Settembre ha visto molti eventi degni di nota nel campo della sicurezza di Internet. Unisciti a noi mentre affrontiamo i progressi della sicurezza informatica e rischiamo le rivelazioni avvenute nell'ultimo mese.
Criminale informatico condannato a 12 anni di prigione per aver guidato un programma di sblocco illegale di telefoni da 7 anni
Per il 16 settembre comunicato stampa Dal Dipartimento di Giustizia, il cittadino pakistano Muhammad Fahd ha ricevuto una condanna a 12 anni di carcere per aver orchestrato uno sblocco illegale di milioni di telefoni che hanno sottratto denaro ad AT&T in un arco di 7 anni. L'elaborata frode informatica ha fatto perdere ad AT&T più di 200 milioni di dollari.
A partire dal 2012, i dipendenti di un call center AT&T con sede a Washington sono stati corrotti da Fahd per utilizzare le proprie credenziali aziendali e sbloccare le "impronte digitali" del telefono, note anche come International Mobile Equipment Identity (IMEI). Alla fine, ha corrotto i complici per scaricare malware nei sistemi informatici dell'azienda, consentendogli di sbloccare i telefoni in remoto dal Pakistan.
La frode ha sfruttato i piani di sovvenzione e rateizzazione offerti da AT&T ai clienti, che miravano a ridurre il prezzo dei costosi telefoni cellulari. I clienti potevano acquistare i telefoni a un prezzo inferiore, ma questi erano vincolati alle reti AT&T. Con i telefoni sbloccati da Fahd e dai suoi colleghi, AT&T è stata sloggiata come unico vettore e il titolare del conto è stato liberato dall'adempimento degli obblighi di pagamento.
I dipendenti AT&T corrotti sono stati diretti da Fahd a creare conti bancari per attività false, ricevere depositi su tali conti e creare documenti di fatturazione falsi. Ha quindi collaborato con rivenditori online per vendere i suoi servizi illegali di sblocco del telefono.
Nel 2013, AT&T ha iniziato a utilizzare un nuovo sistema che ha posto una barriera allo schema di sblocco di Fahd. Per contrastare ciò, ha fatto ricorso all'assunzione di un ingegnere del software che ha progettato il malware in grado di aggirare le barriere di AT&T. I dipendenti conniventi hanno fornito a Fahd informazioni sul nuovo sistema e hanno installato il malware sui computer della loro azienda che conteneva le informazioni di accesso degli altri dipendenti.
Lo schema ha portato allo sblocco illegale di quasi 2 milioni di telefoni e al mancato completamento dei pagamenti ad AT&T. Solo nel 2018 Fahd è stato arrestato.
L'asporto di SSL.com: Gli esseri umani sono inclini alle lusinghe di fronte a enormi ricompense monetarie. Il modo per combattere questo è che un'azienda investa in una solida infrastruttura di sicurezza informatica in grado di ridurre gli errori umani e dispone di sistemi in grado di impedire ai propri dipendenti di essere corrotti da un criminale informatico.
Microsoft espone l'operazione Phishing as a Service (PhaaS)
Il team di sicurezza informatica di Microsoft, il 365 Defender Threat Intelligence Team, ha scoperto un nuovo modo in cui il phishing viene eseguito dai criminali informatici.
Denominato BulletProofLink o Anthrax, questo modello sembra essere uno sviluppo di kit di phishing: album di modelli di pagine Web fasulle che copiano le pagine di accesso dei siti Web di destinazione.
Microsoft afferma che esistono fornitori di servizi di phishing che offrono un pacchetto: dalla creazione del modello di phishing, all'hosting e alla condotta effettiva del phishing. Coloro che sottoscrivono questo accordo non devono infiltrarsi attivamente nei sistemi informatici. Invece, ricevono comodamente le credenziali di accesso rubate inviate loro dai provider PhaAS.
Nella sicurezza di Microsoft blog, descrivono come l'infrastruttura di phishing BulletProofLink abbia minacce altrettanto allarmanti del Ransomware as a Service (Raas):
“Il modello di lavoro PhaaS come l'abbiamo descritto finora ricorda il modello ransomware-as-a-service (RaaS), che comporta una doppia estorsione. Il metodo di estorsione utilizzato nel ransomware generalmente prevede che gli aggressori estraggano e pubblichino i dati pubblicamente, oltre a crittografarli su dispositivi compromessi, per fare pressione sulle organizzazioni affinché paghino il riscatto. Ciò consente agli aggressori di ottenere più modi per garantire il pagamento, mentre i dati rilasciati possono essere utilizzati come arma in futuri attacchi da parte di altri operatori. In uno scenario RaaS, l'operatore del ransomware non ha l'obbligo di eliminare i dati rubati anche se il riscatto è già stato pagato.
Abbiamo osservato questo stesso flusso di lavoro nell'economia delle credenziali rubate nel phishing-as-a-service. Con i kit di phishing, è banale per gli operatori includere una posizione secondaria a cui inviare le credenziali e sperare che l'acquirente del kit di phishing non alteri il codice per rimuoverlo. Questo è vero per il kit di phishing BulletProofLink e nei casi in cui gli aggressori che utilizzano il servizio hanno ricevuto credenziali e registri alla fine di una settimana invece di condurre campagne da soli, l'operatore PhaaS ha mantenuto il controllo di tutte le credenziali che rivendono.
Microsoft afferma che il servizio BulletProofLink è responsabile dello sbalorditivo attacco a 300,000 sottodomini e attualmente offre pagine di phishing per note aziende tra cui American Express, Dropbox, AT&T, Alibaba e AOL.
Da asporto di SSL.com: Aumentare le capacità e le conoscenze dei dipendenti dell'azienda in materia di sicurezza informatica aiuterà a combattere gli attacchi di phishing. Considera un studio fatto dalla Stanford University e da Tessian che ha rivelato che l'88% delle violazioni dei dati è causato da dipendenti che fanno clic sulle e-mail degli hacker pensando che provengano da fonti legittime.
Hacker russi attaccano una grande cooperativa agricola in Iowa
Un Washington Post articolo riporta il caso di una cooperativa agricola con sede in Iowa, NEW Cooperative, che è stata attaccata da una banda di ransomware russa che si fa chiamare BlackMatter. I criminali informatici hanno chiesto un pagamento di 5.9 milioni di dollari in cambio della mancata divulgazione di informazioni private che affermano di aver rubato e del ripristino dell'accesso della cooperativa ai loro sistemi informatici che utilizzano per nutrire milioni di bovini, polli e maiali.
La NUOVA cooperativa è di proprietà dei soci con 60 proprietà operative in tutto lo Iowa centrale, occidentale e settentrionale. Gestiscono elevatori di stoccaggio del grano, vendono fertilizzanti, mangimi e semi. Forniscono anche la mappatura del suolo e la gestione del campo.
Nella loro conversazione con i criminali informatici, NEW Cooperative ha chiesto perché fossero stati attaccati nonostante l'affermazione di BlackMatter che non avrebbero preso di mira le infrastrutture critiche. BlackMatter ha risposto affermando di non considerare la cooperativa in quella categoria.
La NEW Cooperative ha avvertito che l'attacco avrebbe portato a un'interruzione della catena di approvvigionamento di grano, maiale e pollo. Hanno inoltre affermato che il loro software gestisce circa il 40% della produzione di grano del paese e i loro programmi di alimentazione si prendono cura di 11 milioni di animali.
BlackMatter è fortemente teorizzato come una versione reincarnata della banda di ransomware DarkSide che è diventata AWOL dopo l'enorme attacco che hanno fatto lo scorso maggio. Come discusso nel nostro precedente articolo, la banda DarkSide è stata responsabile dell'attacco al Colonial Pipeline che ha debilitato le forniture di gas negli stati del sud-est.
Tra i dati che si dice siano stati rubati da BlackMatter c'erano informazioni finanziarie (bollette, fatture, estratti conto), numeri di previdenza sociale dei dipendenti, documenti di ricerca e sviluppo e documenti legali.
Da asporto di SSL.com: Il recente attacco alla Colonial Pipeline dovrebbe servire da forte avvertimento alle grandi aziende industriali che, anche se pagano il riscatto, non vi è alcuna garanzia che i cyber criminali ripristineranno completamente il loro accesso. Le grandi aziende industriali e le cooperative dovrebbero consultare immediatamente le società di sicurezza informatica in modo che il loro livello di rischio possa essere valutato e la loro sicurezza online possa essere rafforzata.
Il sistema di firma cloud eSigner di SSL.com va al lancio completo
Per quanto riguarda il nostro aggiornamento aziendale, settembre 2021 è diventato il primo mese per il lancio commerciale del nostro eSigner Cloud Signing System.
L'eSigner di SSL.com aumenta l'infrastruttura di sicurezza informatica delle aziende consentendo loro di apporre firme digitali affidabili a livello internazionale a documenti importanti che comunicano internamente ed esternamente online, inclusi documenti legali, documenti protetti da copyright, record di fatturazione, informazioni sui dipendenti e altri.
Le aziende possono anche salvaguardare il software e le applicazioni informatiche che utilizzano nel loro lavoro tramite eSigner. Se i driver di installazione per questi strumenti devono essere inviati tramite Internet, le parti riceventi possono essere sicure che non stanno scaricando malware. Questo perché l'uso di eSigner di PKI la tecnologia crittografa in modo sicuro il file con la chiave privata del mittente e ne impedisce l'accesso a meno che la parte ricevente non disponga della chiave pubblica corrispondente. Con il file bloccato in modo univoco, il destinatario può essere sicuro che il file provenga davvero dall'entità corretta.
Come è evidente dall'adattamento sempre più diffuso della tecnologia cloud, l'archiviazione e la sicurezza dei file basati su cloud si sono dimostrate più economiche e offrono una maggiore protezione dal furto e dalla perdita di dati rispetto ai sistemi hardware.
firmatario elettronico è completamente compatibile con lo standard di firma cloud di Cloud Signature Consortium, un gruppo internazionale di organizzazioni appartenenti al governo, al mondo accademico e al settore della sicurezza informatica. Le firme dei documenti eSigner sono legali e applicabili anche negli Stati Uniti Firme elettroniche nel commercio globale e nazionale (ESIGN) agire e il leggi di molti altri paesi In tutto il mondo.
