Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Contenuti

Attacchi mirati e campagne malware

Apriti Sesamo! Quando il malware viene utilizzato per prelevare illegalmente denaro dai bancomat

Alcuni mesi fa, nel corso delle indagini condotte per fornire un’adeguata risposta ad un serio incidente informatico (Incident Response), è stata da noi scoperta una nuova versione di Skimer, il temibile malware destinato agli apparecchi ATM . Il software nocivo in questione, apparso per la prima volta nel 2009, è risultato decisamente migliorato rispetto alla release di sette anni fa; Skimer, in pratica, è stato interamente riprogettato. I cybercriminali che ne fanno uso, inoltre, hanno ugualmente modificato la loro strategia di attacco. Il nuovo infector degli apparecchi bancomat ha preso di mira tali dispositivi più o meno in tutto il mondo, incluso Emirati Arabi Uniti, Francia, Stati Uniti, Russia, Macao, Cina, Filippine, Spagna, Germania, Georgia, Polonia, Brasile e Repubblica Ceca.

Adesso, anziché ricorrere al “vecchio” e ben collaudato metodo che prevede il furtivo inserimento di un falso lettore di card all’interno dell’apparecchio bancomat, gli attacker assumono direttamente il controllo dell’intero ATM (Automated Teller Machine). Essi iniziano installando il malware Skimer nel sistema ATM – tramite accesso fisico allo stesso o compromettendo la rete informatica interna della banca sottoposta ad attacco. Il malware infetta il “core” dell’apparecchio ATM, ovvero la parte del dispositivo responsabile dell’interazione con la più ampia infrastruttura IT bancaria e, naturalmente, del processo di elaborazione delle card e della successiva erogazione del denaro contante. A differenza di quanto avviene, in genere, con il “classico” skimmer per bancomat, non si presenta, nella circostanza, alcun segno “fisico” di violazione dello sportello bancario automatizzato, indice di una possibile infezione dell’ATM; gli attaccanti, in tal modo, possono catturare con maggiore facilità i dati sensibili relativi alle card utilizzate sul bancomat preso di mira (incluso il numero di conto ed il PIN del cliente dell’istituto bancario), oppure possono realizzare direttamente il furto delle banconote.

Il cybercriminale di turno “risveglia”, in pratica, l’apparecchio bancomat infetto inserendo semplicemente in esso una specie di carta “magica”, contenente dati specifici sulla propria banda magnetica. Dopo aver letto la card, Skimer è in grado di eseguire un particolare comando hardcoded, oppure di ricevere appositi comandi attraverso uno speciale menu attivato dalla card stessa. L’interfaccia relativa all’utente Skimer appare sul display solo dopo l’espulsione della “magic card”, e soltanto se il cybercriminale inserisce la corretta chiave di sessione entro 60 secondi. Il suddetto menu offre 21 opzioni diverse, quali, ad esempio, l’erogazione del denaro, la raccolta dei dati inerenti alle carte di credito inserite dagli utenti nel dispositivo ATM, l’auto-eliminazione del malware e l’esecuzione degli aggiornamenti disponibili per quest’ultimo. Il cybercriminale può salvare i dati relativi alle card compromesse sul chip di cui è dotata la carta speciale di cui fa uso, oppure può decidere di stampare gli elementi sensibili carpiti.

[youtube https://www.youtube.com/watch?v=hOcFy02c7x0&w=560&h=315]

Occorre sottolineare, a tal proposito, come gli attacker si dimostrino particolarmente attenti nell’evitare di attirare l’attenzione. In effetti, anziché prelevare direttamente il denaro dall’apparecchio bancomat infetto, operazione che verrebbe immediatamente notata, i malintenzionati attendono talvolta anche dei mesi, prima di passare all’azione. Nella maggior parte dei casi, essi raccolgono i dati relativi alle card violate per creare, successivamente, carte di credito clonate. I malfattori utilizzano poi le carte clonate su altri sportelli bancomat, non infetti, sottraendo “casualmente” determinate somme di denaro dai conti bancari delle vittime, in modo tale che l’operazione malevola non possa essere di fatto ricondotta all’ATM compromesso in precedenza.

Kaspersky Lab, da parte sua, fornisce vari consigli e raccomandazioni, per aiutare le banche a proteggersi in maniera adeguata nei confronti di simili minacce IT. Nell’ambito dei sistemi informatici attraverso i quali operano gli istituti bancari dovrebbero essere effettuate regolari scansioni antivirus; si dovrebbe poi far uso di speciali tecnologie di whitelisting; consigliamo, inoltre, l’adozione di un’efficace policy di gestione del dispositivo ATM, la codifica completa del disco e la protezione del BIOS dell’apparecchio bancomat tramite apposita password, consentendo solo l’avvio dell’HDD. Raccomandiamo, infine, di isolare il network ATM da qualsiasi altra rete interna della banca. La banda magnetica di cui è provvista la “magic” card utilizzata dai cybercriminali per attivare il malware contiene ben nove sequenze di numeri hardcoded. Di fatto, le banche possono essere in grado di ricercare proattivamente tali specifiche sequenze numeriche all’interno dei loro sistemi di processing: da parte nostra, abbiamo già condiviso tali informazioni, assieme ad altri Indicatori di Compromissione (IoC).

Nello scorso mese di aprile, uno dei nostri esperti ha esaminato in maniera approfondita i metodi utilizzati dai malintenzionati per “fare jackpot” al bancomat, fornendo poi una serie di preziosi consigli e indicazioni riguardo alle misure di sicurezza da adottare per proteggere al meglio i dispositivi ATM.

Attacchi nuovi… exploit vecchio

In questi ultimi mesi abbiamo monitorato una vera e propria ondata di attacchi di cyber-spionaggio, condotti da vari gruppi APT nell’area Asia-Pacifico e in diverse regioni dell’Estremo Oriente. Tutti gli attacchi informatici in questione evidenziano una caratteristica comune: lo sfruttamento della vulnerabilità CVE-2015-2545. Tale falla di sicurezza permette ad un attacker di eseguire codice arbitrario utilizzando un file immagine EPS appositamente progettato. Nella circostanza, gli aggressori fanno uso della tecnica PostScript e riescono così ad eludere i metodi di protezione Address Space Layout Randomization (ASLR) e Data Execution Prevention (DEP), integrati in Windows. Era ben noto come i gruppi Platinum, APT16, EvilPost e SPIVY si avvalessero già del suddetto exploit. Più di recente, quest’ultimo è stato ugualmente utilizzato dal gruppo denominato Danti.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

L’APT Danti, identificata per la prima volta nel mese di febbraio dell’anno in corso, e tuttora attiva, si focalizza, in particolar modo, sulle entità diplomatiche. Il gruppo colpisce, prevalentemente, enti ed organizzazioni riconducibili al governo indiano; i dati raccolti attraverso il Kaspersky Security Network (KSN) indicano, tuttavia, che sono stati ugualmente infettati target ubicati in Kazakistan, Kirghizistan, Uzbekistan, Birmania, Nepal e nelle Filippine.

