Virus fatturazione elettronica

È stata scoperta una massiccia campagna malspam che, attraverso allegati malevoli con riferimento alla fatturazione elettronica, attacca i pc delle aziende e quelli delle pubbliche amministrazioni

La notizia è di questi giorni e viene direttamente dai ricercatori di Yoroi: è stata individuata una massiccia campagna di malspam che sta colpendo aziende e pubbliche amministrazioni, utilizzando contenuti di tipo amministrativo con riferimenti alla fatturazione elettronica.

La mail malevola contiene un allegato Excel che, una volta aperto, è in grado di infettare il pc del malcapitato con una pericolosa variante del malware Ursnif.

Ursnif è un cosiddetto “banking trojan” e cioè un virus che si installa dopo l’apertura di un file che contiene una stringa di codice particolare e che ha il fine di rubare le credenziali dell’home banking degli utenti infettati. Questo virus aveva iniziato a diffondersi qualche mese fa, creando non poche vittime.

La particolarità del caso specifico è che il file Excel infettato è stato realizzato per colpire espressamente gli utenti italiani, il codice malevolo infatti è stato realizzato per attivarsi solo se il pacchetto Office sul computer del ricevente è configurato per utilizzare la lingua italiana.

Il malware della fattura elettronica, per infettare i pc dei malcapitati, utilizza una particolare tecnica chiamata “tecnica steganografica”. Questo metodo era usato in passato per mascherare le comunicazioni in campo militare, nascondendo delle informazioni in un documento.

Ursnif fa proprio questo: analizzando il codice della mail infetta infatti è possibile individuare un’immagine di Super Mario, il famoso idraulico del Nintendo, che in realtà nasconde una stringa malevola per avviare l’installazione del virus, una volta aperto l’allegato Excel. A quel punto l’hacker può entrare, attraverso una backdoor, all’interno del pc infetto, rubando tutte le informazioni personali che contiene.

Fortunatamente il virus, nonostante utilizzi tecniche abbastanza comprovate di ingegneria sociale, è facilmente riconoscibile, basta fare attenzione alle mail che si ricevono.

Ecco come riconoscere il messaggio pericolo, attraverso delle semplici indicazioni fornite da CyberSecurity360:

L’oggetto:

“I: Fattura corretta”
“I: Obbligo fatturazione dal 1° Gennaio 2019”
“R: SCADUTO”
“Avv. scad.”
“fattura in scadenza”
“I: AVVISO DI PAGAMENTO”
“I: bonifico ricevuto in data odierna”
“NS.ORDINE NR.0030961 DEL 30/01/19”

Gli allegati:

“DOC_S.P.A._N_2332_DEL_01_19.XLS” (o varianti)
“DEL_2019_01_S.R.L._N__183382.XLS”
“F.DOC.2019 A 113 SPA.xls”

I dropurl:

hxxps:// images2.imgbox[.com/55/c4/rBzwpAzi_o.png
hxxps:// i.postimg[.cc/PH6QvFvF/mario.png?dl=1
hxxps:// fillialopago[.info////////~DF2F63
command& control server C2 (Ursnif):

hxxp:// felipllet[.info/images/

Le chiavi hash:

dc429c58a3c043574bc584047c614f08bb51ff6378cb43eaf809e6e97a6cb1cd xls
0c8c27f06a0acb976b8f12ff6749497d4ce1f7a98c2a161b0a9eb956e6955362 png
f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f exe

Ricordiamo però che la prima difesa contro un attacco informatico via mail rimane il buon senso:

  • non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
  • trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
  • non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
  • se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
  • in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
  • eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.

 

Bug FaceTime

Scoperto un grave bug su FaceTime che permette agli utenti di ascoltare l’interlocutore tramite l’app, prima che questo risponda. Apple è già al lavoro per risolvere il problema

Non è un bell’inizio dell’anno per Apple. La società “della mela” infatti, dopo una chiusura amara del 2018, ha un altro grosso problema che questa volta riguarda direttamente la privacy degli utenti.

