CVE-2022-0847 NUOVA VULNERABILITÀ CRITICA RELATIVA ALL’ESCALATION DEI PRIVILEGI IN LINUX PRESENTATA IN BLACK HAT :DIRTY CRED

L’attacco al kernel di Dirty Cred Linux è stato svelato alla conferenza sulla sicurezza di Black Hat la scorsa settimana.
La vulnerabilità CVE-2022-0847 è stata trovata dal dottorando Zhenpeng Lin e dai suoi colleghi, che hanno tentato di sfruttare il kernel Linux in modo simile alla classica vulnerabilità di Dirty Pipe ma utilizzando strategie diverse.

Un concetto di sfruttamento del kernel chiamato “DirtyCred” sostituisce le credenziali del kernel non privilegiate con quelle privilegiate al fine di elevare i permessi. Per ottenere i privilegi, DirtyCred sfrutta il meccanismo di riutilizzo della memoria dell’heap anziché sovrascrivere i dati nell’heap del kernel. Tutti i file di sola lettura interessati dalla versione del kernel 5.8 o successiva vengono sovrascritti.

Sui sistemi vulnerabili sia a una vulnerabilità pubblicata di recente (CVE-2021-4154) che a una debolezza precedentemente sconosciuta (CVE-2022-2588), il team di Lin ha trovato un modo per scambiare le credenziali del kernel Linux e prevede di aggiungere ulteriori CVE. Su GitHub è presente un POC pubblico (proof of concept) che fornisce una forte protezione contro l’assalto.

https://github.com/Markakd/DirtyCred

I ricercatori hanno caratterizzato il loro scenario di attacco come un approccio generale che può essere utilizzato con Android e container.

Utilizzando lo stesso codice di attacco, Lin ha presentato una demo su Twitter che mostra come la strategia può essere utilizzata per elevare un utente con privilegi bassi su due distinti sistemi operativi, come Centos 8 e Ubuntu.

PROTEZIONE CONTRO DIRTYCRED

Nonostante il fatto che il POC sia già funzionante in alcune circostanze, come una particolare vulnerabilità, va sottolineato che è ancora in fase di sviluppo. Il kernel Linux contiene una correzione per CVE-2021-4154, ma secondo i ricercatori, “l’attacco funziona sulla maggior parte dei kernel Centos 8 superiori a Linux-4.18.0-305.el8 e sulla maggior parte dei kernel Ubuntu 20 superiori a 5.4.0- 87.98 e 5.11.0-37.41”.

I ricercatori sostengono la separazione delle credenziali privilegiate da quelle non privilegiate utilizzando la memoria virtuale per prevenire attacchi cross-cache poiché gli oggetti sono separati in base al loro tipo piuttosto che ai loro diritti.

Modifiche Privacy entro gennaio 2022 o sanzioni!

Responsabile per la transizione digitale e il Responsabile della conservazione digitale sono figure sorte in questa nuova era digitale grazie anche all’aumento dell’uso del web, incrementando la necessità di tutelare gli utenti che navigano nella rete.

Il Codice della Amministrazione Digitale, le Linee Guida per l’Italia Digitale e le Linee Guida del Garante della Privacy hanno determinato obblighi in capo alle imprese, alcuni dei quali devono essere implementati entro l’inizio del 2022, vediamo insieme quali sono.

Cookie policy dei siti web. 

Obbligatorio per tutti

Il Garante della Privacy ha previsto adempimenti per i titolari di siti web, che dovranno essere implementati entro il 10 gennaio 2022 in relazione disposizioni in materia di privacy. Lo scorso 10 luglio, il Garante per la Privacy ha pubblicato le nuove Linee Guida in tema di cookie, che specificano le corrette modalità di utilizzo dei sistemi di tracciamento, nonché le modalità di ottenimento del consenso dei siti web. Viene stabilito che:

  • i cookie tecnici sono “finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Il Garante Privacy non ha modificato l’esenzione per i titolari del trattamento dall’obbligo di acquisizione del consenso dell’utente;
  • i cookie di profilazione, sono gli strumenti che, raccogliendo informazioni sui comportamenti degli utenti online, servono a creare dei veri e propri profili, per servizi pubblicitari e di marketing. Nelle Linee è stati ribadito nuovamente che il loro utilizzo è lecito esclusivamente previo esplicito consenso dell’utente.
  • i cookie analitici richiedono, il consenso espresso dell’utente. Salvo in cui sussistano tutte le seguenti condizioni:
  1. utilizzo unicamente per produrre statistiche aggregate e anonime;
  2. utilizzo in relazione ad un singolo sito o una sola applicazione mobile;
  3. viene mascherata almeno l’ultima componente dell’indirizzo IP;
  4. le terze parti si astengono dal combinare tali cookie analitici con altre elaborazioni o dal trasmetterli a terzi.

