle reti in fibra ottica connesse ai data center globali, tentato di aggirare le tecnologie di crittografia Internet più diffuse e archiviato una straordinaria quantità di metadati. Symantec ha portato alla luce l esistenza di un sofisticato gruppo di hacker a contratto chiamato Hidden Lynx. Il gruppo potrebbe avere agito per conto di alcuni stati nazione, dal momento che le informazioni obiettivo delle loro azioni includono conoscenze e tecnologie che potrebbero avvantaggiare altri paesi. Anche i servizi segreti russi sono stati accusati di essere penetrati nelle reti di aziende statunitensi, asiatiche ed europee. A differenza degli aggressori esterni, gli insider potrebbero già disporre dei privilegi di accesso alle informazioni riservate dei clienti e non essere pertanto costretti a rubare le credenziali ad altri utenti. Inoltre, dato che conoscono il modo di operare dell azienda e sono consapevoli dell approssimazione delle procedure di sicurezza, possono essere indotti a pensare di poter trafugare i dati senza essere scoperti. Secondo quanto rilevato da Symantec in collaborazione con Ponemon Institute, il 51% dei dipendenti ritiene accettabile trasferire i dati aziendali ai computer personali, dato che le proprie aziende non impongono norme di sicurezza dei dati stringenti. Considerato quanto può guadagnare un insider rivendendo i dati dei clienti, si comprende come alcuni la considerino una motivazione sufficiente per rischiare la carriera. 22 I Symantec Corporation

23 Violazioni di dati Cause principali delle violazioni di dati nel 2013 Fonte: Symantec Hacker 35 % Divulgazione accidentale Furto o smarrimento di computer o unità Furto da parte di dipendenti Sconosciuta Frode 2 % 2 % 6 % 29 % 27 % TOTALE Numero di casi Il 2013 ha segnato un cambiamento nelle cause delle violazioni di dati. L'hackeraggio è stato la causa principale delle esposizioni di identità segnalate nel Gli hacker si sono resi anche responsabili del maggior numero di identità esposte, del 35% degli episodi e del 76% delle identità esposte in casi di violazione di dati nel Il numero medio di identità esposte per violazione dei dati dovute ad hackeraggio è stato di 4,7 milioni circa. Il furto o lo smarrimento di un dispositivo si è classificato terzo, al 27% tra le cause di violazioni di dati. Secondo quanto contenuto nello studio 2013 Cost of a Data Breach, pubblicato da Symantec e da Ponemon Institute, il costo medio complessivo dei casi di violazione di dati è aumentato da 130 a 136 dollari. Questa cifra, che può variare a seconda dei paesi, si è rivelata più alta fra le aziende tedesche (199 dollari) e statunitensi (188 dollari). Il numero medio di identità esposte per violazione dei dati dovute ad hackeraggio è stato di 4,7 milioni circa. 23 I Symantec Corporation