È stato scoperto un bug all’interno dell’app FaceTime, già confermato ufficialmente da Tim Cook che ha dichiarato “Siamo consapevoli del problema e abbiamo identificato una soluzione che sarà diffusa con un upgrade del software più avanti nel corso della settimana".

Ma vediamo cosa succede esattamente: FaceTime è la nota applicazione per iPhone e MacBook che permette di chiamare o videochiamare tramite internet attraverso la videocamera frontale del dispositivo, selezionando il contatto, parte la video-telefonata che si attiva una volta che la persona dall’altro capo accetta la chiamata. È inoltre possibile, scorrendo lo schermo verso l’alto, inserire altri partecipanti alla call, iniziando così una chiamata di gruppo.

E proprio qui nasce il problema. Il bug scoperto permetterebbe alle persone di ascoltare e vedere ciò che accade alla prima persona chiamata, una volta che si è iniziata una chiamata di gruppo e inserito “se stessi” come terzo partecipante, prima che questa possa rispondere.

La falla riguarda gli utenti che utilizzano dalla versione 12.1 del sistema operativo mobile di Apple iOS a una più recente, ma anche chi viene chiamato su un Mac da un iPhone.

Lo sfruttamento di questo bug per spiare una persona sembra essere remoto, in quanto la potenziale vittima riceve comunque l’avviso di chiamata in arrivo ma il problema potrebbe verificarsi se, ad esempio, questa persona avesse impostata la modalità silenziosa sull’iPhone. Immaginiamo uno scenario in cui siamo in ufficio col telefono senza suoneria, quello che potrebbe accadere è che vengano ascoltate conversazioni di lavoro, anche molto riservate.

Ad ulteriore riprova di questo il Guardian ha affermato che se invece di rispondere il destinatario della chiamata sceglie il pulsante di spegnimento, azione tipica di chi vuole “zittire” la telefonata invece di rispondere, parte automaticamente uno streaming video di quanto ripreso dalla fotocamera frontale.

Il pericolo non è quindi così remoto e infatti è la stessa Apple a consigliare agli utenti di disattivare l’applicazione, almeno fino al prossimo aggiornamento.

Per disattivare Facetime basta andare sulle impostazioni > Facetime > Flaggare OFF

Nel frattempo è già stata disattivata la possibilità di fare chiamate di gruppo, fino a quanto non verrà rilasciata la patch.

Per l’azienda di Cupertino, che ha sempre fatto della protezione della privacy uno dei suoi punti di forza, pare non essere un buon momento, anche se è apprezzabile la prontezza con cui sono intervenuti nel comunicare il problema, cercando di risolverlo.

Per chi una dimostrazione video del bug di FaceTime, cliccare qui.

 

smart working

Il diffondersi dello smart working sta mettendo a repentaglio alcuni dati sensibili e “sensibilissimi” dei lavoratori. Vediamo quali sono i rischi di questa pratica innovativa

Lo smart working è, secondo la definizione dell’Osservatorio del Politecnico di Milano, “una nuova filosofia manageriale fondata sulla restituzione alle persone di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.

Si tratta quindi di un modello organizzativo aziendale che agisce tra il dipendente e l’organizzazione e propone autonomia nel lavoro, regalando maggiore flessibilità alle persone e contemporaneamente responsabilizzandole, facendole lavorare per obiettivi.

Si parla quindi di “lavoro agile”, senza vincoli di orari, che permetta al lavoratore di ritagliarsi i suoi spazi e conciliare meglio vita privata e lavorativa.

Si tratta di una nuova concezione del lavoro che sta iniziando a diffondersi in Italia (sempre un po’ fanalino di coda rispetto all’Europa), che piace molto ai lavoratori ma che prevede un completo cambiamento della mentalità manageriale italiana, che vuole il dipendente seduto alla scrivania più ore al giorno e controllabile in ogni momento.