L’exploit viene recapitato ricorrendo all’utilizzo di apposite e-mail di spear-phishing, mascherate in modo tale da apparire come fossero state inviate da funzionari di alto rango del governo indiano. Non appena la vittima clicca sul file DOCX allegato al messaggio e-mail malevolo, avviene l’installazione della backdoor Danti, la quale consente poi agli attaccanti di carpire dati sensibili.

L’origine del gruppo Danti non è ancora chiara; sospettiamo, tuttavia, che la stessa possa essere in qualche modo collegata all’attività dei gruppi APT denominati NetTraveler e DragonOK: si ritiene, ad ogni caso, che dietro tali attacchi si celino hacker di lingua cinese.

Kaspersky Lab ha poi individuato un’ulteriore campagna malware che fa uso della vulnerabilità CVE-2015-2545: tale campagna è stata da noi soprannominata SVCMONDR, dal nome del Trojan di cui viene effettuato l’upload una volta che gli attacker si sono insediati nel computer-vittima. Questo Trojan risulta diverso da quello utilizzato dal gruppo Danti; esso presenta, però, alcune caratteristiche comuni con il malware dispiegato da Danti e da APT16. Anche quest’ultimo è, di fatto, un gruppo dedito al cyber-spionaggio: si ritiene che APT16 possa essere ugualmente di origine cinese.

Uno degli aspetti più sorprendenti di tali attacchi è indubbiamente rappresentato dal fatto che in essi si ricorre, con successo, allo sfruttamento di una vulnerabilità patchata da Microsoft già nel mese di settembre 2015. Nello scorso novembre avevamo previsto che le campagne APT avrebbero dedicato sempre minori sforzi allo sviluppo di sofisticati strumenti di attacco, per fare invece uso, nel perseguire i propri scopi, del cosiddetto malware “off-the-shelf” (in pratica il malware “di serie”, subito disponibile per l’impiego). Un tipico esempio di tale strategia è di sicuro costituito dal preferire l’utilizzo di una vulnerabilità conosciuta, anziché dedicarsi allo sviluppo di un exploit zero-day. Tutto questo evidenzia in maniera netta come le società e le organizzazioni debbano necessariamente prestare maggiori attenzioni alla gestione delle patch di sicurezza via via rilasciate dai vendor, allo scopo di garantire la sicurezza delle proprie infrastrutture IT.

Attacco nuovo, exploit nuovo

Vi saranno sempre, in ogni caso, gruppi APT che cercano di trarre vantaggio dall’utilizzo di temibili exploit di tipo zero-day. Nello scorso mese di giugno abbiamo riferito in merito ad un’estesa campagna di spionaggio informatico denominata, in codice, ‘Operation Daybreak‘, e lanciata da un gruppo soprannominato ScarCruft, nell’ambito della quale viene fatto uso di un exploit Adobe Flash Player in precedenza sconosciuto (CVE-2016-1010). Si tratta di un gruppo APT relativamente nuovo, che, per il momento, è riuscito a non farsi notare troppo sui “radar”, mantenendo un basso profilo. Riteniamo, da parte nostra, che proprio questo gruppo potrebbe aver dispiegato, precedentemente, un ulteriore exploit zero-day (CVE-2016-0147), opportunamente patchato in aprile.

Il gruppo in questione ha preso di mira tutta una serie di società ed organizzazioni, ubicate in Russia, Nepal, Corea del Sud, Cina, India, Kuwait e Romania. Spiccano, tra di esse, una nota agenzia asiatica operante nell’ambito delle forze dell’ordine; una delle più grandi imprese commerciali del mondo; una compagnia statunitense specializzata in pubblicità mobile e nella “monetizzazione” delle app; si aggiungono inoltre, all’elenco, singoli utenti correlati alla IAAF (Associazione Internazionale delle Federazioni di Atletica Leggera), così come un famoso ristorante situato in uno dei principali shopping center di Dubai. Gli attacchi hanno avuto inizio nel mese di marzo 2016: visto che alcuni di essi sono molto recenti, riteniamo, a ragion veduta, che tale gruppo APT sia ancora attivo.

Non risulta chiaro, tuttavia, quale sia l’esatto metodo utilizzato per infettare i computer delle vittime; pensiamo, ad ogni caso, che gli attacker ricorrano all’utilizzo di e-mail di spear-phishing preposte a convogliare gli utenti sottoposti ad attacco verso un sito web hackerato, adibito ad ospitare l’exploit kit. Il sito malevolo, a sua volta, esegue un paio di controlli sul browser, prima di reindirizzare le vittime verso un server controllato direttamente dagli attacker, situato in Polonia. Il processo di sfruttamento della vulnerabilità coinvolge ben tre oggetti Flash. Quello che determina l’attivazione della vulnerabilità individuata in Adobe Flash Player risulta collocato nel secondo file SWF recapitato alla vittima. Al termine del processo di sfruttamento della falla di sicurezza, il server provvede ad inviare un file PDF legittimo, denominato ‘china.pdf’, all’utente-vittima: tale file appare scritto in coreano.

Gli attaccanti ricorrono all’utilizzo di metodi piuttosto interessanti, per cercare di eludere il rilevamento, incluso lo sfruttamento di un particolare bug nel componente di Windows Dynamic Data Exchange (DDE), allo scopo di bypassare l’azione protettiva svolta dalle soluzioni di sicurezza IT: si tratta, a tutti gli effetti, di un metodo mai visto prima. La falla di sicurezza, ad ogni caso, è stata debitamente segnalata a Microsoft.