Tipologie di Cookies e Garante Privacy Scrolling e la Cookie Wall  

In merito allo scorrimento (Scrolling) della pagina di qualsiasi sito, il Garante Privacy ha affermato che, tale attività non può e non deve essere considerata una manifestazione del consenso all’attivazione di qualsiasi tipologia di cookie presente sul sito. Sono fatti salvi, però, alcuni casi particolari.

Per quanto concerne il cosiddetto “cookie wall”, ovvero la tecnica per cui si impedisce la navigazione del sito all’utente che non ha previamente manifestato le proprie preferenze, è definita una modalità di coercizione del consenso dell’utente e, pertanto, attività illecita.

 

Responsabile della conservazione digitale

Obbligatorio per tutti

Le Linee Guida prevedono l’obbligo di nominare un Responsabile della conservazione digitale che è la figura che definisce e attua le politiche del sistema in questione. Infatti, secondo l’art. 44, comma 1 quater del CAD, “il responsabile della conservazione, che opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi […] effettua la conservazione dei documenti informatici

E’ necessario prestare particolare attenzione ai compiti e alle responsabilità della suddetta figura che deve 

  • definire le politiche di conservazione e i requisiti funzionali del sistema di conservazione, gestire il processo di conservazione e garantire la conformità alla normativa vigente
  • effettuare il monitoraggio della corretta funzionalità del sistema di conservazione, nonché adottare le misure necessarie per la sicurezza fisica e logica del sistema di conservazione.

Servizio Privacy Web i Cookie in Italia e le nuove linee guida del Garante Privacy (e come adeguarsi)

Il 10 luglio 2021, l’autorità italiana per la protezione dei dati (il “Garante Privacy”) ha approvato le nuove linee guida per l’uso dei cookie.
Abbiamo creato questa guida per aiutarti a capire cos’è cambiato e come rispettare i requisiti con il minimo sforzo o semplicemente cosa ci occuperemo di fare per te se usufruisci già del nostro Servizio Privacy Web  

In breve

  • Se hai sede in Italia, questi requisiti ti riguardano.
  • Cookie banner
    • Nel banner del tuo sito web i pulsanti “Accetta” e “Rifiuta” sono obbligatori
    • Gli utenti devono poter fare scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare (pur lasciando i dettagli dell’implementazione al fornitore del servizio, le linee guida suggeriscono che raggruppare le opzioni sia una soluzione adatta a soddisfare questo requisito).
    • Gli utenti devono poter aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
    • Raccolta del consenso
    • Il consenso via semplice scorrimento non è più valido.
    • I cookie wall non sono ammessi.
    • Validità delle preferenze dell’utente relative al consenso: dopo aver chiesto il consenso la prima volta, devono passare almeno 6 mesi prima di poterlo chiedere nuovamente.
    • Cookie statistici (analytics)
    • I cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo).
    • I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni.
    • Prova del consenso: devi poter dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR.
    • Basi giuridiche applicabili all’uso dei cookie oltre al consenso: l’interesse legittimo non costituisce una base giuridica valida.
    • Hai tempo fino al 10 gennaio 2022 per adeguarti.ù

Questi requisiti ti riguardano?

Tu o i tuoi utenti avete sede in Italia? Se sì, questi requisiti ti riguardano.

Requisiti principali

Cookie banner

Qualora un sito web faccia uso di cookie di profilazione o altri strumenti di tracciamento (difficile trovare un sito web che non lo faccia), il banner costituisce un meccanismo valido per l’acquisizione del consenso dell’utente.

Il Garante prevede che il banner (o, in alternativa, un’area/finestra) mostrato da un sito web al primo accesso dell’utente includa le seguenti informazioni:

  • un’informativa breve sull’uso da parte del sito di cookie tecnici ed eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità;
  • un link alla cookie policy che indichi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l’esercizio dei diritti dell’utente;
  • un’indicazione chiara che l’utente, proseguendo nella navigazione del sito tramite un’azione positiva ed esplicita, presta il proprio consenso alla profilazione. Fai attenzione, però, perché il semplice
  • scorrimento non è considerato un metodo valido per la raccolta del consenso;
  • un link a un’area dedicata dove l’utente può selezionare in maniera granulare le funzionalità, le terze parti e le categorie di cookie da installare;
  • un comando per accettare tutti i cookie o altri strumenti di tracciamento;
  • un comando per rifiutare tutti i cookie o altri strumenti di tracciamento.

Nelle visite al sito successive alla prima, l’utente non dovrà più visualizzare il banner iniziale, ma dovrà poter accedere alla privacy/cookie policy e ad un’area dover poter modificare le preferenze di tracciamento espresse in precedenza.

* Se un sito web installa solo cookie tecnici, il banner non è necessario: l’informazione sull’uso dei cookie tecnici può infatti essere inclusa nell’homepage o nell’informativa.