Non è però una prerogativa delle aziende, anche la PA comincia timidamente ad abbracciare un modello “smart”: sono oggi più di 4000 i dipendenti pubblici che operano da remoto.

Per quanto possa essere vantaggioso gestire da casa il proprio lavoro, questo presuppone l’utilizzo di determinati strumenti informatici che permettano ai lavoratori di interagire con i dati aziendali (senza esporli a rischi) e senza però esibire i loro dati sensibili alla mercé del datore di lavoro.

La legislazione attuale non comprende tutele vere e proprie per il lavoro agile e, a sorpresa, anche il GDPR non ha un vero e proprio capitolo che vada a normare la sicurezza de dati sensibili degli smart workers.

Sono gli articoli 4 e 8 dello Statuto dei lavoratori ad avere la finalità di proteggere i lavoratori dai controlli troppo invasivi, per garantirne la sfera di riservatezza.

L’articolo 4 in particolare vuole “limitare” il potere del controllo a distanza, mentre l’8 vieta al datore di lavoro di indagare opinioni politiche, religiose ecc del lavoratore: i cosiddetti dati sensibili.

Cosa succede però con gli strumenti per lo smart working?

Esistono diversi strumenti tecnologici che vanno dalla webcam a tecnologie wearable che possono misurare livello di attenzione o di stanchezza della persona e che vanno a intaccare pesantemente la privacy dei dipendenti. Infatti se inquadrando il dipendente con la webcam in casa sua è possibile inquadrare anche, ad esempio, un crocefisso appeso al muro o un qualche simbolo di partito, esponendo quindi l’informazione al datore di lavoro, misurare le sue prestazioni con dispositivi digitali, andrebbe ad esporre quelli che vengono chiamati “dati sensibilissimi”.

Diventa quindi pressochè impossibile che queste tecnologie vengano progettate rispettando i principi di privacy by design e dafault, in quanto sono studiate per andare a raccogliere proprio questi dati.

Starebbe quindi al datore di lavoro informare adeguatamente il dipendente sulla raccolta e l’utilizzo di quei dati, dandogli anche la facoltà di opporsi.

Un’opzione suggerita dall’Agenda Digitale è quella di imporre la figura del DPO a tutte le compagnie che utilizzano il lavoro agile, in modo che siano guidati nella scelta degli strumenti e nelle modalità di applicazione della normativa.
Per contro questa imposizione potrebbe essere troppo gravosa per le PMI che quindi si troverebbero obbligate a rinunciare a questo benefit verso i dipendenti.

Un’altra opzione potrebbe essere, nel segno del principio di privacy by design, imporre ai costruttori delle tecnologie in grado di leggere i dati “sensibilissimi” del lavoratore di adottare algoritmi intelligenti, anche attraverso il machine learning, in grado di interpretare tali dati e di trasmetterli solo ove necessario.

Lo smart working diventa quindi una pratica che necessita di ulteriori regolamentazioni così da renderne più trasparente e semplice l’utilizzo, in ottica di una sua maggiore diffusione e di tutti i benefici che sembra portare sulla qualità di vita dei dipendenti.

fortnite

Alcune falle di sistema del famoso gioco Fortnite avrebbero consentito a malintenzionati di rubare account e dati personali dei giocatori. Il bug per fortuna è già stato risolto

Fortnite è un gioco online uscito nel 2017 e prodotto da Epic Games. Da quel momento il gioco ha iniziato un’ascesa senza precedenti diventando un vero e proprio fenomeno, registrando quasi 50 milioni di giocatori attivi.

Il gioco è disponibile per PC, Xbox One, PlayStation 4 e dispositivi iOS e necessita una connessione internet per permettere ai player di giocare interagendo tra loro.

