Flood di mail per scaricare Zeus da siti italiani

Posted on February 2, 2012 by blogadmin

Da una decina di giorni ricevo una quantità veramente anomala di mail che invitano a scaricare un file zippato (tipicamente i subject e i nomi fanno riferimento a “fattura” o “ordine”) che secondo il Microsoft Malware Protection Center risulta essere “PWS:Win32/Zbot.gen!AF”, ovvero Zbot/Zeus. Prima di mandarlo a Microsoft avevo provato a darlo in pasto a mano ad un paio di antivirus/antibot locali, che non lo avevano riconosciuto…  La cosa curiosa è che è un’offensiva tutta “italiana”: non solo le mail sono in italiano, ma la cosa più inusuale è che i siti da cui si dovrebbe scaricare il malware sono tutti italiani: se non sono nel dominio .it, sono comunque in italiano e di persone e/o aziende italiane. I siti compromessi sono davvero tanti: per parecchio, ad ogni mail che mi è arrivata corrispondeva un sito compromesso diverso (quello da cui scaricare il file, non l’indirizzo di posta), solo dopo un po’ ho cominciato a vedere duplicati. Qualcuno ho provato ad avvertirlo, ma andare a cercare gli indirizzi a cui mandare la segnalazione è un lavoro a tempo pieno ;)

Posted in ict, Sicurezza | Leave a comment

The Register: giusto per dire ciao

Posted on October 25, 2011 by blogadmin

È un periodo di scadenze concentrate, ma visto che è di nuovo da parecchio che non scrivo niente, mi ritaglio questi due minuti. Oggi ho ricevuto una mail da The Register; siccome non ho motivo di riceverne, stava per finire in archivio insieme alle tante promozioni che non riesco a leggere, ma il subject mi ha incuriosito: “Apologies from The Register”. Sospettando che si trattasse di spam con qualche nuova tecnica di social engineering, l’ho letta (non è curioso? una mail legittima finisce in archivio, una di phishing la leggo… mah!). Invece erano proprio le scuse di The Register, in riferimento a questo episodio: “El Reg in SHOCK email address BLUNDER“. Un mio indirizzo fa parte dei 46,524 fortunati ;) Vorrei sottolineare l’utilità di usare indirizzi di posta diversi per attività diverse. Se avessi usato per The Register lo stesso indirizzo che uso per PayPal, ad esempio, adesso mi dovrei preoccupare di più del phishing e di altri attacchi. Non che pensi che fra i tremila e passa che hanno ricevuto il mio indirizzo ci sia uno delinquente, ma è probabile che almeno uno di loro abbia il pc compromesso da un malware che raccoglie indirizzi. Questo mi ricorda un mio progetto legato al naming & shaming for spamming, che forse se avrò tempo riprenderò. Comunque, usando indirizzi diversi per attività con criticità diverse si riducono questi rischi. Avendo un dominio mio, per me è facile, ma anche con gmail, almeno un indirizzo diverso dal normale per le attività critiche (home banking, PayPal…) e uno per quell “banali” (come The Register)  e a rischio andrebbero adottati.

Posted in Uncategorized | Leave a comment

Naming & shaming for spamming

Posted on June 15, 2011 by blogadmin

Krebs segnala questa iniziativa che espone direttamente al pubblico ludibrio le organizzazioni che producono più spam. Attenzione, non quelle che controllano le botnet, ma quelle che, presumibilmente perché “molto infette”, generano materialmente lo spam. Il progetto ha dimensioni ridotte, ma secondo me un suo ampliamento potrebbe avere un impatto decisivo sulla diffusione delle botnet. Per chi non lo ricorda, un’iniziativa simile era stata decisiva per eliminare gli amplificatori di smurf, iniziativa che ha portato in breve tempo alla soluzione del problema. E in fondo, il problema di immagine e le reazioni di ostracismo sono quelle che “ai bei tempi” facevano funzionare la netiquette. Qui l’effetto sarebbe ancora più importante, perché essere nella lista vuole dire avere molte macchine compromesse, non semplicemente un router mal configurato, e questa è una cosa che nessuna organizzazione vorrebbe vedere pubblicata. Basta vedere i nomi che compaiono nell’elenco, quasi tutti del settore sanitario: di che far venire i brividi a qualsiasi responsabile della conformità al trattamento dei dati sensibili. Naturalmente, dire “queste macchine sono in una botnet” potrebbe generare cause legali da chi, invece di curare la propria sicurezza, preferisce gestire il problema come una questione di immagine. Però niente impedirebbe di dire: “Ho ricevuto spam da X indirizzi IP, assegnati a questa azienda”. Questo aprirebbe anche la strada a un passo successivo: se un’azienda è nella parte alta della classifica (diffonde molto spam e virus), è stata avvertita da tempo e non ha preso provvedimenti… beh, a quel punto un’azione legale in caso di attacchi da worm/botnet provenienti da quella rete potrebbe diventare proponibile. Una volta “sistemate” le organizzazioni più grandi, tali da emergere a livello mondiale o nazionale, si potrebbe passare a classifiche più locali: qual’è l’azienda che produce più spam in Toscana? Naturalmente, si potrebbe obiettare che le reti più grandi, anche se mediamente “poco” compromesse, potrebbero produrre più spam di reti piccole completamente bucate, ma in realtà questo è un problema loro: la logica di un’iniziativa del genere è evidenziare chi danneggia di più la collettività, non chi ha più problemi di gestione. Naturalmente, il database dovrebbe essere gestito da qualcuno che ha già meccanismi di rilevazione di grosse quantità di spam, magari un gestore di qualche blacklist…

Posted in ict, Sicurezza, Uncategorized | Tagged , , , , | Leave a comment