💡 Se hai già il Servizio Privacy Web pensiamo noi a:

  • Attivare i pulsanti “Accetta”, “Scopri di più”, “Rifiuta” e il consenso per categoria, nonché permettere ai tuoi visitatori di aggiornare in ogni momento le proprie preferenze di consenso.
  • Attivare “Mostra pulsanti Accetta e Personalizza” e “Mostra pulsante Rifiuta”.
  • Attivare “Consenso per categoria” per dare agli utenti un controllo più dettagliato rispetto alle categorie di cookie a cui prestare il consenso.
  • Personalizzre il widget privacy per permettere agli utenti di aggiornare le preferenze di consenso espresse in precedenza.
  • Aggiornare il testo del primo livello del cookie banner in modo da fare esplicitamente riferimento ai cookie tecnici e non (come richiesto dal Garante).

Raccolta del consenso

Lo scrolling o scrolldown non è ritenuto adatto alla raccolta di un valido consenso. Unica eccezione: che lo scorrimento sia parte di una serie di azioni che indicano in maniera inequivocabile la volontà dell’utente di prestare il proprio consenso.

Il Garante considera illeciti anche i cosiddetti cookie wall, salvo che il sito web offra all’utente la possibilità di accedere a un contenuto o a un servizio equivalenti senza dover prestare il proprio consenso (con il Servizio Privacy Web valuteremo  caso per caso).

💡 Se hai già il Servizio Privacy Web pensiamo noi a:

  • Configurare la Cookie Solution per disattivare il consenso allo scorrimento e all’interazione con la pagina (anch’esso non valido).

Preferenze di consenso ai cookie

Agli utenti può essere chiesto nuovamente di prestare il consenso solo se:

  • le condizioni del consenso sono cambiate (ad esempio, sono stati aggiunti dei nuovi servizi di terza parte o ne sono stati rimossi di vecchi); o
  • il titolare del sito non possiede gli strumenti per tenere traccia del consenso precedente (ad esempio, l’utente ha eliminato il cookie di consenso installato sul suo dispositivo); o
  • sono passati almeno 6 mesi dall’ultima acquisizione.

💡 Se hai già il Servizio Privacy Web pensiamo noi a:

  • Verificare la validità standard delle preferenze di consenso della nostra Cookie Solution che di norma abbiamo già impostato a 12 mesi, già in linea quindi con le disposizioni del Garante. Se è stata modificata, verificheremo ci assicureremo che sia di almeno 180 giorni.

Cookie statistici

I cookie sono definiti sulla base di due macro categorie: cookie tecnici e cookie di profilazione.

Inoltre, il Garante precisa che, in linea di principio, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente.

Per quanto riguarda i cookie statistici di terza parte, possono essere installati senza il consenso dell’utente solo se:

  • non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
  • il loro uso è limitato a un singolo sito/app;
  • non sono condivisi o comunicati a terzi;
  • i dati raccolti non sono combinati con altri dati.

💡 Se hai già il Servizio Privacy Web pensiamo noi a:
se utilizzi Google Analytics puoi anonimizzare gli indirizzi IP evitando il blocco preventivo dei Cookie. Tuttavia in certi paesi (ad esempio Belgio, Irlanda e Regno Unito) i cookie statistici richiedono sempre e comunque il consenso. Di conseguenza, imposteremo il blocco preventivo in quanto più prudente.

Prova del consenso

ll Garante precisa che il titolare di un sito web è tenuto a dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR (vedi Prova del consenso e registro dei consensi).

💡 Se hai già il Servizio Privacy Web pensiamo noi a:
attivare noi il Registro Preferenze Cookie.

Basi giuridiche per il trattamento diverse dal consenso

Il Garante ha affermato chiaramente che i cookie (e gli altri strumenti di tracciamento) non possono essere installati se non sulla base del consenso degli utenti o, se si applicano le condizioni dell’eccezione “strettamente necessari” (ad esempio, i cookie sono necessari e usati unicamente per realizzare o facilitare la comunicazione, o per fornire un servizio richiesto dall’utente in modo esplicito), anche senza il consenso degli utenti.

In particolare, l’interesse legittimo del titolare del sito web non costituisce una base giuridica valida.

I titolari di siti web hanno tempo fino al 10 gennaio 2022 per adeguarsi (6 mesi a partire dal 9 luglio 2021, data della pubblicazione delle linee guida nella Gazzetta Ufficiale).

Rispetta i requisiti italiani nel modo più semplice!

Usi già il Servizio Privacy Web? Allora non devi fare nulla, pensiamo noi a tutto 🙂

Hai un sito web e utenti in Italia ma non usi ancora i nostri servizi?