Proprio perché “viaggia” online il videogame è sensibile, come tutti i software che gestiscono dati, a possibili attacchi informatici e, proprio in questi giorni, è stata individuata una falla che ha messo in pericolo non solo i dati personali degli utenti ma anche quelli legati alla loro carta di credito, riuscendo ad invadere notevolmente la privacy dei gamer, entrando nelle loro chat private e ascoltando tramite il microfono i rumori circostanti.

Il bug è stato segnalato da Check Point Software Technologies, che ha riportato sul suo blog i dettagli di una falla presente nel gioco: sono state rilevate infatti tre vulnerabilità dell’infrastruttura web di Epic Games, tutte e tre relative alla fase di login.

Il processo di autenticazione basato su token combinato con sistemi SSO (Single Sign-In) era stato preso di mira per rubare le credenziali dell’utente e assumere il controllo dell’account.

Per cadere vittima di questo attacco era sufficiente cliccare su un link di phishing che sembrava provenire da Epic Games ma che in realtà era stato pubblicato dall’hacker. Una volta cliccato, il token di autenticazione Fortnite dell’utente poteva essere rubato dall’hacker senza che l’utente avesse inserito alcuna credenziale di accesso.

Secondo i ricercatori di Check Point la vulnerabilità era il risultato di alcuni difetti riscontrati in due sottodomini di Epic Games che erano esposti a un reindirizzamento malevolo, consentendo ai token di autenticazione legittimi degli utenti di essere intercettati da un hacker dal sottodominio compromesso.

Nonostante le falle siano state prontamente rimosse, Check Point ed Epic Games consigliano a tutti gli utenti di prestare la massima attenzione allo scambio di dati online e di non fidarsi di tutti i link pubblicati sui vari siti web e forum dedicati a Fortnite.

apple-malware

É uscito il nuovo Internet Security report rilasciato da Watchguard e c'è una sorpresa: nella TopTen dei primi 10 scareware, dei software dannosi, inutili, che vengono installati dall'utente quasi inconsapevolmente e che aprono la strada delle proprie macchine ai malintenzionati, troviamo un macOS scareware.

Per tutti coloro che pensavano che i Mac fossero invulnerabili, ecco arrivare quindi una delusione.

Il virus si chiama MAC.OSX.AMCleanerCA e si è classificato in sesta posizione nella classifica Watchguard.

Questo scareware mostra all'utente una pagina HTML nella quale è contenuto l'avviso di un'analisi che avverte di problemi al computer.

Le criticità secondo questo avviso, sono risolvibili scaricando un programma, ovviamente malevolo, dotato di un certificato digitale valido che gli permette di eludere eventuali protezioni. Proprio grazie a questo trucco, probabilmente, il malware riesce a circolare con grande facilità tra gli utenti Mac.

A questo punto il MAC.OSX.AMCleanerCA apre una finestra di attivazione, segnalando u nuomero verde da chiamare che, sebbene sembri fasullo, risulta veramente usato da truffatori: 800-1234567.

Insomma, dopo i problemi di Apple delle ultime settimane, questa forse non ci voleva.

Ecco l'Internet Security report 2018 di Watchguard:

Source: Internet Security Report Q3 2018 (Infographic)

 

Truffe-Whatsapp

Si presentano come call center e contattano gli utenti a seguito di una loro segnalazione. Tramite Whatsapp chiedono dati come i documenti e l’IBAN. Ovviamente, si tratta di una truffa

Una nuova insidia si presenta ai clienti dei maggiori fornitori di servizi internet (Tim, Vodafone, Wind 3) e questa volta arriva tramite Whatsapp.

La truffa funziona così: un cliente, a seguito di un problema tecnico, apre una segnalazione al suo operatore. Dopo qualche giorno viene contato tramite Whatsapp da un numero non italiano (ad esempio un +355, Albania). Il profilo ha il logo ufficiale Vodafone, Tim o Wind 3 e questo può sicuramente trarre in inganno più facilmente.

