{"id":8052,"date":"2016-03-25T16:28:17","date_gmt":"2016-03-25T15:28:17","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=8052"},"modified":"2016-03-25T16:28:17","modified_gmt":"2016-03-25T15:28:17","slug":"il-caso-dellattacco-phishing-travestito-da-foglio-excel-condiviso-su-piattaforma-windows-live","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2016\/03\/25\/il-caso-dellattacco-phishing-travestito-da-foglio-excel-condiviso-su-piattaforma-windows-live\/","title":{"rendered":"Il caso dell\u2019attacco phishing travestito da foglio Excel condiviso su piattaforma Windows Live"},"content":{"rendered":"<p><a href=\"https:\/\/sabmcs.files.wordpress.com\/2015\/09\/logo-claim-2015-3c-highres.jpg\" rel=\"attachment wp-att-3075\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-3075 alignright\" src=\"https:\/\/sabmcs.files.wordpress.com\/2015\/09\/logo-claim-2015-3c-highres.jpg?w=300\" alt=\"Logo-Claim-2015-3c-highres\" width=\"261\" height=\"146\" \/><\/a><em>I cybercriminali le tentano proprio tutte: gli attacchi mirati agli utenti aziendali non sono una novit\u00e0, ma a volte gli espedienti utilizzati per accedere ai nostri dati sorprendono.<\/em><\/p>\n<p><strong>I tentativi di attacco veicolati tramite mail erano gi\u00e0 noti ancora prima dell\u2019ondata di Ransomware. Quotidianamente vengono inviati in europa centinaia di milioni di messaggi spam, tra cui non figurano esclusivamente attacchi di massa ma anche attacchi mirati. Nel presente caso, analizzato dai G DATA Security Lab, abbiamo a che fare con un espediente ai danni delle aziende, il cui procedimento risulta \u201cinnovativo\u201d. I destinatari della mail si accorgono solo facendo estrema attenzione, che si tratta di un tentativo di truffa. Le soluzioni G DATA riconoscono l\u2019allegato come Script.Trojan-Stealer.Phish.AG. Tutti i dettagli di questo particolare caso sono consultabili sul blog dei G DATA Security Labs al link <\/strong><a href=\"https:\/\/blog.gdatasoftware.com\/2016\/03\/28211-order-turns-out-to-be-phishing-attack-in-excel-look\">https:\/\/blog.gdatasoftware.com\/2016\/03\/28211-order-turns-out-to-be-phishing-attack-in-excel-look<\/a><\/p>\n<p>La mail che raggiunge la casella di posta elettronica delle potenziali vittime reca un allegato chiamato purchase-order.htm. A ben guardare, il messaggio contiene elementi che destano sospetti. L\u2019azienda emittente non esiste sotto questo nome, l\u2019indirizzo gmail del mittente pu\u00f2 risultare poco serio e il testo della mail contiene refusi, che possono essere scusabili, considerando che il potenziale cliente pare non essere geograficamente collocato in Paesi anglofoni.<\/p>\n<p><a href=\"https:\/\/sabmcs.files.wordpress.com\/2016\/03\/csm_excel_phish_document_anonym_6abcd9a205.png\" rel=\"attachment wp-att-3493\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3493 size-large\" src=\"https:\/\/sabmcs.files.wordpress.com\/2016\/03\/csm_excel_phish_document_anonym_6abcd9a205.png?w=440\" alt=\"csm_excel_phish_document_anonym_6abcd9a205\" width=\"440\" height=\"242\" \/><\/a>L\u2019allegato \u00e9 travestito da documento prodotto con Microsoft Excel e condiviso online. Il file si presenta in effetti come una tabella, ma in realt\u00e0 \u00e8 solo un\u2019immagine (order.png) non un documento lavorabile. Con tecniche di social engineering i criminali puntano alla curiosit\u00e0 dell\u2019utente, segnalando ad esempio in rosso che le informazioni contenute nel file siano riservate. L\u2019immagine viene caricata da un server situato ad Hong Kong. Per poter scaricare il documento, il destinatario deve inserire le proprie credenziali di accesso ai servizi della piattaforma live.com di Microsoft. In effetti per\u00f2, la maschera per l\u2019inserimento di tali dati non ha il formato giusto. Evidentemente i cybercriminali partono dal presupposto che gli utenti dei servizi online legati al pacchetto Office siano facilmente raggirabili. Peraltro, il diretto riferimento visivo, ma non esplicitamente citato, a tale piattaforma, suggerisce che i dati di accesso ai servizi Windows Live siano l\u2019obiettivo di questa campagna. In effetti sono di valore, poich\u00e9 ottenendoli, i cybercriminali si assicurano accesso illecito ad una serie di servizi, tra cui archivi di documenti online, posta elettronica per trafugare informazioni e inviare ulteriori messaggi di spam e molto altro.<\/p>\n<p>Tutti dati ottimamente sfruttabili, specie se provenienti da un contesto aziendale.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3494 size-large\" src=\"https:\/\/sabmcs.files.wordpress.com\/2016\/03\/excel_phish_login_error_anonym.png?w=440\" alt=\"excel_phish_login_error_anonym\" width=\"440\" height=\"180\" \/><\/p>\n<p>I dati inseriti, ossia l\u2019indirizzo mail e la password, vengono inviati subito dopo il click su \u201cscarica\u201d allo stesso server a Hong Kong, da cui sono state caricate le immagini, tuttavia ad un altro dominio. I G DATA Security Labs ritengono che l\u2019intero server sia controllato dai cybercriminali. Dopo l\u2019invio dei dati, una pagina web presenta \u2013 ovviamente &#8211; una notifica di errore.