Tratto dallo speciale:

Protezione PC aziendali: dal phishing al tabnabbing

di Alessia Valentini

Pubblicato 24 Maggio 2012
Aggiornato 24 Giugno 2015 19:53

logo PMI+ logo PMI+
Guida ai nuovi attacchi informatici che dal singolo pc infettano l'intera rete aziendale: dopo i troyan via phishing è il turno del tabnabbing e degli attacchi ai terminali, a partire dai POS degli hotel.

Secondo recenti studi in materia di sicurezza informatica, la maggior parte delle violazioni ai sistemi IT deriva dall’errore umano, che amplifica la vulnerabilità agli attacchi cyber crime:  è dunque fondamentale comprendere i meccanismi che possono favorire se non addirittura causare la compromissione di una infrastruttura informatica.

La raccomandazione di base riguarda ovviamente la tutela di password e credenziali di accesso ad un sistema IT perché ogni attacco parte da un singolo PC di una rete privata per poi diffondersi e veicolare codice malevolo all’interno della rete, per distruggerne o sottrarre i dati, per prendere il controllo dell’infrastruttura o addirittura per bloccarla (attacco DDoS).

Phishing

I sistemi per violare le credenziali di accesso si sono evoluti nel tempo, con tecniche di phishing sempre più sofisticate: le false email da siti accreditati con la richiesta di inserire i propri ID e Password  puntando a link fraudolenti non accennano infatti a diminuire.

E da quelle email ormai note – che simulano messaggi da Poste Italiane e dalle principali  banche (Unicredit, Intesa SanPaolo…), passando per servizi tradizionalmente meno attaccati, come ING Direct (per carpire i codici di accesso a conto online e servizi di trading) – si è passati ad attacchi meno noti.

POS Hotel

Per carpire i dati delle carte di credito, per esempio, uno degli attacchi più tipici è quello perpetrato da malware specializzati in violazione di siti web di aziende alberghiere e Hotel. Non solo attacchi online però: in rete si trova al costo di 280 dollari e consente di sottrarre i codici delle carte direttamente dalle reception degli alberghi e girarli a malintenzionati. Basta che venga installato su uno dei pc dell’albergo perché si propaghi su tutti quelli della rete interna.

Il trojan trafuga numeri di carta e scadenze direttamente dall’applicazione che gestisce i pagamenti tramite Pos alla reception: per fortuna lo fa in modo non molto sofisticato perché non include il codice CVV2 di verifica, il che rende impossibile l’utilizzo completo della carta, ma i dati sensibili vengono sottratti per la rivendita in rete.

Tabnabbing

L’ultimo sistema per il furto di credenziali è  il cosiddetto tabnabbing, un tipo di phishing in circolazione da un paio d’anni, tornato di moda con la diffusione della consultazione web a schede, ovvero tab che si aprono per contenere in un’unica schermata sessioni di navigazioni su url diversi.

Ancora una volta l’attacco parte da  un link malevolo per attirare l’utente su una pagina web, che non chiede dati di accesso ma offre contenuti che inducono l’utente a non chiudere la scheda per consultarla  successivamente, e ad aprire altre tab per continuare la navigazione su altri indirizzi.

E qui scatta il tabnabbing: esecuzione di codice eseguito sulla pagina esca. L’utente distratto dalla nuova scheda non presterà attenzione alla vecchia, trasformata assumendo l’aspetto di una pagina di accesso alla posta elettronica o altri servizi protetti, cambiando la “favicon”, ossia l’icona che contraddistingue la pagina sulla scheda e nella barra dell’indirizzo. Se l’utente distratto non si ricorda della vecchia pagine e abbocca, inserirà i suoi dati (veri) nella pagina web mutata (e falsa) fornendo le credenziali di accesso.

Dal tabnabbing ci si difende essenzialmente controllando sempre cosa c’è scritto nella barra degli indirizzi. Se al sito visualizzato corrisponde un indirizzo con lo stesso dominio o simile, non c’è rischio ma se la URL sembra non avere nulla a che fare con il sito, si è sotto attacco.

Infine segnaliamo un avviso che arriva direttamente dall’FBI, relativo ad un trojan che potrebbe aver infettato diversi pc e che scatenerà i suoi effetti il 9 Luglio causando il black out Internet. Il virus in questione sarebbe il DNSChanger già conosciuto agli addetti ai lavori: poiché è difficile rilevarlo, si consiglia di visitare il sito www.dcwg.org, dove è possibile scoprire se il proprio computer è stato infettato e trovare le guide e gli strumenti per la rimozione.