Gli exploit destinati a Flash Player stanno divenendo rari, poiché, nella maggior parte dei casi, tali codici nocivi debbono essere necessariamente abbinati ad un exploit adibito a bypassare la sandbox; questo rende la loro realizzazione particolarmente difficile e complessa. Inoltre, nonostante Adobe abbia intenzione di interrompere, entro breve, il supporto per Flash, la software house in questione continua ad implementare nuove strategie di mitigazione, allo scopo di rendere sempre più complicato l’eventuale sfruttamento di Flash Player da parte di malintenzionati. Comunque, i gruppi APT particolarmente ricchi di risorse, quali, per l’appunto, ScarCruft, continueranno di sicuro ad individuare ed utilizzare exploit zero-day per prendere di mira vittime di alto profilo.

Mentre, ovviamente, non può esistere il 100 percento in termini di sicurezza, la soluzione chiave consiste certamente nell’innalzare il livello di protezione IT, in modo tale da far divenire un eventuale attacco informatico talmente dispendioso, per l’attacker, al punto da indurre quest’ultimo a desistere dalla realizzazione dello stesso, oppure ad optare per un target alternativo. La miglior difesa nei confronti degli attacchi mirati è di fatto rappresentata da un approccio multilivello, che combini le tecnologie anti-virus di stampo tradizionale con un’adeguata gestione delle patch, un efficace sistema di prevenzione delle intrusioni basato su host, ed una valida strategia di whitelisting, fondata sullo scenario default-deny (nega predefinito). Secondo uno studio condotto dall’Australian Signals Directorate, addirittura l’85% degli attacchi mirati oggetto di analisi avrebbe potuto essere bloccato e neutralizzato mediante l’adozione congiunta di quattro semplici strategie di mitigazione: whitelisting delle applicazioni, aggiornamento delle applicazioni, aggiornamento dei sistemi operativi, restrizione dei privilegi di amministratore.

I prodotti Kaspersky Lab rilevano l’exploit Flash sopra menzionato con il verdetto ‘HEUR:Exploit.SWF.Agent.gen’. L’attacco viene inoltre bloccato proattivamente attraverso il nostro componente Automatic Exploit Prevention (AEP, Prevenzione Automatica degli Exploit). I payload nocivi, da parte loro, vengono infine rilevati come ‘HEUR:Trojan.Win32.ScarCruft.gen’.

XDedic: una ‘APT-as-a-Service’

Kaspersky Lab ha recentemente condotto un’approfondita indagine riguardo ad una piattaforma di trading cybercriminale particolarmente attiva, denominata XDedic, una sorta di oscuro mercato online dove possono essere “acquistate” le credenziali relative a server hackerati, situati in ogni angolo del mondo; tutto quanto risulta accessibile attraverso il Remote Desktop Protocol (RDP). Abbiamo pensato, inizialmente, che tale mercato illegale riguardasse circa 70.000 server; i nuovi dati raccolti evidenziano, però, come il mercato XDedic sia in realtà molto più ampio, visto che comprende le credenziali relative a ben 176.000 server. XDedic include, tra l’altro, un motore di ricerca, il quale consente ai potenziali acquirenti di trovare, praticamente, quasi ogni cosa – dalle reti pubbliche ai network aziendali – ad un prezzo particolarmente contenuto, non superiore agli 8 dollari USD. Il pagamento dell’esigua cifra in questione permette ai “clienti” di accedere ai dati custoditi su tali server, e di poter utilizzare le macchine compromesse in qualità di testa di ponte per la realizzazione di ulteriori attacchi mirati.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

I proprietari del dominio ‘xdedic[.]biz’ sostengono di non essere in alcun modo relazionati con i malfattori che vendono l’accesso ai server hackerati; essi affermano di vendere semplicemente, ad altri, una piattaforma commerciale sicura. Il forum XDedic presenta un sottodominio ben distinto, ‘partner[.]xdedic[.]biz’, riservato ai “partner” del sito, ovvero coloro che effettuano la vendita dei server violati. I proprietari di XDedic hanno inoltre sviluppato uno strumento in grado di raccogliere automaticamente informazioni sul sistema, incluso i siti web accessibili, il software installato ed altro ancora. Essi forniscono ugualmente altri tool, ai propri partner, tra cui una patch per i server RDP, per supportare sessioni multiple dello stesso utente ed i proxy installer.

L’effettiva esistenza di mercati underground non costituisce di certo un elemento di novità. Stiamo tuttavia osservando un maggior livello di specializzazione. E anche se il modello adottato dai proprietari di XDedic non è qualcosa che possa essere replicato facilmente, riteniamo che, molto probabilmente, faranno la loro comparsa, in futuro, altri mercati “specializzati”.

I dati raccolti tramite il KSN ci hanno consentito di identificare numerosi file scaricati dal portale dedicato ai partner della piattaforma XDedic: i prodotti Kaspersky Lab rilevano tali file come malevoli. Abbiamo ugualmente provveduto ad inserire nell’apposita blacklist gli URL relativi ai server di controllo utilizzati per raccogliere informazioni sui sistemi infetti. Il dettagliato report da noi stilato riguardo a XDedic contiene maggiori informazioni sugli IoC, a livello di host e di reti.

Lurk, il Trojan bancario in agguato sull’Internet russa

I nostri ricercatori, talvolta, individuano programmi malware appositamente progettati e sviluppati per infettare i computer ubicati in una determinata area geografica. Nei forum chiusi frequentati dai cybercriminali russi, ad esempio, viene spesso riportata una singolare espressione, una sorta di frase-consiglio: “Non lavorare in RU”. Si tratta, in pratica, di una vera e propria raccomandazione, fatta dai delinquenti più esperti alle nuove leve della criminalità informatica. Tale frase, opportunamente interpretata, di fatto significa “non rubare soldi ai cittadini della Federazione Russa, non infettare i loro computer, non utilizzare i connazionali per il riciclaggio del denaro”. Vi sono due “buone” ragioni, alla base di tutto questo. In primo luogo, nella zona RU, l’Internet banking non risulta ancora così diffuso; e in ogni caso, entro i confini della Federazione Russa il banking online viene utilizzato in misura decisamente minore, rispetto a quanto avviene, attualmente, nei paesi occidentali. In secondo luogo, è alquanto improbabile che gli utenti-vittima ubicati in altri paesi si rivolgano poi alla polizia russa per denunciare i danni subiti, anche nel caso in cui fossero a conoscenza del fatto che dietro al malware responsabile dell’infezione dei loro computer si celano proprio dei cybercriminali russi. Proprio per tali motivi, quindi, è apparsa la regola-consiglio “Non lavorare in RU”.