L’operatore (o operatrice) si presenta dicendo che la segnalazione è stata presa in carico da un tecnico e chiede se il problema sia stato o meno risolto.

Sia che il guasto sia stato riparato, sia che persista l’operatore richiede che gli vengano inviati i documenti di riconoscimento, in modo da poter chiudere la segnalazione o per gestirla in alta priorità.

Di seguito riportiamo un esempio di queste conversazioni, postata su un forum da un utente:

wa

Il sospetto concreto è che si tratti di una manovra da call center (quelli indipendenti, che vivono di prospect) per imporre agli utenti un cambio di operatore. Pare infatti che, grazie ai documenti e all’IBAN, si occupino di disdire il contratto col vecchio operatore e ne attivino uno nuovo con un altro, così da prendere la percentuale sul contratto firmato.

Rimane da capire come facciano questi call center ad avere l’informazione dell’apertura di una segnalazione di un guasto oltre, ovviamente, al numero di telefono di chi l’ha aperta.

Cadere in questo tipo di truffe è estremamente facile, ecco perché è necessario prestare attenzione e tenere bene a mente che nessuno degli operatori (Vodafone, Tim O Wind 3):

  • usa Whatsapp per comunicare disservizi, cambi tariffari, interventi di manutenzione ordinari e/o straordinari
  • richiede documentazione aggiuntiva oltre quella già fornita dal gestore della linea all’atto della sottoscrizione (siglando un contratto infatti fornito già la copia dei vostri documenti di cui quindi sono già in possesso)
  • MAI si sognerebbe di proporre un’offerta alternativa con un provider in competizione

È buona norma inoltre, nel caso riceveste uno di questi messaggi, sporgere regolare denuncia presso la Polizia Postale.

Qualora aveste dei dubbi una semplice ricerca su Google vi aiuterà a capire meglio la situazione.

Data breach Top10 - 2018

Siamo a fine anno ed è ora di tirare le somme: vediamo i peggiori data breach del 2018

Siamo a fine anno e, come ogni anno, è il momento di tiare le somme. Questo vale anche per la sicurezza informatica.

Il 2018 è stato un anno pieno di avvenimenti in campo di protezione dei dati, il più importante fra tutti è sicuramente l’entrata in vigore del GDPR del 25 maggio.

Da quella data sono iniziati a venire fuori le dichiarazioni riferite a diversi attacchi subiti dalle aziende nel corso di questi 12 mesi (o comunque scoperti durante l’anno) che hanno colpito i dati personali di migliaia di persone.

Vediamo la top 10 dei più disastrosi data breach del 2018.

10. Facebook: luglio 2017 - settembre 2018

Per Facebook il 2018 è stato sicuramente un anno nero. I guai passati dal social network sono stati moltissimi e le falle sulla sicurezza dei loro sistemi non sono certo passate inosservate, soprattutto al Parlamento Europeo.

L’accatto al numero 10 della nostra classifica ha permesso ad alcuni malintenzionati di sfruttare vulnerabilità nel codice di Facebook per mettere le mani su “token di accesso” (essenzialmente chiavi digitali che consentono loro l’accesso completo agli account degli utenti compromessi) e quindi a scansionare i dati degli utenti.

Questo data breach si stima abbia causato danni a 29 milioni di utenti.

Ne avevamo parlato qui.

9. Chegg: 29 aprile 2018 – 19 settembre 2018

Chegg è una azienda specializzata in noleggio di libri di testo online (sia in formato fisico che digitale), aiuto per i compiti, tutoraggio online, borse di studio e matching per stage. È pensato per aiutare gli studenti delle scuole superiori e del college.

In questo caso l’azienda è stata violata e sono state sottratti nomi utenti e password. Il danno stimato è di circa 40 milioni di profili violati.

8. Google+: 2015 – marzo 2018, 7 novembre – 13 novembre

Nemmeno il colosso Google è stato risparmiato. Il punto debole, in questo caso, è stato il social Google+ che ha permesso, a causa di un bug, l’esportazione dei dati personali dei suoi utenti.