Inizia a usare il Servizio Privacy Web, adeguarti facilmente ai requisiti di consenso ai cookie ma non trascurare la sicurezza dai uno sguardo anche al Servizio Sito Sicuro

 

Google Drive: Autorità Garante della Concorrenza e del Mercato Estratto del provvedimento CV194 Google Drive Clausole Vessatorie

Autorità Garante della Concorrenza e del Mercato
Estratto del provvedimento CV194 Google Drive Clausole Vessatorie

BOLLETTINO N. 38 DEL 27 SETTEMBRE 2021

CV194 – GOOGLE DRIVE-CLAUSOLE VESSATORIE

Allegato al provvedimento n. 29817

Allegato al provvedimento dell’Autorità Garante della Concorrenza e del Mercato del 7 settembre 2021 in materia di tutela amministrativa contro le clausole vessatorie ex articolo 37-bis del Codice del Consumo.

[OMISSIS]
In data 20 agosto 2020, è stato avviato il procedimento CV194 GOOGLE DRIVE – CLAUSOLE

VESSATORIE nei confronti della società Google Ireland

[OMISSIS]

Costituiscono oggetto di valutazione nel presente procedimento, limitatamente ai rapporti contrattuali con i consumatori, le clausole di seguito trascritte, contenute nei Termini di servizio di Google, che il consumatore deve accettare per poter usufruire di Google Drive1, nella versione in lingua italiana pubblicata sul sito web del Professionista. Le singole disposizioni contrattuali sono state accorpate in funzione dei profili di violazione indicati nel successivo paragrafo IV del presente provvedimento.

A) Responsabilità contrattuale

“Oltre ai diritti e alle responsabilità descritte in questa sezione (In caso di problemi o controversie), Google non sarà responsabile per alcuna perdita, a meno che quest’ultima non sia stata causata da una violazione dei presenti termini e dei termini aggiuntivi specifici dei servizi”.

B) Sospensione o interruzione dell’accesso ai servizi Google

“Google si riserva il diritto di sospendere o interrompere l’accesso dell’utente ai servizi o di eliminare il suo Account Google nel caso in cui si verifichi una delle seguenti situazioni: – L’utente viola in modo sostanziale o ripetuto i presenti termini, i termini aggiuntivi specifici dei servizi o le norme. – Siamo tenuti ad agire in questo modo per rispettare un requisito legale o un’ingiunzione del tribunale. – Riteniamo, in materia ragionevole, che la condotta dell’utente comporti danni o responsabilità per un altro utente, una terza parte Google, ad esempio per via di attività di pirateria informatica o phishing, comportamenti molesti, inclusione di spam, atteggiamenti fuorvianti o sottrazione di contenuti di altri siti che non appartengono all’utente. Il preavviso è regolato come segue: “Prima di prendere provvedimenti [quali la sospensione o l’interruzione] … diamo all’utente un preavviso, quando è ragionevolmente possibile, per spiegare il motivo del nostro provvedimento e dare all’utente la possibilità di risolvere il problema, a meno che avessimo ragionevole motivo di ritenere che tale azione: Comporterebbe danni o responsabilità per un utente, una terza parte o Google; Violerebbe la legge o un’ingiunzione delle forze dell’ordine; Compromettere un’indagine; Comprometterebbe il funzionamento, l’integrità o la sicurezza dei nostri servizi”.

C) Modifiche ai termini

“Qualora dovessimo modificare sostanzialmente i presenti termini o i termini aggiuntivi specifici dei servizi provvederemo a notificare all’utente con largo anticipo, offrendogli l’opportunità di rivedere le modifiche, eccetto (1) nel caso del lancio di nuovi servizi o funzionalità, oppure (2) in situazioni urgenti quali evitare il protrarsi di un illecito o soddisfare requisiti legali. Se l’utente non accetta le modifiche apportate ai Termini, è tenuto a rimuovere i suoi contenuti”.

[OMISSIS]

RITENUTO, in particolare, sulla base delle considerazioni suesposte, che le clausole descritte al punto II, sub lettere A), B), e C), del presente provvedimento, sono vessatorie ai sensi dell’articolo 33, commi 1 e 2, lettere b), d), ed m), del Codice del Consumo, in quanto tali da determinare, a carico del consumatore, un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto;

[OMISSIS]

DELIBERA

a) che la clausola descritta al punto II, lett. A), del presente provvedimento integra una fattispecie di clausola vessatoria ai sensi dell’articolo 33, commi 1 e 2, lettera b), del Codice del Consumo per le ragioni e nei limiti esposti in motivazione;

b) che la clausola descritta al punto II, lett. B), del presente provvedimento integra una fattispecie di clausola vessatoria ai sensi dell’articolo 33, commi 1 e 2, lettera d), del Codice del Consumo per le ragioni e nei limiti esposti in motivazione;

c) che la clausola descritta al punto II, lett. C), del presente provvedimento integra una fattispecie di clausola vessatoria ai sensi dell’articolo 33, commi 1 e 2, lettera m), del Codice del Consumo per le ragioni e nei limiti esposti in motivazione;

[OMISSIS]

Che cos’è il phishing? Il phishing è una forma di frode online: le e-mail di phishing e i siti Web di phishing vengono utilizzati come esca per rubare informazioni e identità personali…

Il phishing è una forma di frode online: le e-mail di phishing e i siti Web di phishing vengono utilizzati come esca per rubare informazioni e identità personali, di solito in seguito allo svuotamento dei computer delle banche o al danneggiamento delle aziende.