Come spesso avviene, però, anche questa “regola” ha le sue eccezioni. Una di esse è rappresentata dal Trojan bancario Lurk, malware attivamente utilizzato, già da alcuni anni a questa parte, proprio per sottrarre denaro agli utenti che risiedono sul territorio della Federazione Russa. I cybercriminali che tengono le fila del famigerato Trojan-banker si “interessano”, principalmente, alle società IT operanti nel settore delle telecomunicazioni, ai mass media e agli aggregatori di notizie, alle banche e alle organizzazioni finanziarie. La prima tipologia di vittima offre ai “padroni” di Lurk la possibilità di creare nuovi server intermedi, attraverso i quali transita poi il traffico diretto ai server allestiti dai malfattori. I siti di news vengono invece utilizzati per infettare un elevato numero di computer appartenenti al “target di riferimento” del Trojan, ovvero il settore finanziario. Fanno ovviamente parte dei bersagli presi di mira da Lurk tutti i principali istituti bancari della Federazione Russa, tra cui le quattro banche russe in assoluto più importanti.

Il principale metodo utilizzato per la diffusione del Trojan bancario Lurk è rappresentato da una tecnica nociva ampiamente nota, il “drive-by-download”; i malintenzionati si avvalgono, nella circostanza, del celebre exploit pack Angler. Più precisamente, gli attacker inseriscono in maniera furtiva, all’interno delle risorse web compromesse, link destinati a condurre verso la landing page contenente l’exploit pack in questione. Gli exploit attualmente in circolazione (incluso quelli appositamente creati per colpire le vulnerabilità di tipo “zero-day”) vengono quasi sempre implementati, inizialmente, in Angler, prima di entrare a far parte della composizione di altri kit di exploit; questo, ovviamente, rende l’exploit pack in causa particolarmente pericoloso. La seconda variante, per quel che riguarda le modalità di distribuzione di Lurk, anch’essa attivamente utilizzata dai malfattori, è rappresentata dalla diffusione del codice dannoso attraverso siti web legittimi. A quanto pare, i file infetti vengono recapitati esclusivamente agli utenti della Rete ubicati entro i confini geografici della zona RU; gli altri visitatori dei siti compromessi ricevono, invece, file “puliti”. I cybercriminali, durante l’attacco iniziale, infettano uno dei computer appartenenti all’organizzazione bersagliata, anche nel caso in cui tale macchina non custodisca nulla che possa di fatto interessare ai malfattori; occorre tuttavia considerare che il computer preso di mira si trova, naturalmente, all’interno di una rete informatica, nello stesso identico dominio riservato ad altri computer che possono invece contenere informazioni di particolare rilevanza, per i proprietari del Trojan. La macchina infettata inizialmente svolge quindi un ruolo di vera e propria testa di ponte, utilizzata per la successiva propagazione del malware all’interno della rete informatica sottoposta ad attacco; per far ciò, i cybercriminali ricorrono all’impiego di PsExec, un’utility legittima. In seguito, per avviare l’esecuzione dei moduli principali del programma Trojan sugli altri computer che compongono il network, viene invece utilizzato l’apposito dropper denominato “mini”.

Lurk presenta tutta una serie di caratteristiche di particolare interesse. Un tratto distintivo del Trojan, del quale abbiamo discusso subito dopo la comparsa del malware in questione, è costituito dal fatto che ci troviamo di fronte ad software nocivo di tipo “fileless”; Lurk esiste, difatti, solo a livello di RAM, e non scrive quindi il proprio codice sull’hard disk.

Lurk, indubbiamente, si caratterizza anche per il fatto di essere molto selettivo, per quel che riguarda gli obiettivi presi di mira. Gli autori del Trojan, ad ogni caso, fanno di tutto per riuscire ad infettare il maggior numero possibile di vittime di loro interesse, senza attirare, allo stesso tempo, l’attenzione degli analisti e dei ricercatori. Gli incidenti informatici di cui siamo a conoscenza sembrano poter confermare il fatto che Lurk assolve con successo i compiti ai quali è preposto; in effetti, ci giungono regolarmente segnalazioni di furti di denaro commessi a danno di sistemi di banking online: le relative indagini forensi, condotte in seguito, evidenziano tracce del Trojan bancario Lurk sulle macchine compromesse.

Le “storie” di sicurezza IT più significative del trimestre

I cybercriminali si preparano per Rio

È ormai noto come i truffatori di ogni latitudine siano costantemente alla ricerca di nuove opportunità per far soldi nascondendosi in maniera alquanto subdola dietro le quinte dei principali avvenimenti sportivi che si svolgono di volta in volta sulla scena internazionale; non costituisce quindi motivo di particolare sorpresa il fatto di aver rilevato un significativo aumento delle attività cybercriminali correlate agli imminenti Giochi Olimpici di Rio de Janeiro.

È stato in primo luogo osservato un sensibile aumento del numero delle e-mail di spam distribuite in Rete. Gli spammer cercano di approfittarsi del fatto che la gente desidera assistere alle competizioni olimpiche nel luogo stesso dove si svolgono tali importanti eventi; i malintenzionati, inviano, a tal proposito, messaggi di posta in cui si notifica al destinatario dell’e-mail una fantomatica vincita ottenuta grazie ad una speciale lotteria (fasulla!) dedicata al popolare avvenimento sportivo, lotteria organizzata, apparentemente, dallo stesso governo del paese sudamericano e dal Comitato Olimpico Internazionale per celebrare Rio 2016, l’attesa edizione brasiliana dei Giochi: per entrare in possesso dei biglietti “vinti”, l’utente dovrà semplicemente rispondere all’e-mail ricevuta, fornendo alcuni dati personali.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Alcuni di tali messaggi cercano poi di indirizzare i destinatari degli stessi verso siti web fasulli, come quello a cui fa riferimento l’e-mail di spam qui di seguito riportata; si tratta, nella circostanza, di un sito che “offre” la vendita diretta dei biglietti in questione, senza alcun bisogno, quindi, di dover partecipare alle lotterie ufficiali, allestite per coloro che risiedono in Brasile:

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Ci troviamo, in sostanza, di fronte a campagne fraudolente molto ben organizzate, che fanno ampio uso di falsi siti Internet, apparentemente preposti alla vendita degli ambiti biglietti; occorre sottolineare, inoltre, come tali siti fasulli risultino, spesso, davvero convincenti. Alcuni truffatori si spingono addirittura oltre, procurandosi certificati SLL legittimi, destinati (in apparenza!) ad assicurare la trasmissione dei dati, in base ad un protocollo sicuro e protetto, tra il browser della vittima ed il sito malevolo; ovviamente, la presenza dei suddetti certificati consente di poter visualizzare, nella parte iniziale della barra degli indirizzi del browser, l’auspicata (in questo caso, purtroppo, soltanto per i malintenzionati) e fatidica sigla “https”, subdolamente adibita, nell’occasione, a trasmettere un falso senso di sicurezza alla vittima del raggiro. Per fare in modo di vincere la naturale diffidenza dell’acquirente, ed assicurarsi inoltre di non essere subito scoperti, i truffatori fanno credere all’utente – tramite un’apposita notifica di conferma, del tutto fasulla – che la prenotazione dei tagliandi è stata regolarmente pagata, e quindi accettata, mentre i biglietti saranno ricevuti successivamente, ovvero due-tre settimane prima dell’inizio del prestigioso evento sportivo; in tal modo, la vittima scoprirà tardivamente l’inganno, quando i dati sensibili contenuti sulla carta di credito utilizzata per il pagamento saranno stati ormai sfruttati, da tempo, dai cybercriminali. Kaspersky Lab, da parte sua, rileva costantemente, e blocca, decine di nuovi domini malevoli di recente creazione, contenenti le parole “rio”, “rio2016” e simili.

È ormai troppo tardi per acquistare i biglietti attraverso i canali ufficiali; per essere sicuri di non rimanere vittima di frodi o raggiri, la miglior cosa da fare è quella di guardarsi i Giochi in televisione, oppure online. Consigliamo però a tutti quanti di fare bene attenzione ai siti di streaming malevoli, visto che questi ultimi compariranno di sicuro sulla scena, in un ultimo disperato tentativo, da parte dei criminali informatici, di infettare il vostro computer, per poi compiere il furto di dati sensibili, e carpire così il vostro denaro.

I criminali informatici cercano ugualmente di approfittare del nostro sempre più irrinunciabile desiderio di rimanere connessi ovunque andiamo – per condividere le nostre foto, aggiornare quotidianamente gli account di cui disponiamo nei vari social network, reperire velocemente le ultimissime notizie, oppure individuare i luoghi migliori per mangiare, fare acquisti o soggiornare. Purtroppo, come ben sappiamo, le tariffe applicate al roaming mobile possono essere molto elevate; è per tale motivo che, in genere, la gente cerca piuttosto di individuare, quando si trova all’estero, il più vicino punto di accesso Wi-Fi. Questa soluzione, talvolta, può rivelarsi pericolosa; in effetti, i dati inviati e ricevuti attraverso una rete Wi-Fi aperta possono essere facilmente intercettati. In tal modo, password, PIN ed altri dati sensibili possono essere agevolmente carpiti dai malintenzionati. In aggiunta a ciò, i cybercriminali provvedono ugualmente ad installare degli access point fasulli, appositamente configurati per indirizzare tutto il traffico attraverso un host che può essere utilizzato per controllare tutti i dati trasmessi e ricevuti – talvolta addirittura in grado di agire come un vero e proprio dispositivo del tipo ‘man-in-the-middle’, capace di intercettare e leggere il traffico criptato.

Per valutare quale fosse l’effettiva entità del problema, abbiamo percorso in auto tre delle principali aree riservate ai Giochi Olimpici di Rio 2016, ed abbiamo monitorato passivamente le reti Wi-Fi disponibili in tali zone; si tratta, in sostanza, dei network che i visitatori, con ogni probabilità, cercheranno di utilizzare durante il loro soggiorno a Rio de Janeiro. Ci riferiamo, nello specifico, all’edificio che ospita la sede del Comitato Olimpico Brasiliano, al Parco Olimpico e agli stadi Maracanã, Maracanãzinho ed Engenhão, dove si svolgeranno le competizioni sportive. Siamo stati in grado di individuare circa 4.500 access point unici, situati nelle zone sopra menzionate. La maggior parte di essi si è rivelata particolarmente adatta
per lo streaming multimediale. Tuttavia, circa un quarto del numero totale di reti Wi-Fi presenti nelle aree riservate ai Giochi Olimpici di Rio, risulta configurato con protocolli di cifratura decisamente deboli: ne consegue che eventuali attacker possono agevolmente compromettere tali reti con il preciso intento di “sniffare” i dati relativi alla navigazione condotta in Internet dalle potenziali (ed ignare) vittime.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Per ridurre in maniera considerevole la possibilità di esporsi ad un simile rischio, è altamente consigliabile, per ogni viaggiatore (e non solo per quelli che intendono recarsi a Rio de Janeiro!) fare uso di una connessione VPN, in modo che i dati provenienti dal proprio dispositivo viaggino sul web attraverso un canale provvisto di apposita cifratura. Fate attenzione, però! Alcune reti VPN risultano vulnerabili agli attaccnhi DNS, i famigerati assalti informatici portati nei confronti del Domain Name System. Questo significa che, nonostante i vostri dati sensibili vengano inviati, sul momento, tramite VPN, le vostre richieste DNS saranno trasmesse sotto forma di semplice testo ai server DNS impostati attraverso l’hardware dell’access point. In un simile scenario, l’aggressore può venire a conoscere quali siano i server da voi impiegati per la navigazione; il malintenzionato, una volta ottenuto l’accesso alla rete Wi-Fi compromessa, potrà così definire l’utilizzo di server DNS maligni. Questo vuol dire, ad esempio, che nel momento in cui, la volta successiva, digiterete il nome della vostra banca nel browser, l’indirizzo IP dove quest’ultimo si recherà, sarà, di fatto, un indirizzo malevolo, e non l’indirizzo del sito legittimo. Se il vostro provider VPN non supporta server DNS propri, potreste prendere in considerazione l’ipotesi di rivolgervi ad un provider VPN alternativo, oppure l’utilizzo di un servizio DNSCrypt.