<\/p>\n<p><strong>Come proteggersi quando si ricevono mail di questo genere<\/strong><\/p>\n<p>Partendo dal presupposto che tutti siano dotati di una soluzione di sicurezza che integri una protezione antispam aggiornata:<\/p>\n<ul>\n<li>Verificate la plausibilit\u00e0 del messaggio chiedendovi:\n<ul>\n<li>La mia azienda ha motivo di ricevere un ordine dall\u2019estero?<\/li>\n<li>Il destinatario della mail sono io o sono indicati altri indirizzi?<\/li>\n<li>Che impressione generale mi fa il messaggio? Ci sono errori evidenti?<\/li>\n<\/ul>\n<\/li>\n<li>Siate sospettosi quando ricevete mail da mittenti sconosciuti. Se la mail risulta \u201cstrana\u201d ignoratela, cancellatela ma non aprite allegati e non cliccate su link. Soprattutto non rispondete alle mail di spam, mai, perch\u00e9 farlo corrisponde a confermare che il vostro indirizzo mail esiste, quindi assume un valore ancora maggiore per i criminali!<\/li>\n<li>L\u2019apertura di allegati \u00e9 un fattore di rischio, occorre scansirli con una soluzione di sicurezza e poi cancellarli senza aprirli. In caso di dubbio girate il file <u>senza aprirlo<\/u> direttamente ai G DATA SecurityLabs per un\u2019analisi.<\/li>\n<li>I link nelle mail non vanno cliccati senza pensarci bene. L\u2019indirizzo web andrebbe verificato. Molti client di posta elettronica consentono di verificare l\u2019esatto rimando del link senza cliccarci sopra, bens\u00ec passandoci sopra il mouse. In caso di incertezze inviate l\u2019indirizzo (senza cliccarci sopra) ai G DATA Security Labs per l\u2019analisi.<\/li>\n<li>Le e-Mail con allegati in formato HTM(L) dovrebbero essere valutate con grande scetticismo. Il formato \u00e8 usato di norma per siti web, difficilmente per lo scambio di informazioni tra persone. Lo stesso dicasi per file in formato .JS (JavaScript).<\/li>\n<li>Non comunicate dati personali, n\u00e9 per email, n\u00e9 tramite formulari di dubbia natura o su siti sospetti.<\/li>\n<li>In un contesto aziendale: fate riferimento al vostro amministratore di sistema o al CISO, qualora un dato processo risulti sospetto.<\/li>\n<\/ul>\n<p><!--more--><\/p>\n<p><strong>Chi \u00e8 G <\/strong><strong>DATA<\/strong><\/p>\n<p>La sicurezza IT \u00e8 nata in Germania: G DATA Software AG viene considerata a pieno titolo l&#8217;inventore dei software antivirus. L&#8217;azienda, fondata nel 1985 a Bochum, pi\u00f9 di 28 anni fa svilupp\u00f2 il primo programma contro la diffusione dei virus informatici. Oggi, G DATA \u00e8 uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.<\/p>\n<p>Numerosi test mirati hanno dimostrato che la IT security &#8220;Made in Germany&#8221; offre agli utenti di Internet la miglior protezione possibile.<\/p>\n<p>Dal 2005 la fondazione Stiftung Warentest si occupa di testare i prodotti di sicurezza informatica. In tutti e sette i test, condotti dal 2005 al 2014, G DATA ha sempre ottenuto il miglior punteggio per il rilevamento virus. Nei test comparativi di AV-TEST, G DATA ottiene regolarmente i migliori risultati in termini di individuazione di malware.<\/p>\n<p>Anche a livello internazionale InternetSecurity di G DATA \u00e8 stato eletto miglior pacchetto di sicurezza per Internet da riviste specialistiche indipendenti in diversi Paesi, tra cui Australia, Austria, Belgio, Francia, Italia, Paesi Bassi, Spagna e Stati Uniti.<\/p>\n<p>In Italia la soluzione G DATA Internet Security \u00e8 stata insignita per il quarto anno consecutivo del bollino \u201cMiglior Acquisto\u201d di Altroconsumo. L\u2019azienda ha collaborato altres\u00ec con Assintel all\u2019elaborazione del notissimo Report, giunto, nel 2015, alla sua decima edizione e alla stesura del Security Report 2015 del Clusit. G DATA \u00e8 altres\u00ec partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati ed \u00e8 partner esclusivo di Microsoft per la messa in sicurezza del Microsoft Cloud tedesco.<\/p>\n<p>Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.<\/p>\n<p>Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I cybercriminali le tentano proprio tutte: gli attacchi mirati agli utenti aziendali non sono una novit\u00e0, ma a volte gli espedienti utilizzati per accedere ai nostri dati sorprendono. I tentativi di attacco veicolati tramite mail erano gi\u00e0 noti ancora prima dell\u2019ondata di Ransomware. Quotidianamente vengono inviati in europa centinaia di milioni di messaggi spam, tra [&hellip;]<\/p>\n","protected":false},"author":171,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,29],"tags":[6092,6093,3153,4761,6094,6095,5996,6096,5998,6097],"class_list":["post-8052","post","type-post","status-publish","format-standard","hentry","category-attualita-e-societa","category-aziendali","category-comunicati","tag-email","tag-excel","tag-g-data","tag-g-data-security-labs","tag-microsoft-office-365","tag-ordine-via-mail","tag-phishing","tag-ransomware","tag-trojan","tag-windows-live"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/8052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/171"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=8052"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/8052\/revisions"}],"predecessor-version":[{"id":8053,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/8052\/revisions\/8053"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=8052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=8052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=8052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}