Le truffe online non ci sono sconosciute. Non c’è quasi nessuno che non abbia ricevuto un’e-mail nella nostra brutta lingua madre da una vittima sconosciuta che ha un milione di dollari nel suo account e per qualche ragione sconosciuta non può accedervi, quindi ha bisogno del nostro aiuto disinteressato e delle informazioni personali per condividere disinteressatamente il suo tesoro con noi più tardi. I messaggi sono vari e fantasiosi, ma è subito chiaro che si tratta di una truffa, un tentativo di frode online, attività criminale sotto un nome comune: phishing.

Proprio come i messaggi e gli indirizzi da cui sono stati inviati assomigliano ad alcune situazioni di vita reale e indirizzi noti, la parola phishing, quando pronunciata, suona come “phishing”, che significa “pesca” in lingua inglese. Pescare, pescare, cacciare nel fango, questo è esattamente ciò che sta alla base del phishing, ei metodi sono diversi e più sofisticati.

“Il phishing è un tipo di frode online in cui si verifica il furto di identità e il risultato è solitamente il furto di denaro.”

A differenza delle prenotazioni false, in cui un truffatore utilizza una falsa identità per estorcerci denaro, i tentativi di phishing di ottenere le nostre informazioni personali, in base alle quali il truffatore può facilmente hackerare le nostre e-mail o i nostri conti bancari.

Storia del phishing

Il phishing è solo una delle tecniche utilizzate per rubare identità. È una forma di crimine che esiste da più tempo di Internet stesso. Il termine phishing deriva dalla parola inglese “fishing”, che descrive metaforicamente il processo mediante il quale gli utenti non autorizzati inducono gli utenti di Internet a rinunciare volontariamente alle proprie informazioni riservate.

Si pensa che il prefisso “ph” derivi dal termine phreaking, una tecnica ormai in gran parte dimenticata con la quale gli utenti non autorizzati hanno compromesso i sistemi telefonici. La combinazione di queste due espressioni (fishing + phreaking) ha creato una nuova moneta chiamata phishing .

Le campagne di phishing sono il più grande rischio per la sicurezza in qualsiasi organizzazione e la posta elettronica stessa è il vettore principale per il furto di dati, credenziali e compromissione complessiva della sicurezza di un’organizzazione.

Perché il phishing aumenta durante una crisi?

La risposta è abbastanza semplice: le persone sono molto più vulnerabili in tempi di crisi. Mancanza di prudenza, un ambiente stressante ed è sufficiente non prestare attenzione ai dettagli che possono rivelare una frode.

Come funziona il phishing?

I metodi di phishing più comunemente utilizzati:
– una semplice richiesta da parte dell’utente di inviare (in risposta) i suoi dati sensibili via e-mail, il mittente si finge falsamente amministratore di un servizio web che ha bisogno di questi dati per verificare i dati, aggiornare il sistema, eccetera.

– link falsi nelle email (di solito un link falso o manipolato in un messaggio porta l’utente a un sito web dannoso dove gli viene chiesto di inserire il proprio nome utente e password o altri dati sensibili);

– siti Web fasulli (un utente può essere indotto a fare clic su un collegamento che lo porta a un server Web che utilizza script, modifica/sovrascrive l’URL reale del proprio sito Web e ne imposta uno legittimo, ingannando un utente nel pensare di essere su un sito legittimo sito web e quindi raccogliendo i dati quando vi accedono);

– finte finestre (pop-up) su siti web bancari legittimi (finestre “pop-up” con campi per l’immissione di informazioni riservate. La finestra “Popup” appare quando si visita un server web legittimo).

– “Tabnabbing” – uno dei metodi più recenti che sfrutta il fatto che gli utenti del browser Web di solito hanno più schede aperte contemporaneamente e una delle schede inattive viene aggiornata, ma con contenuti dannosi che imitano una pagina Web legittima (si basa per disattenzione dell’utente, ovvero non si accorge del nuovo indirizzo);

Le e-mail di phishing di solito sembrano autentiche e possono essere indirizzi di mittenti sconosciuti o indirizzi noti, come quelli dell’inserzionista online con cui lavoriamo. cos’è il phishing 01 – VirusdieI pescatori sono spesso utilizzati da indirizzi di servizi Internet come Apple, Microsoft o Dropbox e i messaggi sono quasi identici a quelli che riceviamo sotto forma di varie notifiche da queste organizzazioni.

Quindi, sembra che il messaggio provenga da un’organizzazione di cui ci fidiamo e, se non stiamo abbastanza attenti, cadremo nell’esca. Dobbiamo controllare più volte ogni messaggio che ci chiede di inserire informazioni personali. Le e-mail di phishing contengono solitamente un modulo o una richiesta di dati o collegamenti che portano a pagine quasi identiche a quelle che utilizziamo normalmente. Questi sono noti come siti Web di phishing.

