Falsi antivirus, come riconoscerli e come difendersi

Il cyber crimine resta fortemente interessato all’utilizzo di falsi antivirus per diffondere malware e infettare i Pc degli utenti. Nonostante negli ultimi mesi sia stata registrata una diminuzione di questa attività, il pericolo resta comunque alto. Durante le ultime settimane i G Data Security Labs hanno esaminato le modalità di funzionamento di diversi falsi programmi antivirus analizzandone in dettaglio il codice sorgente. Tutti i falsi scanner antivirus analizzati dall’azienda di sicurezza cercano di replicare il layout di Windows XP e Windows 7. Per indurre l’utente ad aprire inconsapevolmente la pagina web del falso antivirus, inoltre, si sfrutta la funzione di reindirizzo. L’utente, in altre parole, non apre direttamente la pagina web del falso scanner antivirus, ma ci arriva di norma cliccando su un link trovato all’interno di un sito ritenuto affidabile che è stato opportunamente modificato dai criminali online. Si tratta di un approccio tipico del cosiddetto Social Engineering e che fa leva sulla paura dell’utente inducendolo a credere che il suo sistema sia infetto.

Approfondimenti sulle modalità di attacco e sui consigli di G Data su come difendersi sono presenti in questo articolo.

1. Falsi avvisi

Quando un utente apre un sito che è stato modificato dai cyber criminali, viene mostrato un avviso JavaScript. Questa tipologia di avvisi differisce soltanto per la sintassi e il layout web in relazione al browser installato.

2. Falso scanner di sistema

Questa è la parte principale della pagina web. Dopo che l’utente ha cliccato “OK” sul falso avviso iniziale, un falso scanner evidenzia la presenza di diverse infezioni sul Pc dell’utente. Anche questi scanner funzionano con Javascript. I file scannerizzati, le loro estensioni e anche le presunte minacce trovate sono generate in maniera casuale dallo script sulla base di un set predefinito di valori (il fine di questa azione è ovviamente quello di sfuggire all’analisi di un vero programma antivirus).

Tutti i codici esaminati indicano che la pagine in questione sono state probabilmente codificate da un piccolo gruppo di persone, se non da un’unica persona, perché molti frammenti di codice utilizzato sono praticamente identici.

Alcuni di questi siti, inoltre, utilizzano tecniche di offuscamento per impedire e ostacolare un’eventuale analisi manuale condotta da un’analista della sicurezza, come pure un’ispezione automatica avviata tramite un apposito tool. Il fatto che alcune pagine siano offuscate ed altre no lascia presupporre che tali pagine siano state create da un piccolo gruppo di persone che ha poi venduto il codice sorgente ad altri criminali i quali hanno poi aggiunto le tecniche di offuscamento.

3. Falsi risultati dello scanner e software fasullo

Dopo che è terminato il finto scanner di sistema e sono state evidenziate le (false) minacce, viene subito proposta una soluzione. Esaminando il codice i laboratori di G Data hanno notato una certa evoluzione dello stesso. Se, infatti, su Windows XP i risultati della scansione vengono presentati in una semplice immagine, quelli su windows 7 sono generati dinamicamente da JavaScript e consentono agli utenti di interagire con la lista di risultati tramite una finestra con tanto di scrolling. Queste pagine Internet sono ospitate su domini internet free e hanno una media di vita di un solo giorno.


4. Tentativo di infezione

Dopo la scansione viene consigliato il download di un (falso) software antivirus. I siti Internet, però, sono strutturati in maniera tale da rendere impossibile all’utente il rifiuto del download. La chiusura della finestra del browser e la pressione il tasto “Back” sono infatti disabilitati tramite JavaScript. Ogni volta che l’utente tenta di compiere queste operazioni la finestra di download continua a mostrarsi. Fino a questo punto non c’è ancora infezione.
Come difendersi?

Per evitare il download l’unica via percorribile è aprire il Task Manager (Ctrl+Alt+Canc) e terminare manualmente il processo del browser selezionandolo tra i programmi attivi e premendo quindi su “Termina Operazione”.

Consigli utili per proteggersi dai falsi antivirus

– Utilizzare una soluzione per la sicurezza informatica completa con tanto di filtro http e firme virali aggiornate;
– Se scaricate software da Internet, scaricatelo solo dai siti ufficiali dei produttori o da siti dedicati che abbiano una buona reputazione;
– Se un sito mostra una finestra di download, controllate se davvero questo è un software che volete scaricare. Queste finestre automatiche di pop-up spesso fanno riferimenti a falsi software;
– Tenete sempre aggiornati il sistema operativo e il browser;
– Non cliccate hyperlink;
– Analizzate il linguaggio e l’ortografia dei pop-up e degli avvisi che compaiono in Internet. Troppi errori grammaticali sono segno evidente di una trappola.

Fonte PCSELF.COM

I 5 pericoli più grandi per lo shopping online di Natale

Molti utenti Internet iniziano ad acquistare i regali di Natale all’inizio del periodo dell’Avvento. In Italia tre utenti su dieci sceglieranno Internet per comprare i regali di Natale (fonte: Gfk Eurisko). I criminali online traggono sicuro vantaggio da questa situazione e prendono di mira gli utenti che sono alla ricerca di regali. Essi ingannano le loro vittime inviando mail contenenti malware o basate su phishing offrendo, ad esempio, beni di lusso a prezzi particolarmente convenienti o inviando note di spedizione fasulle. L’obbiettivo dei cyber criminali è soprattutto quello di entrare in possesso dei dati personali degli utenti relativi all’online banking o alle carte di credito. G Data ha individuato i 5 pericoli più ricorrenti in cui si incorre quando si acquistano regali online e ha fornito una serie di utili consigli per proteggersi adeguatamente.

Email con esca pubblicitaria

In questo tipo di email i criminali online promettono prodotti come orologi di lusso e scarpe di marca a un prezzo estremamente basso. I link integrati nelle email traggono in inganno l’utente indirizzandolo su falsi siti web infettati da malware o falsi negozi online dove i dati personali e/o bancari vengono rubati durante il processo di compilazione dell’ordine. Email di questo tipo possono essere facilmente individuate dall’oggetto che solitamente è del tipo “Christmas Sale, Thousands of luxury goods for under $100“.

Frode relativa all’online banking

L’online banking è molto popolare tra la gente che acquista online i regali di Natale. Le transazioni bancarie elettroniche rendono più veloce e facile il pagamento dei regali ordinati online. I Trojan bancari stanno perciò diventando sempre più utilizzati dai criminali online che se ne servono per inserirsi nei processi di pagamento e dirottare denaro sui propri account. Gli utenti Pc possono essere infettati da questi malware in diversi modi: per esempio, un utente può ricevere un falso avviso da una banca comunicante che la transazione non è andata a buon fine. Per ripetere la transazione, l’utente viene invitato a cliccare su un link che rimanda a un sito Internet infettato con un Trojan bancario.

Email da falsi servizi di spedizione

I regali di Natale che sono stati ordinati online arrivano di norma attraverso i corrieri. I criminali online sono a conoscenza di ciò e ne approfittano inviando false email con conferme di spedizione e fatture. Questi messaggi potrebbero suggerire che un pacco non può essere consegnato o, come nel caso di una falsa email di UPS (immagine in basso), che la fattura per la spedizione è disponibile nel centro fatturazione. Quest’ultimo tipo di email contiene un allegato che nasconde un key logger. Se l’utente clicca sull’allegato il malware entra in esecuzione ed è in grado di spiare tutti gli input dati dalla tastiera, come per esempio i dati di login per i servizi di pagamento o l’online banking.

Email da servizi di pagamento

I criminali mandano anche email che parrebbero provenire da servizi di pagamento i quali avvisano che l’account dell’utente è stato bloccato per alcune irregolarità o che una transazione non è andata a buon fine. Il destinatario viene invitato a cliccare su un link per ripetere la procedura di pagamento o sbloccare l’account. Come già visto anche in questo caso il link rimanda a un falso sito Internet pensato appositamente per rubare i dati dell’utente o infettato con del malware.

False cartoline di auguri

Un’ altra strategia molto popolare nel periodo natalizio è quella di mandare via email false cartoline di auguri. Queste possono contenere allegati con diverse tipologie di malware o link che rimandano a siti web infetti.
Otto suggerimenti utili per comprare i regali di Natale online in tutta sicurezza

1. Gli utenti dovrebbero usare una soluzione completa per la sicurezza dotata di scanner antivirus, firewall, spam e protezione in tempo reale. Questa soluzione dovrebbe essere regolarmente aggiornata. Si raccomanda anche di effettuare una scansione totale del proprio Pc prima di comprare regali online.

2. Quando poi si usa l’online banking bisognerebbe essere sicuri di usare una doppia procedura di autentificazione per maggiore sicurezza. Gli acquirenti che utilizzano un service provider per i pagamenti dovrebbero utilizzare provider che offrono protezione all’utente.

3. Sarebbe opportuno controllare che sia il sistema operativo, sia ogni altro software presente sul proprio Pc sia aggiornato all’ultimo update disponibile.

4. Tutte le email di spam dovrebbero essere cancellate senza neppure leggerle. Gli utenti, inoltre, non dovrebbero cliccare sui link in esse contenute o aprire eventuali allegati. Link a siti di online banking, shop online o servizi di pagamento dovrebbero essere inseriti nel browser manualmente. Nel fare questo bisognerebbe avere particolare attenzione nell’evitare errori di battitura perché i criminali online se ne servono spesso per reindirizzare l’utente su siti web fasulli.

5. Bisognerebbe analizzare attentamente gli shop online prima di fare degli acquisiti. Questo significa leggere I termini generali e le condizioni d’uso, le informazioni legali e controllare bene le spese di spedizione e ogni costo addizionale. Gli utenti dovrebbero, inoltre, verificare su Internet se il negozio online è considerato affidabile o meno.

6. Gli acquisti non vanno effettuati da Pc pubblici perché, spesso e volentieri, questi non sono adeguatamente protetti. Le WLAN pubbliche vanno evitate perché i cyber criminali possono intercettare il traffico di dati.

7. Durante il processo di pagamento è necessario fare attenzione alle notifiche di sicurezza del browser per assicurarsi che i dati vengano trasferiti in modalità sicura. La cosa importante da verificare è che l’indirizzo web nella barra inizi con “https”, che lo sfondo della barra degli indirizzi sia verde e che sia presente un lucchetto.

8. Bisognerebbe usare password non facilmente identificabili, soprattutto quelle utilizzate per i servizi di pagamento, l’online banking e gli shop online. Queste password dovrebbero essere composte da lettere maiuscole e minuscole e caratteri speciali.

Maggiori informazioni sulle soluzioni per la sicurezza informatica di G Data sono disponibili sul sito internet http://www.gdata.it.

Fonte PCSELF.COM