Vi è poi un ulteriore elemento del quale abbiamo assolutamente bisogno, se desideriamo rimanere sempre connessi: l’elettricità, per mantenere i nostri dispositivi mobile sufficientemente carichi per tutto il giorno. Oggi, le necessarie postazioni di ricarica possono essere facilmente reperite nei centri commerciali, negli aeroporti, persino nei taxi. La maggior parte di esse mette a disposizione connettori per i principali modelli di smartphone, così come un connettore USB che il viaggiatore può utilizzare direttamente con il proprio cavo. Alcuni modelli di spot forniscono ugualmente agli utenti la tradizionale alimentazione elettrica, che può essere utilizzata con il proprio caricatore.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Ricordate bene, ad ogni caso, che non è possibile sapere cosa sia effettivamente collegato dall’altra parte del connettore USB. Se un attacker compromette un punto di ricarica, il malintenzionato può eseguire determinati comandi, i quali consentono di ottenere informazioni sul dispositivo mobile, incluso l’esatto modello dello stesso, il numero IMEI, il numero di telefono ed altro ancora: si tratta di informazioni che possono essere utilizzate per lanciare un attacco nei confronti del modello di dispositivo specifico, ed infettare, così, il dispositivo dell’utente-vittima. Cliccando su questo link potrete ottenere maggiori informazioni riguardo ai dati che vengono trasmessi quando si collega un dispositivo tramite USB, e sul modo in cui un attacker potrebbe utilizzare tali dati per compromettere un dispositivo mobile.

Questo non significa, tuttavia, che non si debba caricare il proprio dispositivo, quando si è lontani da casa. In effetti, seguendo alcune semplici regole è possibile proteggersi contro tale genere di attacco. È sempre meglio utilizzare il proprio caricabatterie, evitando di acquistarne uno da fonti sconosciute, o di ricorrere all’impiego dei cavi di ricarica disponibili presso la postazione di ricarica pubblica. Si dovrebbe inoltre far uso di una normale presa di corrente, anziché di una presa USB.

Per realizzare profitti illeciti, i cybercriminali continuano inoltre a sfruttare tecniche e modalità malevole ormai ben collaudate. Queste includono l’utilizzo di appositi skimmer preposti al furto dei dati sensibili relativi alle carte di credito, posizionati furtivamente all’interno degli apparecchi bancomat. Il tipo di skimmer più comune prevede “solo” l’installazione di un lettore di card e di una micro-telecamera, allo scopo di carpire il PIN della vittima, non appena lo stesso viene digitato. Nella circostanza, il modo migliore per proteggersi è quello di nascondere la vista del keypad mentre state componendo il PIN; con un simile accorgimento eviterete che quest’ultimo possa essere catturato attraverso la micro-telecamera appositamente installata dai malintenzionati. A volte, tuttavia, i cybercriminali sostituiscono l’intero apparecchio ATM, keypad e schermo inclusi. In questo caso, la password digitata dall’utente verrà direttamente memorizzata sul falso sistema ATM. Si rivela quindi di particolare importanza saper rilevare ogni anomalia o comportamento sospetto, prima di inserire la propria carta di credito all’interno del bancomat. Occorre verificare, in primo luogo, se sul lettore di card risulta accesa la luce verde: di solito, i malfattori sostituiscono il lettore originale con una versione dello stesso in cui non è presente alcuna luce, oppure tale luce è spenta. Prima di dare avvio alla transazione, controllare inoltre se l’ATM presenta qualche elemento sospetto, come, ad esempio, parti mancanti, mal fissate o rotte.

La possibile clonazione delle carte di credito è un ulteriore problema al quale debbono far fronte coloro che intendono recarsi a Rio de Janeiro per assistere alle competizioni olimpiche. La combinazione “chip-and-PIN” rende sicuramente la vita più difficile, ai cybercriminali; questi ultimi, tuttavia, possono sfruttare determinate falle di sicurezza a livello di implementazione delle transazioni EMV. È davvero difficile proteggersi contro questo tipo di attacco, visto che, abitualmente, il point-of-sale (PoS) viene modificato in modo da salvare i dati carpiti, in seguito raccolti dai cybercriminali. Questi ultimi, talvolta, non hanno neppure bisogno di un effettivo accesso fisico al dispositivo, per estrarre le informazioni rubate, visto che le stesse vengono raccolte tramite Bluetooth. Per ridurre le probabilità di vedere clonata la vostra card, possono essere adottate alcune semplici misure di sicurezza. Innanzitutto, nell’eseguire le transazioni con carta di credito, utilizzate le apposite notifiche inviate tramite SMS dalla vostra banca, se quest’ultima prevede tale servizio per la propria clientela. Non consegnate mai la vostra carta di credito al commerciante. Se il venditore, per qualche ragione, non può portare in vostra presenza il dispositivo utilizzato per il pagamento, dovrete essere voi a recarvi sul luogo dove si trova il dispositivo. Se poi la macchina appare sospetta, cambiate metodo di pagamento. Prima di digitare il vostro PIN, assicuratevi bene di trovarvi sulla corretta schermata di pagamento, e controllate che il vostro PIN non venga mostrato sullo schermo.

Ransomware: meglio fare il backup o… pagare?

Verso la fine dello scorso anno, avevamo previsto che il ransomware avrebbe guadagnato terreno rispetto ai Trojan bancari; gli attacker, di fatto, riescono a monetizzare facilmente l’impiego del ransomware; per di più, l’utilizzo di tale genere di malware comporta un costo decisamente contenuto, in relazione ad ogni vittima dello stesso. Non c’è quindi da sorprendersi troppo se, al giorno d’oggi, il numero degli attacchi ransomware risulta essere in costante aumento. Nel corso del periodo compreso tra aprile 2015 ed il mese di aprile 2016, i prodotti Kaspersky Lab hanno bloccato e neutralizzato 2.315.931 attacchi ransomware; si tratta di un aumento pari al 17,7%, rispetto all’anno precedente. Il numero complessivo degli utenti attaccati dai cryptor (considerati in maniera distinta rispetto ai blocker) è aumentato di 5,5 volte nell’arco di un anno, passando dai 131.111 nel 2014-2015 ai 718.536 del periodo 2015-2016. Nel corso di questo ultimo anno, il 31,6% del numero complessivo di attacchi ransomware è risultato ascrivibile ai famigerati cryptor. Ulteriori informazioni in proposito, incluso un’analisi dettagliata sugli sviluppi del ransomware, risultano disponibili nel nostro Il Ransomware per PC nel periodo 2014-2016.