I siti Web di phishing sono siti Web falsi che sembrano identici ai siti reali e tentano di ingannare il visitatore in vari modi. Nel caso di una truffa ben progettata, è quasi impossibile distinguere un sito falso da uno reale.

L’unico modo per proteggersi dai siti di phishing è non iscriversi mai tramite i link presenti nelle email , ma recarsi direttamente al sito del servizio che utilizziamo. I fornitori online di cui utilizziamo i servizi dispongono di buoni sistemi di sicurezza e tutte le notifiche che ci riguardano sono sulla loro interfaccia utente. Pertanto, possiamo facilmente verificare se nella nostra casella di posta arrivano richieste insolite da indirizzi noti.

Oltre alle modalità di cui sopra, esiste anche un caso di false indagini. Ad esempio, se alcuni residenti chiedono informazioni sulla disponibilità di alloggi in bassa stagione per un gruppo numeroso per più giorni. Sembra troppo bello e la nostra cautela svanisce come tutti speriamo per tali ospiti. Tuttavia, dopo la comunicazione e-mail iniziale, ignara, il potenziale “ospite” richiede immediatamente le nostre informazioni personali. Questo è il momento in cui dobbiamo stare molto attenti e trovare un modo per assicurarci che la richiesta non sia falsa. È auspicabile e consentito Google l’ospite, il suo nome e indirizzo email e continuare la comunicazione per garantire che la richiesta sia vera.

Come riconoscere il phishing?

1. A chi è destinata l’e-mail?

Molte e-mail di phishing utilizzano un saluto generico al destinatario (ad es. Gentile cliente) prima di chiamare il destinatario con il suo vero nome. Ciò è particolarmente importante se ricevi un’e-mail da un’organizzazione a cui hai fornito personalmente le tue informazioni (ad es. PayPal). Se hai fornito i tuoi dati all’organizzazione, il tuo nome può essere inserito nel nome dell’e-mail utilizzando una tecnologia molto semplice.

Quindi, se il tuo nome non è presente nell’indirizzo email, è molto probabile che la “ricompensa”, il “regalo” e l'”occasione speciale” siano una grande truffa! Naturalmente, questo non significa che ogni e-mail che inizia con Gentile cliente sia di dubbia credibilità: il più delle volte, le e-mail di phishing hanno anche altre caratteristiche identificabili!

2.La credibilità dell’indirizzo e-mail e del dominio

A volte i messaggi ricevuti possono sembrare inviati da un indirizzo autentico, ma in realtà il messaggio non è correlato all’organizzazione originale e reale presumibilmente dietro tale messaggio. Le organizzazioni rispettabili, nella maggior parte dei casi, utilizzano i propri domini (o indirizzi) per associarsi ai propri siti web.

Puoi controllare questa funzione passando il mouse sull’indirizzo da cui è stato inviato il messaggio e verificando che sia reale. A volte le differenze sono molto piccole, in numeri o lettere aggiunti per renderlo il più credibile possibile. Ma ancora una volta, tieni presente che la stessa organizzazione può avere domini diversi per scopi diversi.

3. Grammatica e ortografia del messaggio

Questo è uno dei trucchi molto vecchi ma utili. La maggior parte delle organizzazioni rispettabili comporrà e invierà un’e-mail che è impeccabile nell’ortografia e nella grammatica e ha il “tono” e lo scopo giusti. Questo tipo di scrittura è coerente tra i diversi messaggi. Nonostante i vantaggi tecnologici e la maggiore sofisticatezza degli attacchi di phishing, gli errori grammaticali e di ortografia sono ancora comuni. Pertanto, leggere attentamente i messaggi può prevenire il furto di informazioni personali.

4.Informazioni o azioni richieste dal destinatario

Le aziende “reali” non invieranno email ai propri utenti chiedendo informazioni personali. Se l’e-mail contiene un collegamento o un allegato con le istruzioni per raccogliere informazioni sensibili per realizzare qualcosa (ad es. un rimborso fiscale) o evitare qualcosa (ad es. chiudere un account online), è probabile che si tratti di phishing.

Inoltre, le aziende nazionali si sforzano di comunicare con i propri clienti in modo coerente. Se le loro e-mail non contengono collegamenti e ora ricevi numerosi collegamenti contemporaneamente, questo potrebbe essere un segno che si tratta di una truffa. Questa coerenza si applica anche allo stile di scrittura dei messaggi e al motivo per cui l’altra persona ti sta contattando.

Le e-mail di phishing a volte cercano di convincere l’utente a fare ciò che vuole ricattandolo che si verificheranno conseguenze indesiderabili se la richiesta non viene eseguita. È anche possibile che gli aggressori inviino prima un’e-mail iniziale chiedendo al destinatario di rispondere. Se il destinatario risponde, è probabile che nell’e-mail successiva comparirà un collegamento o un allegato destinato alla truffa. È così che cerchiamo di giocare la carta della “fedeltà e coerenza” che abbiamo già indicato.

5.Link

La maggior parte delle e-mail di phishing tende a reindirizzare gli utenti a siti Web in cui dovrebbero lasciare le proprie informazioni private. Anche le organizzazioni autentiche possono inviare collegamenti, ma i collegamenti sono estremamente comuni nel mondo del phishing, quindi è importante controllarli più da vicino. Puoi verificare l’autenticità del collegamento confrontando il collegamento con il dominio dell’e-mail. Se il collegamento non corrisponde al dominio del normale sito Web di quel dominio, probabilmente è una truffa! Inoltre, le e-mail di phishing possono chiedere ai destinatari di intraprendere azioni diverse che portano a URL diversi. Ma se guardi più da vicino, tutti i collegamenti portano allo stesso posto e cercano gli stessi dati. A volte viene inviata un’intera e-mail come collegamento e, se il destinatario fa clic in un punto qualsiasi, il collegamento lo porta a un sito Web falso.

6. Documenti allegati

Se l’e-mail è inaspettata e contiene allegati, è probabile che si tratti di una truffa o di qualche altra forma di violenza online. Naturalmente, molte organizzazioni credibili inviano allegati ai propri utenti e clienti. Pertanto, è utile pensare allo stile dell’e-mail scritta e al suo scopo prima di classificarla come una truffa. Alcuni allegati possono contenere malware che può danneggiare il tuo computer. Prestare particolare attenzione agli allegati con le seguenti estensioni: .exe, .msi, .jar, .bat, .cmd, .js, .vb, .vbs, .scr, .psc1

Tipi di attacchi di phishing

Email scam Gli
attacchi di phishing, nella loro forma più comune, sono email che chiedono al destinatario di fare qualcosa, solitamente per raggiungere uno dei due obiettivi:

per ingannarti e farti divulgare informazioni personali
per indurti a scaricare software dannoso
Dopo aver concesso loro l’accesso, gli hacker possono accedere al tuo conto bancario, rubare la tua identità o effettuare acquisti a tuo nome.

Negli ultimi anni, le truffe via e-mail sono aumentate di oltre il 400%. La crescita e il successo dell’e-mail phishing ha anche portato a limitazioni di questo metodo.

SMiShing
Come suggerisce il nome, SMiShing è simile alle truffe via email ma truffa gli utenti tramite messaggi di testo. Molti hanno familiarità con il phishing via e-mail, ma meno persone diffidano dei messaggi di testo, il che aumenta la probabilità di cadere nelle truffe.

Spear phishing Lo
spear phishing utilizza gli stessi metodi delle truffe di cui sopra, ma prende di mira una persona specifica. Potresti ricevere una serie di e-mail progettate per indurti a compiere una determinata azione. Gli attacchi di spear phishing possono anche prenderti di mira su più piattaforme di messaggistica.

Caccia
alle balene Simile allo spear phishing, anche la caccia alle balene prende di mira un individuo o un’organizzazione. Tuttavia, di solito è qualcuno che ha molto da perdere, come amministratori delegati, celebrità, politici o famiglie benestanti.

“Esistono innumerevoli truffe di phishing, ma usano un’esca simile per ingannare le loro vittime: phishing sui social media, phishing sui motori di ricerca, phishing di pescatori, phishing vocale, phishing interno, iniezione di contenuti, frode del CEO, siti Web falsi, phishing clone, pharming, tabnabbing, Reindirizzamento nascosto, phishing mobile, dirottamento di sessione, Wi-Fi Evil Twin, phishing pop-up…”

Suggerimenti per aiutare a prevenire gli attacchi di phishing

Oltre alla cautela già consigliata e al controllo dei mittenti di indirizzi e-mail sconosciuti, senza aprire allegati o fare clic sui collegamenti nelle e-mail non verificate, ci sono alcuni altri modi per proteggersi dagli attacchi di phishing:

Evita i pop-up
cos’è il phishing 02 – VirusdieUn attacco di phishing può utilizzare banner pop-up che appaiono su siti web conosciuti e verificati. Un pop-up può sembrare un modulo di iscrizione su un sito familiare. Non dovremmo mai registrarci su un sito pop-up.

Utilizza l’autenticazione a più fattori
Ove possibile, proteggiti con più passaggi, come una password e alcune altre informazioni personali, proprio come la maggior parte delle banche ora utilizza alcuni passaggi per accedere o confermare una transazione di denaro. Un token è uno dei modi più sicuri per proteggere le informazioni sensibili.

HTTPS o HTTP?
Tutte le banche utilizzano https: // nell’indirizzo dei loro siti Web perché tali siti Web sono più difficili da hackerare. Si prega di verificare il prefisso dell’indirizzo prima di inserire i dati personali.

Utilizzare una VPN
Una VPN è una rete privata virtuale, il cui utilizzo crea un’ulteriore barriera tra il computer e le reti virtuali. Una VPN si occupa di crittografare i dati provenienti dal nostro computer in modo che il mondo di Internet ci veda come parte della rete VPN e non possa monitorare i dati sul nostro computer. È possibile connettersi a un server VPN tramite più server. I più affidabili sono NordVPN, Pia, Express VPN e altri.

Cambia le tue password più spesso
Quando è stata l’ultima volta che hai cambiato la password del tuo account di posta elettronica? Fai quello…

Cosa fare se sei stato vittima di un attacco di phishing?

  • Segnalalo! La polizia è sempre una buona scelta.
  • Cambia le tue password.
  • Scansiona il tuo computer alla ricerca di virus e malware.

5 modi che la tua azienda può fare per aumentare la propria consapevolezza sul phishing

  1. Formazione sulla consapevolezza dei dipendenti
  2. Distribuisci soluzioni di sicurezza della posta elettronica
  3. Utilizza il monitoraggio e la protezione degli endpoint
  4. Conduci test sugli attacchi di phishing
  5. Limitare l’accesso degli utenti a sistemi e dati di alto valore

Conclusione

Il phishing ci insegna che non basta proteggere un sito web dagli hacker utilizzando solo strumenti di sicurezza di alta qualità come Sito Sicuro , ma che serve anche protezione da altre minacce alla sicurezza. Questa protezione risiede principalmente nella nostra responsabilità e cautela reciproche. Il mondo online è fantastico finché non incontri truffatori. Proprio come nel mondo reale. Pertanto, stai sempre attento .

Google Drive: aggiungere a Il mio Drive una cartella condivisa e non uno collegamento

Avrai notato che ora in  Google Drive è possibile creare un collegamento ad una cartella condivisa nel “Il mio Drive” mentre precedentemente era possibile spostare la cartella condivisa completamente.

Per qualcuno questo è un limite, capita quando di rende necessario, per esempio, sincronizzare il contenuto di una cartella condivisa Google Drive con altri sistemi come WEB DAV, sistemi NAS Synology o ancora sistemi NAS QNAP.

Spostare una cartella in “Il mio Drive” è ancora possibile con semplici comandi da tastiera:

  1. accedere a Drive
  2. selezionare la cartella condivisa in “Condivisa con me”
  3. preme i pulsanti Shift + Z e selezionare la cartella di destinazione

Ecco, il gioco è fatto! 🙂

Vulnerabilità del CMS WordPress WP.Core.5.8.CVE

WordPress ha rilasciato una nuova versione che risolve i problemi di sicurezza, inclusi XSS e vulnerabilità di esposizione dei dati.

Vedi: https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/ .

Fai l’ultimo aggiornamento a WordPress, ti consigliamo anche di controllare le cartelle con le vecchie versioni del tuo sito (vecchio, backup ecc.), poiché potrebbe esserci file WordPress vulnerabili.

Vulnerabilità del CMS WordPress. L’aggiornamento immediato è altamente raccomandato.
Versioni: < 5.8.1, < 5.7.3, < 5.6.5, < 5.5.6, < 5.4.7.
File interessato: wp-includes/functions.php.
Tipo: Cross-Site Scripting (XSS), divulgazione di informazioni.

Le minacce rilevate sul tuo sito Web possono portare al degrado dei risultati SEO nella pagina dei risultati del motore di ricerca (SERP), nella lista nera o in altre sanzioni. Potresti perdere i tuoi clienti e la tua reputazione.

Vulnerabilità plugin WordPress Redux Framework

Il popolare plugin WordPress con oltre 1 milione di installazioni attive – Redux Framework – ha delle vulnerabilità che sono state fixate.

La vulnerabilità consente a un utente malintenzionato di eseguire azioni non autorizzate, come l’installazione arbitraria dei plug-in e la post cancellazione.

Patch automatica: non disponibile
Livello di minaccia: 6/10
Vulnerabilità del plugin WordPress Redux Framework. L’aggiornamento immediato è altamente raccomandato!
Versioni: < 4.2.13.
File interessato: redux-core/class-redux-core.php.
Tipo: controllo di accesso interrotto.
Aggiorna il plugin all’ultima versione: https://wordpress.org/plugins/redux-framework/ .

Le minacce rilevate sul tuo sito Web possono portare al degrado dei risultati SEO nella pagina dei risultati del motore di ricerca (SERP), nella lista nera o in altre sanzioni. Potresti perdere clienti e reputazione.


GiBiLogic srl Società a socio unico  |  via Aldo Moro 48, 25124 Brescia  |  P.IVA 02780970980
REG.IMPRESE N.02780970980 BRESCIA  |  CAP. SOC. € 10.000 I.V.
info@gibilogic.com  |  +39.030.7778980

iubenda Certified Gold Partner