Milano, 14 Ottobre, 2008 – La criminalità informatica sta diventando sempre più una questione personale dal momento che, secondo il report di McAfee Inc. annunciato oggi, i criminali riescono a ottenere dati personali dai siti di social networking, da violazioni di dati e altre fonti. Nel periodico semestrale sulle minacce McAfee Security Journal, gli esperti di sicurezza internazionali dei McAfee Avert Labs hanno riscontrato un aumento nell’utilizzo delle tecniche di social engineering utilizzate per sfruttare la natura umana e ottenere guadagni sempre più rilevanti.
“I cybercriminali stanno creando attacchi che sono virtualmente impossibili da identificare da parte degli utenti al computer,” ha affermato Jeff Green, senior vice president, McAfee Avert Labs. “Le truffe di phishing, gli attacchi mossi via email, Trojan horse e altri attacchi arrivano a essere così personalizzati, che persino l’occhio più attento potrebbe cadere nella trappola ben orchestrata del social engineering.”
Negli ultimi sei mesi, i truffatori informatici hanno sfruttato le emozioni e la curiosità umane con l’intento di adescare le vittime e carpire informazioni personali. Nell’ultimo periodo le truffe hanno ruotato, infatti, attorno a notizie ed eventi d’attualità come le Olimpiadi, le calamità naturali e le elezioni presidenziali negli Stati Uniti.
“Non importa dove vivete o che lingua parlate, i criminali informatici saranno in grado di sfruttare la natura umana, mirando sulle emozioni primordiali come paura, curiosità, avidità e compassione,” prosegue Green. “I criminali hanno compreso le debolezze umane e continueranno a utilizzare sempre di più il potere di Internet per sfruttarne i punti deboli. E’ un modo molto semplice attraverso cui i criminali informatici possono fare soldi e con l’inganno estorcere dati riservati.”
McAfee Security Journal evidenzia quattro principali tendenze a livello globale:
1) Cresceranno gli attacchi personalizzati – Mentre gli utenti hanno maggiore confidenza con la pubblicazione di informazioni su loro stessi on-line, insieme all’aumento di applicazioni generate dagli utenti, i cybercriminali stanno utilizzando sia le informazioni sia le vulnerabilità dei siti di social networking per sferrare attacchi.
McAfee prevede che gli utenti verranno presi in contropiede dal livello di dettaglio e di personalizzazione dei messaggi con cui i cyber criminali sferreranno gli attacchi.
2) Esploderà lo spam “socialmente ingegnerizzato”basato su tecniche di social engineering – I cybercriminali mietono innumerevoli vittime con messaggi di spam spaventosamente credibili basati su informazioni reali. Per esempio, truffatori informatici utilizzeranno informazioni ricavate tramite furti di dati per falsi programmi di fidelizzazione dei clienti o per offrire sconti a chi ha fatto acquisti recentemente.
McAfee prevede che tale trend continuerà, dal momento che i truffatori estrapolano le informazioni personali sugli utenti dai siti di social networking o dalle violazioni di data base per carpire dati delle carte di credito, interessi e comportamenti.
3) Cresceranno le truffe indirizzate agli investitori – La crescita del social engineering avrà ripercussioni anche su mercato e azioni ben più importanti delle comuni truffe “pump and dump”, utilizzate dagli spammer per sostenere che il valore di alcune azioni sta per aumentare incredibilmente.
Facendo riferimento alle storiche truffe “penny stock”, i ricercatori degli Avert Labs prevedono che i cyber criminali potranno attuare anche più audaci tentativi di ottenere guadagno sfruttando la variabilità dei mercati azionari e dei derivati, come far circolare false notizie su vulnerabilità di sicurezza nei software o su cambiamenti negli organi dirigenti di un’azienda quotata.
4) I criminali sfrutteranno il desiderio degli utenti di proteggere i propri PC, con un numero maggiore di truffe impostate come falsi aggiornamenti di sicurezza. McAfee ha osservato un aumento dei software malevoli che si presentano come applicazioni di vendor di “sicurezza”. I criminali utilizzano dei pop-up pubblicitari per informare gli utenti che i loro computer sono infetti e che solo il software di quel vendor è in grado di ripulirglieli. Non solo quei software non offrono maggiore sicurezza, ma spesso inducono a scaricare un nuovo malware.
McAfee ritiene che i cybercriminali intensificheranno i propri sforzi per attirare altre vittime con falsi aggiornamenti di sicurezza.
Attacchi informatici, qualche cifra:
· 1.1 milioni — Totale in dollari del denaro rubato dai clienti della Swedish Nordea Bank con la truffa on-line da record più grande al mondo
· 84% — La percentuale di violazioni della sicurezza attribuibili a errori umani secondo il Dipartimento degli Interni degli Stati Uniti
· 1980 — Le prime apparizioni di “Trojan horses” nei bollettini sulla sicurezza
· 419 — La sezione del codice penale nigeriano che vieta le onnipresenti e-mail di spam nigeriano
· 150% — Percentuale di crescita dei Trojan che utilizzano social engineering dal 2006
· 742 — Numero di domini di typosquatting per freecreditreport.com, ognuno in attesa di denaro dalla vittima che commette un errore di battitura compilando il nome del sito legittimo
· 320 — Numero di domini di typosquatting per YouTube, il terzo sito utilizzato per questo tipo di truffa. Altri siti popolari cui gli squatter si rivolgono sono CartoonNetwork.com, Craigslist.org, e ClubPenguin.com
Come possono gli utenti privati e professionali difendersi dagli attacchi sferrati con metodi di Social Engineering
I crimini informatici dovuti ad attacchi “socialmente ingegnerizzati” vengono combattuti su tre piani distinti:
1) Aggiornare la propria tecnologia di sicurezza. Utenti aziendali e privati devono aggiornare i propri software di sicurezza per disporre delle più recenti versioni di software anti-virus software, filtri anti-spam, plug-in anti-phishing per il browser e soluzioni per la navigazione sicura su Web.
2) Cautela nell’utilizzo del computer e nella navigazione su Internet. Gli utenti dovrebbero prestare attenzione alle varie offerte che ricevono via e-mail, IM, o messaggi tramite reti di social networking che suonano “troppo belli per essere veri.” Allo stesso modo, gli utenti non dovrebbero mai fare click su qualcosa che arriva via e-mail da uno sconosciuto.
3) Conoscere i propri diritti. Il mercato della sicurezza e le forze di polizia stanno lottando contro i cybercriminali monitorando e perseguendo i reati.
“I cybercriminali stanno creando attacchi che sono virtualmente impossibili da identificare da parte degli utenti al computer,” ha affermato Jeff Green, senior vice president, McAfee Avert Labs. “Le truffe di phishing, gli attacchi mossi via email, Trojan horse e altri attacchi arrivano a essere così personalizzati, che persino l’occhio più attento potrebbe cadere nella trappola ben orchestrata del social engineering.”
Negli ultimi sei mesi, i truffatori informatici hanno sfruttato le emozioni e la curiosità umane con l’intento di adescare le vittime e carpire informazioni personali. Nell’ultimo periodo le truffe hanno ruotato, infatti, attorno a notizie ed eventi d’attualità come le Olimpiadi, le calamità naturali e le elezioni presidenziali negli Stati Uniti.
“Non importa dove vivete o che lingua parlate, i criminali informatici saranno in grado di sfruttare la natura umana, mirando sulle emozioni primordiali come paura, curiosità, avidità e compassione,” prosegue Green. “I criminali hanno compreso le debolezze umane e continueranno a utilizzare sempre di più il potere di Internet per sfruttarne i punti deboli. E’ un modo molto semplice attraverso cui i criminali informatici possono fare soldi e con l’inganno estorcere dati riservati.”
McAfee Security Journal evidenzia quattro principali tendenze a livello globale:
1) Cresceranno gli attacchi personalizzati – Mentre gli utenti hanno maggiore confidenza con la pubblicazione di informazioni su loro stessi on-line, insieme all’aumento di applicazioni generate dagli utenti, i cybercriminali stanno utilizzando sia le informazioni sia le vulnerabilità dei siti di social networking per sferrare attacchi.
McAfee prevede che gli utenti verranno presi in contropiede dal livello di dettaglio e di personalizzazione dei messaggi con cui i cyber criminali sferreranno gli attacchi.
2) Esploderà lo spam “socialmente ingegnerizzato”basato su tecniche di social engineering – I cybercriminali mietono innumerevoli vittime con messaggi di spam spaventosamente credibili basati su informazioni reali. Per esempio, truffatori informatici utilizzeranno informazioni ricavate tramite furti di dati per falsi programmi di fidelizzazione dei clienti o per offrire sconti a chi ha fatto acquisti recentemente.
McAfee prevede che tale trend continuerà, dal momento che i truffatori estrapolano le informazioni personali sugli utenti dai siti di social networking o dalle violazioni di data base per carpire dati delle carte di credito, interessi e comportamenti.
3) Cresceranno le truffe indirizzate agli investitori – La crescita del social engineering avrà ripercussioni anche su mercato e azioni ben più importanti delle comuni truffe “pump and dump”, utilizzate dagli spammer per sostenere che il valore di alcune azioni sta per aumentare incredibilmente.
Facendo riferimento alle storiche truffe “penny stock”, i ricercatori degli Avert Labs prevedono che i cyber criminali potranno attuare anche più audaci tentativi di ottenere guadagno sfruttando la variabilità dei mercati azionari e dei derivati, come far circolare false notizie su vulnerabilità di sicurezza nei software o su cambiamenti negli organi dirigenti di un’azienda quotata.
4) I criminali sfrutteranno il desiderio degli utenti di proteggere i propri PC, con un numero maggiore di truffe impostate come falsi aggiornamenti di sicurezza. McAfee ha osservato un aumento dei software malevoli che si presentano come applicazioni di vendor di “sicurezza”. I criminali utilizzano dei pop-up pubblicitari per informare gli utenti che i loro computer sono infetti e che solo il software di quel vendor è in grado di ripulirglieli. Non solo quei software non offrono maggiore sicurezza, ma spesso inducono a scaricare un nuovo malware.
McAfee ritiene che i cybercriminali intensificheranno i propri sforzi per attirare altre vittime con falsi aggiornamenti di sicurezza.
Attacchi informatici, qualche cifra:
· 1.1 milioni — Totale in dollari del denaro rubato dai clienti della Swedish Nordea Bank con la truffa on-line da record più grande al mondo
· 84% — La percentuale di violazioni della sicurezza attribuibili a errori umani secondo il Dipartimento degli Interni degli Stati Uniti
· 1980 — Le prime apparizioni di “Trojan horses” nei bollettini sulla sicurezza
· 419 — La sezione del codice penale nigeriano che vieta le onnipresenti e-mail di spam nigeriano
· 150% — Percentuale di crescita dei Trojan che utilizzano social engineering dal 2006
· 742 — Numero di domini di typosquatting per freecreditreport.com, ognuno in attesa di denaro dalla vittima che commette un errore di battitura compilando il nome del sito legittimo
· 320 — Numero di domini di typosquatting per YouTube, il terzo sito utilizzato per questo tipo di truffa. Altri siti popolari cui gli squatter si rivolgono sono CartoonNetwork.com, Craigslist.org, e ClubPenguin.com
Come possono gli utenti privati e professionali difendersi dagli attacchi sferrati con metodi di Social Engineering
I crimini informatici dovuti ad attacchi “socialmente ingegnerizzati” vengono combattuti su tre piani distinti:
1) Aggiornare la propria tecnologia di sicurezza. Utenti aziendali e privati devono aggiornare i propri software di sicurezza per disporre delle più recenti versioni di software anti-virus software, filtri anti-spam, plug-in anti-phishing per il browser e soluzioni per la navigazione sicura su Web.
2) Cautela nell’utilizzo del computer e nella navigazione su Internet. Gli utenti dovrebbero prestare attenzione alle varie offerte che ricevono via e-mail, IM, o messaggi tramite reti di social networking che suonano “troppo belli per essere veri.” Allo stesso modo, gli utenti non dovrebbero mai fare click su qualcosa che arriva via e-mail da uno sconosciuto.
3) Conoscere i propri diritti. Il mercato della sicurezza e le forze di polizia stanno lottando contro i cybercriminali monitorando e perseguendo i reati.
- Jacopo P. -