24 Tattiche di e-crime e di diffusione del malware

25 Tattiche di e-crime e di diffusione del malware E-crime e sicurezza informatica L uso di computer e dispositivi di comunicazione elettronici a scopo criminale, spesso per procurarsi denaro, sintetizzato nel termine inglese di e-crime, continua a giocare un ruolo centrale nel panorama delle minacce. I criminali che si celano dietro le azioni di e-crime hanno messo in piedi reti di distribuzione illegali molto sofisticate. Il volume mensile del ransomware è aumentato di oltre sei volte dall inizio del I toolkit di attacco Web continuano a essere il metodo principale di compromissione dei computer, nonostante l arresto del supposto creatore del kit di exploit Blackhole nel Il numero delle vulnerabilità rese pubbliche ha raggiunto livelli record nel Botnet e noleggio In genere, i criminali informatici coinvolti nell e-crime cominciano col cercare di inoculare il malware nei computer, trasformandoli in zombie da aggregare in reti più grandi di computer ugualmente compromessi, denominate botnet, ossia reti robot. Le botnet sono una risorsa estremamente preziosa per i criminali, in quanto possono essere utilizzate per gli scopi più diversi, come l invio di spam, il furto di dati bancari, l effettuazione di attacchi DDoS (Distributed Denial-of-Service) contro un sito Web o svariate altre attività dannose. Inoltre sono diventati uno strumento essenziale per amministrare i computer compromessi, a loro volta noleggiati da altri soggetti ancora a scopo criminale. Banking trojan e furti I banking trojan costituiscono una prospettiva redditizia per gli aggressori. Le minacce attuali continuano a puntare sulla manipolazione delle sessioni di online banking e sull inserimento di campi aggiuntivi nell intento di trafugare dati bancari riservati o di dirottare la sessione. Il white paper State of Financial Trojans di Symantec valuta che nei primi tre trimestri del 2013 il numero dei banking trojan sia triplicato. Anche se nel complesso le aziende toccate sono state più di in 88 paesi, più di metà di questi attacchi era rivolta alle prime 15 organizzazioni finanziarie mondiali. La forma più comune di attacco si confermano i trojan finanziari, che sferrano un attacco Man-In-The- Browser (MITB) al computer del cliente durante una sessione di online banking. Oltre a questi, Symantec ha rilevato nel 2013 un aumento negli attacchi a base hardware. Oltre ai tuttora diffusi attacchi di skimming, è stato scoperto un nuovo malware denominato Backdoor.Ploutus, che, violando il funzionamento dei sistemi bancomat, consente ai criminali di depredarne l intera disponibilità di contante. Il malware viene applicato al bancomat tramite l inserimento manuale di un CD-ROM manipolato per forzarne l avvio con le istruzioni in esso contenute. All avvio, il malware viene installato nel sistema. L aggressore quindi digita specifiche combinazioni di tasti sulla tastiera del bancomat per interagire con il malware e avviare l operazione finale: l erogazione di tutto il contante disponibile. Le varianti più recenti consentono di avviare l erogazione del danaro tramite l invio di un SMS a un modem GSM installato nel bancomat. Da questi esempi si evince la crescente tendenza degli aggressori a prendere direttamente di mira i sistemi fisici dislocati presso le strutture delle banche I Symantec Corporation

26 Tattiche di e-crime e di diffusione del malware Monetizzazione: il malware come strumento di guadagno Questa, in sintesi, la fotografia dell e-crime nel 2013: gli aggressori appaiono impegnati a cercare di drenare fino all ultima goccia di contante disponibile, sfruttando ogni mezzo a disposizione con i computer che hanno ridotto sotto il proprio controllo. Per gli hacker, i computer compromessi sono oggi nient altro che uno strumento da sfruttare al meglio per mettere a segno i colpi più remunerativi possibili. I dieci malware più diffusi nel 2013 Fonte: Symantec Gli aggressori provvedono in genere a monitorare i computer compromessi, spesso tramite una connessione backdoor. La fase iniziale può essere gestita con un banking trojan, per poi attendere l acquisizione dei dati bancari immessi in un computer compromesso. Se la raccolta non va a buon fine, l aggressore può proseguire con un ransomware a sfondo pornografico, nella speranza di poter successivamente estorcere denaro ricattando la vittima. Posiz. Nome Diffusione (%) 1 W32.Ramnit 15,4% 2 W32.Sality 7,4% 3 W32.Downadup 4,5% 4 W32.Virut 3,4% 5 W32.Almanahe 3,3% 6 W32.SillyFDC 2,9% 7 W32.Chir 1,4% 8 W32.Mabezat 1,2% 9 W32.Changeup 0,4% 10 W32.Xpaj 0,2% 26 I Symantec Corporation

27 Tattiche di diffusione del malware Toolkit L'universo dei toolkit è stato scosso da un evento decisivo nell'ottobre 2013, quando l'autore dei kit di exploit Blackhole and Cool, soprannominato "Paunch", è stato tratto in arresto. Il kit Blackhole aveva dominato le classifiche dei toolkit di attacco Web degli ultimi anni e sembrava destinato a confermare il suo primato, stando ai dati rilevati fino allo stesso ottobre. Modello di business Anni fa, i toolkit di attacco Web venivano venduti e passavano di mano in mano in forum poco noti, diffondendosi da un compratore all'altro. La distribuzione seguiva il principio del mercato nero, ma lo sviluppatore del kit perdeva in tal modo parte considerevole del proprio guadagno, considerato che chi veniva in possesso del codice era in grado di trarne profitto senza grande fatica. Negli ultimi anni, il toolkit Blackhole ha rivoluzionato questo scenario, introducendo un modello di servizio che si è progressivamente imposto come lo standard per i toolkit di attacco Web. In questo modello, come in un vero e proprio servizio di business, lo sviluppatore mantiene il controllo sul codice e amministra il toolkit. Attacchi Web bloccati ogni giorno Questo nuovo scenario ha consentito ai proprietari dei toolkit di mettere a punto offerte di servizio differenti. Si va dalla copertura end-to-end, in cui l'amministratore del toolkit ne imposta ogni aspetto, agli approcci meno pervasivi, in cui l'acquirente può comunque contare sul supporto tecnico in caso di problemi di configurazione. Toolkit di attacco Web più diffusi nel 2013 (%) Fonte: Symantec 30% 27% 25 23% 20 19% 15 14% 10 10% 8% 5 ALTRI G01 PACK BLACK HOLE SAKURA STYX COOL KIT Il dominio del toolkit Blackhole si era praticamente dissolto alla fine del 2013, quando il presunto autore fu arrestato, nell'ottobre di quell'anno. Se nel 2012 Blackhole risultava primo tra gli attacchi bloccati (44,3 %), nel 2013 il posto è occupato dal kit di exploit G01Pack (23%). Molti dei più diffusi toolkit di attacco sono stati aggiornati nel corso del 2013, includendovi exploit per Java Runtime Environment, CVE , CVE e CVE , e per la vulnerabilità di Microsoft Internet Explorer CVE I Symantec Corporation

28 Attacchi Web bloccati 800 Attacchi Web bloccati ogni giorno nel 2013 Fonte: Symantec MIGLIAIA G F M A M G L A S O N D Il punto più basso di attività dannosa giornaliera è stato osservato ad ottobre 2013, con blocchi al giorno; il dato può verosimilmente essere messo in relazione con l'arresto in Russia di "Paunch", il presunto autore dei toolkit di attacco Web Blackhole e Cool. Blackhole operava come toolkit software-as-a-service, gestito nel cloud. Venuto meno chi lo amministrava, Blackhole ha rapidamente perso di efficacia, lasciando uno spazio destinato a essere occupato da altri operatori. I siti Web dannosi bloccati in media ogni giorno sono aumentati di circa il 22,5%, passando dai rilevati nel 2012 ai del Il picco di attività si è avuto in luglio, con circa blocchi al giorno. 28 I Symantec Corporation

29 Classificazione dei siti Web più violati nel 2013 Gli URL dannosi identificati dalla tecnologia Norton Safe Web sono stati classificati per categoria mediante Symantec Rulespace23. Di seguito è fornito un elenco dei siti più abusati come host di malware. Circa il 67% dei siti Web sfruttati per distribuire il malware sono stati identificati come legittimi e successivamente compromessi, rispetto al 61% del Il dato esclude gli URL che contenevano solo un indirizzo IP e i siti Web di domain parking e di pay-per-click. Siti Web più violati nel 2013 Fonte: Symantec Posiz. Prime 10 categorie di siti Web oggetto di exploit % del numero totale di siti Web infettati 1 Tecnologia 9,9% 2 Business 6,7% 3 Hosting 5,3% 4 Blog 5,0% 5 Illegali 3,8% 6 Shopping 3,3% Alla categoria Tecnologia appartiene il 9,9% dei siti Web compromessi per attività dannose. La categoria Illegali comprende i siti che rientrano nelle seguenti sottocategorie: attivismo, bullismo online, complicità per malware, violazione delle password, software potenzialmente dannoso e programmi indesiderati, programmi di accesso remoto e altre categorie correlate al phishing e allo spam. L analisi dei siti Web sfruttati per sferrare attacchi drive-by con falsi antivirus ha evidenziato come il 4% delle minacce rilevate nei siti artistici e museali era correlato a questo tipo di software. Il 50% degli attacchi basati su antivirus fittizi ha avuto come destinatari gli stessi siti di enti artistici e museali. Il 42% ha riguardato siti di shopping online. Infine, il 17% degli attacchi utilizzati nei social network è da collegarsi a malware ospitato in blog compromessi. Il social network è lo scenario tipico per la condivisione degli URL relativi a siti Web compromessi. Naturalmente, il tallone di Achille di questo sistema è il modello bloccato di software-as-a-service, ciò che ha poi portato al completo disfacimento del toolkit Blackhole una volta che Paunch è stato arrestato. Dato che il toolkit veniva eseguito e amministrato da un numero ristretto di sviluppatori, l arresto di questi è bastato a polverizzarlo. 7 Intrattenimento 2,9% 8 Auto e moto 1,8% 9 Istruzione 1,7% 10 Community virtuali 1,7% Alla categoria Tecnologia appartiene il 9,9% dei siti Web compromessi per attività dannose. 29 I Symantec Corporation

30 Tattiche di diffusione del malware (cont.) Toolkit di social engineering: dai RAT al creepware Se a dominare la scena del panorama delle minacce online sono i toolkit di attacco Web, altri toolkit completano la gamma delle opzioni tutt oggi a disposizione dei criminali informatici. Vi sono ad esempio toolkit progettati per i test di penetrazione e per il rilevamento delle vulnerabilità aperte alle violazioni. Il tipo di toolkit immediatamente più diffuso, dopo quelli di attacco Web, è probabilmente lo strumento di amministrazione remota o RAT (Remote Administration Tool). Utilizzato da vari anni, viene spesso usato per creare payload trojan con varie funzioni e per offuscare i file binari allo scopo di aggirare il rilevamento degli antivirus. Altri, come i toolkit di social engineering, vengono spesso sfruttati per creare siti di phishing come le pagine di accesso a Facebook fittizie. Si tratta sostanzialmente di strumenti di progettazione Web arricchiti di funzionalità di hackeraggio. Vulnerabilità: dal rilevamento allo sfruttamento Le vulnerabilità continuano a essere una delle scelte preferite dagli hacker per distribuire il malware. Le vulnerabilità vengono sfruttate per qualsiasi tipo di minaccia, dal ransomware ai trojan, ai backdoor e alle botnet. Il numero totale delle vulnerabilità rilevate nel 2013 ne è una conferma: le scoperte rappresentano un record negativo assoluto nella storia della sicurezza online. Risultano aumentate quelle sfruttate per attacchi zero-day, spesso nell ambito di tattiche watering hole. Una volta che l attacco zero-day viene scoperto, gli aggressori approfittano del periodo intercorrente tra la notizia, il rilascio della patch e il tempo necessario ad aziende e individui per applicarle: in pochi giorni, ulteriori exploit vengono sviluppati e incorporati in toolkit pronti per nuove azioni criminali. Delle prime cinque vulnerabilità zero-day scoperte nel 2013, le prime 3 rappresentano il 97% di tutti gli attacchi sferrati in quell anno sfruttando vulnerabilità zero-day. Il creepware è un tipo di minaccia basata sui toolkit. In genere installato tramite tecniche di social engineering, consente all aggressore di spiare la vittima. Le vulnerabilità scoperte rappresentano un record negativo assoluto nella storia della sicurezza online. 30 I Symantec Corporation