Il danno stimato è di 52,5 milioni di sottoscrittori violati e la chiusura del social prevista per aprile 2019.

Più info qui.

7. Cambridge Analytica feat. Facebook: anno 2015

Non è stato il caso che ha messo a rischio più utenti in assoluto ma è sicuramente quello che ha destato il maggior effetto mediatico: una app realizzata per definire la personalità di chi la scaricava, chiamata “thisideourdigital life”, trasmetteva impropriamente informazioni degli utenti a società terze, tra cui Cambridge Analytica, un’azienda che pare abbia usato queste informazioni per creare annunci mirati e fake news a sfondo politico, favorendo la vittoria di Trump alle presidenziali USA.

Cosa c’entra Facebook? L’app è stata scaricata da “soli” 270.000 utenti ma, grazie alle politiche di condivisione di informazioni del social, i dati raccolti sono stati, grazie alle connessioni di “amicizia” virtuale, 87 milioni.

Qui ne avevamo parlato meglio. 

6. MyHeritage: 26 ottobre 2017

Il sito MyHeritage, che conserva informazioni sul dna di milioni di utenti per collegarli attraverso le parentele di antenati, è stato attaccato a fine 2017, mettendo a rischio 92 milioni di password e email.

Qui la storia e gli effetti del GDPR.

5. Quora – scoperto nel novembre 2018

Il sito di domande Quora è stato attaccato da alcuni hacker che sono riusciti a entrare nei loro server, ottenendo un accesso non autorizzato.

Le informazioni coinvolte nella breccia alla sicurezza del sito, legate direttamente agli account, sarebbero nome, indirizzo email e IP, password crittografata e dati importati da reti collegate dagli utenti. Altre informazioni trafugate riguarderebbero dei contenuti e azioni pubbliche sul sito come le domande, le risposte, i commenti e gli upvotes. Infine sarebbero stati trafugati contenuti e azioni non pubblici, ad esempio richieste di risposta, downvotes e messaggi privati.

Gli utenti colpiti sono circa 100 milioni.

Qui la storia. 

4. MyFitnessPal – febbraio 2018

Cos’è successo: un “soggetto non autorizzato” ha ottenuto l’accesso ai dati dagli account utente su MyFitnessPal, un’app di fitness di proprietà di Under Armour.

Utenti colpiti: 150 milioni.

3. Exactis – giugno 2018

Un esperto di sicurezza informatica ha individuato un database “con praticamente tutti i cittadini statunitensi” esposti “su un server accessibile pubblicamente”, anche se non è chiaro se qualche hacker abbia avuto accesso a tali informazioni. Questi dati comprendevano numeri di telefono, indirizzi, mail e nominativi di circa 340 milioni di persone.

Qui c’è la storia ma è in inglese.

 2. Hotel Marriott Starwood – 2014 – settembre 2018

Dal 2014 un’intrusione ai sistemi di prenotazione degli hotel Starwood ha permesso di violare e copiare le informazioni private (nomi, numeri di telefono, delle carte di pagamento con data e scadenza) di 500 milioni degli ospiti.
Ecco cosa è successo

 1. Aadhaar – non si sa quando sia iniziata la violazione ma è stata scoperta a marzo 2018

Ed ecco il vincitore.

Il database ID del governo indiano, che memorizza l’identità dei cittadini e le loro informazioni biometriche, ha avuto “una fuga di dati su un sistema gestito da una società di servizi statali di nome Indane”. Indane non aveva protetto correttamente la API, che è utilizzata per accedere al database, che ha dato a chiunque l’accesso alle informazioni di Aadhaar.

Si stima siano stati colpiti circa 1.1 miliari di utenti.

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Codice SDI fatturazione:  T04ZHR3
(il secondo carattere è uno zero)

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2019 TECSIS S.r.l. All Rights Reserved.

Search