La maggior parte degli attacchi ransomware è diretta agli utenti consumer; nell’intervallo di tempo da noi esaminato, tuttavia, la quota relativa agli attacchi che hanno preso di mira il settore corporate è quasi raddoppiata, passando dal 6,8% fatto registrare nel periodo 2014-15 al 13,13% rilevato riguardo al periodo 2015-16.

Se consideriamo esclusivamente i cryptor, le analoghe cifre si presentano in maniera diversa: in effetti, lungo tutto l’arco dei 24 mesi coperti dal report da noi stilato, circa il 20% degli attacchi informatici basati sull’utilizzo di crypto-ransomware ha colpito utenti corporate.

È ormai difficile che trascorra un intero mese senza che i media riferiscano in merito alla conduzione di temibili attacchi ransomware; hanno suscitato particolare scalpore, in tal senso, gli assalti ransomware eseguiti nei confronti di un noto istituto ospedaliero e di un frequentato casinò online. Eppure, nonostante la consapevolezza pubblica stia sensibilmente crescendo, riguardo al problema di sicurezza IT in questione, appare del tutto evidente come gli utenti privati e le organizzazioni stesse non facciano ancora abbastanza per combattere una simile minaccia; i cybercriminali, ovviamente, cercano di capitalizzare al massimo una circostanza del genere: tutto questo si riflette, in maniera palese, nell’elevato numero di attacchi ransomware ai quali stiamo assistendo negli ultimi tempi.

È di fondamentale importanza, pertanto, ridurre il proprio livello di “esposizione” al ransomware (è disponibile, a questo proposito, qui e qui, tutta una serie di importanti consigli e raccomandazioni riguardanti le misure di sicurezza che si possono adottare nella specifica circostanza). Naturalmente, non esiste il concetto di “sicurezza al 100%”; è tuttavia necessario mitigare nel miglior modo possibile l’effettivo rischio esistente. In particolare, si rivela essenziale disporre della copia di backup dei propri dati, per evitare di doversi trovare in una situazione davvero spiacevole, in cui le uniche scelte possibili sono quella di pagare il riscatto richiesto dai cybercriminali o, in alternativa, quella di perdere, inevitabilmente, preziosi dati. Non è mai consigliabile procedere al pagamento del riscatto. E non solo perché, in tal modo, si avvalora tale modello di “business” cybercriminale; non vi è in effetti alcuna garanzia riguardo al fatto che gli attacker consentiranno, poi, di eseguire la decodifica dei vostri dati criptati, una volta che avrete effettuato il pagamento richiesto; è esattamente ciò che, di recente, ha scoperto, a proprie spese, un noto istituto ospedaliero statunitense. Se vi trovate nella situazione in cui i vostri file sono stati cifrati, e non disponete della relativa copia di backup, chiedete innanzitutto al vostro vendor anti-malware se esso ha la possibilità di aiutarvi. Kaspersky Lab, ad esempio, è in grado di aiutare gli utenti a ripristinare i dati cifrati da vari programmi ransomware.

Le minacce IT per dispositivi mobile

Così come in precedenza, uno dei principali metodi di “monetizzazione”, per quel che riguarda gli oggetti mobile rilevati nel corso del periodo qui preso in esame, continua ad essere rappresentato dalla visualizzazione “forzata”, da parte degli utenti, di fastidiose ed insistite pubblicità. Di fatto, nel secondo trimestre del 2016, il Trojan mobile in assoluto più “popolare” si è rivelato essere Trojan.AndroidOS.Iop.c. In esso si è imbattuto oltre il 10% del numero complessivo di utenti dell’antivirus mobile di Kaspersky Lab, utenti sui dispositivi dei quali, nel corso del trimestre oggetto del presente report, sono stati rilevati programmi malware destinati alla sfera degli apparati mobile. Questo Trojan fa sì che la vittima visualizzi di continuo, sul proprio schermo, annunci pubblicitari di vario genere; il malware in questione, inoltre, installa varie applicazioni sul dispositivo preso di mira: tale operazione malevola viene spesso compiuta in maniera furtiva, ricorrendo all’utilizzo dei diritti di superutente. Il risultato di una simile attività è che, trascorso un breve periodo di tempo, il dispositivo infetto, in pratica, non potrà più essere utilizzato, a causa dell’abbondanza di pubblicità mostrate, e del gran numero di nuove applicazioni installate. Visto che il Trojan è in grado di ottenere i diritti di superutente, risulta piuttosto difficile poter rimuovere, successivamente, i programmi da esso installati.

Nell’analogo report dedicato al primo trimestre del 2016, avevamo riferito riguardo alla famiglia di Trojan bancari per piattaforme mobile denominata Trojan-Banker.AndroidOS.Asacub. I programmi riconducibili a tale famiglia si avvalgono di una tecnica abbastanza inusuale, per bypassare alcune limitazioni previste a livello di sistema; essi, in sostanza, sovrappongono la propria finestra maligna, provvista di appositi pulsanti, alla finestra di sistema standard relativa alla richiesta dei diritti di amministratore del dispositivo. In tal modo, il Trojan riesce a nascondere all’utente la richiesta riguardante l’ottenimento di ulteriori diritti all’interno del sistema; con l’inganno, poi, il Trojan induce la vittima a confermare l’acquisizione di tali diritti. Nel trimestre qui analizzato è comparsa, nel già ricco “arsenale” di Asacub, una nuova tecnica malevola: il Trojan è stato in effetti dotato della funzionalità di “SMS manager”, e propone pertanto alla vittima di sostituire con se stesso l’applicazione standard abitualmente utilizzata per operare con gli SMS.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Il quadro della situazione

Finestra di dialogo inerente alla richiesta effettuata dal malware mobile Trojan-Banker.AndroidOS.Asacub.i, relativa all’ottenimento dei diritti di app predefinita per la gestione dei messaggi SMS

In tal modo, il Trojan è in grado di bypassare la specifica restrizione implementata a livello di sistema, comparsa per la prima volta su Android 4.4; Asacub può inoltre eliminare, o nascondere all’utente, gli SMS in entrata.

