allegati pericolosi
Inviare email piene di allegati dannosi è uno dei modi più efficaci e affidabili per disseminare malware e infettare i computer degli utenti.
È una realtà collaudata. Indipendentemente dal fatto che un hacker stia cercando di aggiungere indiscriminatamente un computer ad una botnet, accedere ad una rete aziendale via spear-phishing o hackerare il tuo conto in banca online con un Trojan, i documenti dannosi sono da sempre una delle armi preferite dagli hacker. Quello che è cambiato con il tempo è la consapevolezza del problema che si è fatta via via maggiore tra gli utenti di Internet: oggi si è più coscienti del fatto che aprire un allegato sospetto – o persino all’apparenza innocuo – sia pericoloso, indipendentemente dal fatto che si tratti di un documento Word, un file PDF, di una foto o di qualsiasi altro tipo di documento. Inoltre, l’industria anti-malware, i fornitori di servizi email e i creatori di web-browser stanno sviluppando e utilizzando nuove tecnologie disegnate per controllare le infezioni che si diffondono attraverso gli allegati. Bisogna aggiungere, inoltre, che i venditori di software stanno sviluppando patch per la risoluzione delle vulnerabilità in una forma sempre più efficiente e efficace.
Ciononostante, ogni giorno un numero importante di computer vengono infettati dai malware all’aprire documenti dannosi. Come è possibile che il grande lavoro operato dalle menti più brillanti dell’industria IT non sia sufficiente per combattere questa banda di hacker non organizzati?
La ragione è semplice: gli hacker, molti dei quali lavorano soli o in piccoli gruppi con strumenti su misura, si muovono velocemente. I creatori di browser, i fornitori di servizi email, i giganti della industria IT reagiscono alle nuove minacce nella maniera più veloce che possono ma, come tutte le grandi aziende, sono talvolta ostacolati dalla burocrazia aziendale e da altre forze esterne.
D’altro canto, non possiamo nemmeno dare tutta la colpa alle aziende. Molti utenti rifiutano di installare gli aggiornamenti, mentre altri aprono allegati che non dovrebbero essere aperti.
A loro favore, bisogna dire che gli hacker non sono stupidi. Osservano il modo in cui le aziende reagiscono ai loro metodi di attacco e si adattano di conseguenza. Raccolgono informazioni sulle persone prese di mira monitorizzando i loro social network e altre attività visibili con il fine di disegnare email e allegati più convincenti.
Sono solito credere che un hacker si svegli abbastanza presto la mattina per studiare e piazzare i suoi attacchi di phishing. Kurt Baumgartner, esperto di sicurezza IT di Kaspersky Lab, ha messo le cose in chiaro, spiegando che ognuno di noi – non importa quanto intelligenti siamo – aprirebbe un allegato inviato da una persona di fiducia. Questa realtà dimostra che gli utenti hanno bisogno di misure di difesa diverse, basate su elementi misurabili o automatici, piuttosto che sul fattore umano.
Per esempio, l’ultimo set di aggiornamenti di sicurezza di Patch Tuesday rilasciati da Microsoft ha curato l’ultima vulnerabilità che ha colpito Internet Explorer, ma non ha risolto un secondo zero-day di Microsoft Office (l’ultima vulnerabilità scoperta). Per questa ragione, gli hacker a conoscenza della vulnerabilità possono sfruttarla per inviare documenti dannosi agli utenti interessati al problema (ovvero quasi tutti coloro che possiedono Office). Naturalmente, se l’hacker usa un malware riconosciuto dal motore di ricerca dell’antivirus, allora l’utente sarà protetto. Tuttavia, gli hacker sono abili ad alterare il codice o i domini dei loro malware per evitare di essere individuati.
Non è però mia intenzione elogiare eccessivamente gli hacker. Alla fine, i “bravi ragazzi” (esperti IT, aziende e sviluppatori con buone intenzioni) hanno sempre la meglio sugli hacker, nonostante talvolta si muovano un po’ più lentamente. Gli esperti sono ben pagati, hanno dei ritorni e generalmente non rischiano di finire in galera. Osservano l’attività degli hacker, studiando la loro metodologia di azione e osservano come questi percepiscono gli esperti IT.
Questo è il caso dei nostri sviluppatori di Kaspersky Lab. I ricercatori hanno osservato i modi in cui gli hacker si sono evoluti negli anni. I prodotti anti-malware sono stati creati per cercare signature malware, ma è evidente che negli ultimi anni la rilevazione signature, da sola, non è sufficiente. Così sono state create tecnologie come AEP – Automatic Exploit Prevention (prevenzione automatica degli exploit) capace di setacciare i sistemi degli utenti alla ricerca di vulnerabilità e comportamenti dannosi. Quando AEP individua un’applicazione che sta cercando di attivare un codice strano o sembra voglia sfruttare una falla in una vulnerabilità del software, la tecnologia si attiva e blocca le azioni prima che mettano in pericolo il sistema. In questo modo, gli utenti sono protetti da quasi ogni tipo di minaccia, incluso i sopramenzionati zero-day.
Consigli