Riguardo alla famiglia classificata come Trojan-PSW.AndroidOS.MyVk, i cui “rappresentanti” risultano specializzati nel compiere il furto delle password utilizzate nell’ambito del noto social network russo VK.com, avevamo già riferito nel mese di ottobre del 2015. Nel corso del primo trimestre dell’anno, i malintenzionati dediti alla diffusione dei Trojan appartenenti a tale famiglia, per cercare di eludere i meccanismi di sicurezza predisposti in Google Play, hanno inizialmente pubblicato un’applicazione provvista della funzionalità utile effettivamente dichiarata, app del tutto priva di codice nocivo. In seguito, essi hanno provveduto ad aggiornare la stessa, perlomeno una volta, rilasciando quindi una nuova versione dell’app, ancora una volta sprovvista di codice dannoso. Trascorso tuttavia soltanto un mese, o poco più, dalla release iniziale, i malintenzionati hanno aggiunto del codice malevolo all’applicazione in causa, tramite un ulteriore aggiornamento. La conseguenza di tutto ciò è che, in pratica, migliaia di utenti hanno scaricato sul proprio dispositivo il programma malware Trojan-PSW.AndroidOS.MyVk.i.

Fughe di dati

Le informazioni personali rappresentano un bene prezioso; non possiamo pertanto meravigliarci del fatto che i cybercriminali prendano spesso di mira i provider di servizi online, cercando di escogitare il modo di realizzare il furto in massa di dati, nel corso di un singolo attacco. Ci siamo purtroppo abituati, in questi ultimi tempi, ad un flusso continuo di notizie relative ad incidenti di sicurezza IT caratterizzati da eclatanti fughe di dati, puntualmente riportate dai mass media. Il trimestre qui preso in esame non costituisce di certo un’eccezione, visto i clamorosi attacchi nei confronti di beautifulpeople.com, nulled.io, noto forum frequentato da hacker (ad evidenziare come non siano esclusivamente i sistemi informatici legittimi, ad essere bersagliati), kiddicare, Tumblr ed altri ancora.

Alcuni di tali attacchi hanno comportato il furto di enormi quantità di dati, evidenziando, oltretutto, come molte società, enti ed organizzazioni non adottino misure di sicurezza adeguate per proteggersi nei confronti del cybercrimine. Non si tratta, nella circostanza, di difendere semplicemente il perimetro aziendale. Ovviamente, non può esistere il 100 percento in termini di sicurezza; non è quindi possibile garantire che un sistema informatico non possa essere violato. Ad ogni caso, qualsiasi organizzazione che custodisca dati di natura personale è tenuta a proteggere gli stessi in maniera efficace. Questo può essere effettuato, in primo luogo, attraverso apposite procedure di hashing e salting delle password dei clienti, così come tramite la cifratura degli altri dati sensibili.

Dall’altro lato, gli utenti stessi possono contribuire in maniera considerevole a limitare i danni derivanti da una fuga di dati confidenziali, subita da un provider di servizi online, scegliendo password univoche e complesse: la password ideale è in effetti composta da almeno 15 caratteri, e comprende un insieme di lettere, numeri e simboli ricavati sfruttando tutto il complesso della tastiera. In alternativa, gli utenti possono ricorrere all’utilizzo di una speciale applicazione per la gestione delle password, la quale permette, di fatto, di eseguire tutto questo in maniera automatica. Molto spesso, purtroppo, viene scelta una password che può essere facilmente individuata dai malintenzionati; e non solo: gli utenti sono inclini a riutilizzare la stessa identica password per molteplici account online; questo significa, in pratica, che se viene compromessa la password relativa ad uno di tali account, tutti gli ulteriori ID online della vittima risulteranno poi vulnerabili. Questo specifico problema è stato pubblicamente messo in evidenza nel mese di maggio 2016, quando un hacker conosciuto con il nickname di ‘Peace’ ha tentato di vendere ben 117 milioni di e-mail e password inerenti a LinkedIn, sottratte alcuni anni prima. È risultato, nell’occasione, che oltre un milione di password rubate era semplicemente composto dalla sequenza numerica ‘123456’!

Molti provider di servizi online mettono adesso a disposizione dei propri utenti il sistema di autenticazione a due fattori, tramite il quale – per poter accedere ad un determinato sito web, oppure per apportare modifiche alle impostazioni del proprio account – viene richiesto, al cliente, di inserire un codice di sicurezza generato da un token hardware, oppure di introdurre un codice segreto appositamente trasmesso ad un dispositivo mobile. L’autenticazione a due fattori incrementa di certo il livello di sicurezza degli utenti… ma solo nel caso in cui questi ultimi scelgano di utilizzare tale sistema, traendone un effettivo vantaggio.

Numerose società sperano poi di sostituire del tutto le password. Apple, ad esempio, consente già di poter fare acquisti su iTunes, e di effettuare i pagamenti Apple Pay, attraverso l’autorizzazione tramite semplice impronta digitale. Samsung, da parte sua, ha comunicato che introdurrà, per quel che riguarda il sistema Samsung Pay, il riconoscimento tramite impronta digitale, voce ed iride. Amazon, poi, ha annunciato il ‘selfie-pay’. MasterCard ed HSBC, infine, hanno annunciato l’introduzione del riconoscimento facciale e vocale per autorizzare le transazioni. Il principale vantaggio, nella circostanza, è rappresentato dal fatto che i metodi qui sopra menzionati sostituiscono qualcosa che i clienti debbono ricordare (una password) con qualcosa che essi, di fatto, hanno già, eliminando in tal modo la possibilità di cortocircuitare il processo (come invece avviene nel caso in cui si scelga una password debole).

Sono in molti a ritenere che la biometrica sia, a tutti gli effetti, la via da seguire nell’immediato futuro. Tale tecnologia, ad ogni caso, non costituisce la panacea assoluta, a livello di sicurezza. La tecnica biometrica può essere falsificata e contraffatta, come abbiamo discusso in precedenza (qui, qui e qui); i dati biometrici possono essere a loro volta sottratti. Possiamo ad ogni caso affermare, concludendo, che l’autenticazione a più fattori si rivela uno strumento di sicurezza davvero essenziale, visto che essa combina qualcosa che conoscete con qualcosa che avete e con qualcosa che siete.

Statistiche

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *