Le minacce web sono una piaga del terzo millennio

Le minacce Web-based, o minacce online, sono una categoria di rischi per la cybersecurity che possono causare un evento o un’azione indesiderata via Internet.
Le minacce Web sono rese possibili dalle vulnerabilità degli utenti finali, dagli sviluppatori/operatori di servizi Web o dai servizi Web stessi. Indipendentemente dall’intento o dalla causa, le conseguenze di una minaccia proveniente dal Web possono danneggiare sia i singoli individui che le organizzazioni.

Questo termine si applica in genere, a titolo esemplificativo, alle minacce basate sulla rete delle seguenti categorie:

  • Minacce alle reti private: colpiscono le sottoreti connesse alla più ampia rete Internet globale. Tra gli esempi tipici rientrano le reti Ethernet o Wi-Fi domestiche, le Intranet aziendali e le Intranet nazionali.
  • Minacce host: colpiscono specifici dispositivi host di rete. Spesso il termine host si riferisce a endpoint aziendali e dispositivi personali, come telefoni cellulari, tablet e computer tradizionali.
  • Minacce ai server Web: colpiscono software e hardware dedicati che servono l’infrastruttura e i servizi Web.

Cosa sono le minacce Web?

Le minacce provenienti da Internet espongono utenti e sistemi informatici a possibili danni online. In questa categoria rientrano diversi tipi di pericoli, incluse minacce ben note come phishing e virus informatici. Tuttavia, di questo gruppo fanno parte anche altre minacce, come il furto dei dati offline.

Le minacce Web non si limitano all’attività online ma fondamentalmente coinvolgono Internet a un certo livello per i danni inflitti. Per quanto non tutte le minacce presenti sul Web siano create deliberatamente, molte sono mirate a causare o hanno il potenziale per provocare:

  • Attacchi “access denial”. Prevenzione dell’accesso a un computer e/o a servizi di rete.
  • Acquisizione dell’accesso. Accesso non autorizzato o indesiderato a un computer privato e/o a servizi di rete.
  • Uso non autorizzato o indesiderato di un computer e/o di servizi di rete.
  • Esposizione di dati privati senza autorizzazione, come foto, credenziali degli account e informazioni governative sensibili.
  • Modifiche non autorizzate o indesiderate a un computer e/o a servizi di rete.

Negli ultimi anni, il panorama delle minacce sul Web è cresciuto in modo significativo. Tecnologie come dispositivi smart e reti mobili ad alta velocità hanno consentito un vettore sempre connesso di malware, frodi e altre complicazioni. Inoltre, l’adozione del Web in aree come comunicazioni e produttività tramite l’Internet delle cose (IoT) è andata molto più veloce rispetto alla consapevolezza della sicurezza degli utenti.

Mentre facciamo sempre più affidamento sul Web per la nostra vita di tutti i giorni, continuerà esponenzialmente a diventare un bersaglio allettante per l’attacco da parte di malintenzionati. La comodità e una mancanza di cautela riguardo all’uso del Web sono tra le principali questioni che continuano a porre nuovi rischi per la privacy e la sicurezza.

Per quanto in genere vengano presi di mira i computer fisici, sono le vittime umane a subire in ultima analisi gli effetti a lungo termine di una minaccia Web.

Come funzionano le minacce Web?

Quando si presenta una minaccia sul Web, ci sono determinate circostanze che ne fanno un motivo di preoccupazione.

Nello specifico, qualsiasi minaccia è caratterizzata da alcuni componenti di base:

1. I moventi della minaccia attribuiscono a un agente intenzionale un motivo o un obiettivo per causare un danno. Alcuni agenti delle minacce non agiscono intenzionalmente o agiscono autonomamente e possono, pertanto, non avere un movente.

2. Gli agenti della minaccia sono tutto ciò o chiunque possa avere ripercussioni negative, con Internet come vettore della minaccia o obiettivo stesso.

3. Le vulnerabilità includono qualsiasi debolezza del comportamento umano, sistemi tecnologici o altre risorse che possono portare a un exploit o a un incidente dannoso.

4. Le conseguenze della minaccia sono i risultati negativi di un agente della minaccia che agisce contro una o più vulnerabilità.

Quando questi componenti interagiscono, una minaccia si evolve in attacco contro i sistemi informatici. Tra i moventi della minaccia rientrano ragioni finanziarie, sorveglianza, informazioni, rappresaglia, sabotaggio e molto altro.

Gli agenti delle minacce sono in genere persone con intenti malevoli. Per estensione, gli agenti possono essere qualsiasi cosa che venga manipolata per agire in favore dell’agente della minaccia originale. Tuttavia, alcuni agenti, come gli eventi naturali distruttivi, agiscono interamente senza l’intervento umano.

I tipi di agenti delle minacce includono:

  • Agenti non umani: includono codice dannoso (virus, malware, worm, script), disastri naturali (climatici, geologici), guasti dei servizi (elettrici, telecomunicazioni), guasti tecnologici (hardware, software), e rischi fisici (calore, acqua, impatto).
  • Agenti umani intenzionali: basati su intento malevolo. Possono essere interni (dipendenti, collaboratori, familiari, amici, conoscenti) ed esterni (hacker professionisti e amatoriali, attori ed enti nazionali, organizzazioni concorrenti)
  • Agenti umani accidentali: basati su errore umano. Simili alle minacce intenzionali, questo tipo può includere agenti interni ed esterni.
  • Agenti umani basati su negligenza: basati su comportamenti noncuranti o disattenzioni fatali per la sicurezza. Ancora una volta, questa categoria può includere anche agenti interni ed esterni.

Le vulnerabilità possono rappresentare punti deboli che consentono di manipolare qualcuno o qualcosa. Le vulnerabilità possono essere considerate una minaccia Web e un problema che dà origine ad altre minacce. Quest’area include in genere una forma di debolezza umana o tecnica che può portare a penetrazione, uso improprio o distruzione di un sistema.

Le conseguenze della minaccia possono portare a divulgazione di informazioni private, raggiro degli utenti, interruzione dell’attività dei sistemi informatici o acquisizione dei privilegi di accesso. Spesso le minacce sul Web comportano, a titolo esemplificativo:

  • Danni alla reputazione: perdita di fiducia da parte di clienti e partner, blacklist nei motori di ricerca, umiliazione, diffamazione, ecc.
  • Interruzione delle operazioni: blocco delle attività, accesso negato a servizi basati sul Web come blog o forum, ecc.
  • Furto: finanziario, dell’identità, di dati sensibili dei clienti, ecc.

I cybercriminali sfruttano praticamente qualsiasi vulnerabilità all’interno di un sistema operativo o applicazione per sferrare un attacco. Tuttavia, la maggior parte dei cybercriminali sviluppa minacce Web che mirano deliberatamente ad alcuni dei sistemi operativi e applicazioni più comuni, tra cui:

  • Java: poiché Java è installato su oltre 3 miliardi di dispositivi (che usano vari sistemi operativi), è possibile creare exploit rivolti a vulnerabilità specifiche di Java su diverse piattaforme e sistemi operativi.
  • Adobe Reader: anche se Adobe Reader è stato preso di mira da molti attacchi, Adobe ha implementato una serie di strumenti per proteggere il programma dall’attività degli exploit. Tuttavia, Adobe Reader rimane uno dei bersagli più comuni.
  • Windows e Internet Explorer: alcuni exploit attivi mirano ancora alle vulnerabilità rilevate addirittura nel 2010, comprese MS10-042, contenuta nella Guida in linea e supporto tecnico di Windows, e MS04-028, associata a una gestione errata dei file JPEG.
  • Android: i cybercriminali usano gli exploit per ottenere privilegi di root. A questo punto possono ottenere un controllo quasi completo sui dispositivi bersaglio.

Come si diffondono le minacce Web su Internet?

Le minacce Internet più preoccupanti attraversano il Web per attaccare più sistemi. Questi agenti delle minacce spesso usano una combinazione di manipolazione umana e comandi tecnici per raggiungere i propri obiettivi.

Le minacce Web di questa natura sfruttano i molti canali di comunicazione di Internet per diffondersi. Le minacce di portata più estesa utilizzano la rete Internet globale, mentre quelle più mirate possono infiltrarsi direttamente nelle reti private.

In genere, queste minacce vengono distribuite attraverso servizi basati sul Web. Gli autori degli attacchi preferiscono posizionare queste minacce in punti in cui gli utenti possono imbattersi più facilmente in esse. Siti Web pubblici, social media, forum Web e messaggi e-mail sono lo strumento ideale per la diffusione di una minaccia Web.

Gli utenti vengono colpiti quando interagiscono con URL o download dannosi o forniscono informazioni sensibili a siti Web e mittenti dei messaggi. Questa interazione può anche scatenare l’infezione e diffondere le minacce Web ad altri utenti e reti. Può anche capitare che utenti innocenti diventino inconsapevolmente loro stessi agenti delle minacce.

Come individuare le minacce Web

Nonostante l’infinita portata dei pericoli basati sul Web, è possibile individuare alcuni tratti generali che contraddistinguono questo tipo di minacce. In ogni caso, per identificare una minaccia Web occorre un occhio attento per cogliere alcuni dettagli impercettibili.

Alcune minacce sono chiaramente un motivo di preoccupazione per l’hardware dell’infrastruttura Web, come l’acqua e il calore. Mentre questo tipo di minacce è più semplice da individuare, altre richiedono una maggiore cautela. I momenti in cui occorre prestare più attenzione sono quando si esplorano i siti Web e quando si ricevono messaggi digitali.

Ecco alcuni suggerimenti utili:

  • Grammatica: non sempre i cybercriminali realizzano con attenzione i loro messaggi o i contenuti Web quando preparano un attacco. Fai attenzione agli errori di battitura, a una punteggiatura anomala e a frasi strane.
  • URL: eventuali collegamenti dannosi possono nascondersi sotto il cosiddetto anchor text, il testo visibile che viene visualizzato. Puoi passare il puntatore del mouse su un collegamento per verificarne l’effettiva destinazione.
  • Immagini di scarsa qualità: l’uso di immagini non ufficiali o a bassa risoluzione può indicare una pagina Web o un messaggio dannoso.

Tipi di minacce alla sicurezza Web

Come accennato in precedenza, di solito le minacce sul Web prevedono una manipolazione umana e tecnica in previsione di un attacco. Tieni presente che può esserci una sovrapposizione tra queste minacce e alcune possono avvenire contemporaneamente. Tra quelle più comuni rientrano le seguenti:

Social engineering

Il social engineering implica che un utente venga indotto con l’inganno ad agire inconsapevolmente contro i propri interessi. Queste minacce prevedono in genere di ottenere la fiducia degli utenti allo scopo di ingannarli. Manipolare gli utenti in questo modo può includere:

  • Phishing: spacciarsi per persone o istituzioni legittime per indurre le vittime a divulgare dettagli personali.
  • Attacchi di watering hole: sfruttare siti Web popolari per far sì che gli utenti si espongano al pericolo.
  • Network spoofing: punti di accesso contraffatti che imitano quelli legittimi.

Codice dannoso

Include malware e script pericolosi (righe di comandi di programmazione informatica) per creare o sfruttare vulnerabilità tecniche. Il social engineering costituisce il lato umano delle minacce sul Web, mentre il codice dannoso quello tecnico. Queste minacce possono includere a titolo esemplificativo:

  • Attacchi di tipo injection: inserimento di script dannosi in applicazioni e siti Web legittimi. Alcuni esempi sono SQL injection e cross-site scripting (XSS).
  • Botnet: hijack di un dispositivo utente per l’uso remoto in una rete di “zombie” analoghi. Vengono utilizzati per accelerare campagne di spam, attacchi malware e molto altro.
  • Spyware: programmi di tracking che monitorano le azioni dell’utente su uno specifico dispositivo. Gli esempi più comuni sono i keylogger.
  • Worm informatici: script che vengono eseguiti, si replicano e si diffondono automaticamente senza l’aiuto di un programma correlato.

Exploit

Gli exploit sono abusi intenzionali delle vulnerabilità che possono portare a un incidente indesiderato.

  • Attacchi di forza bruta: tentativi manuali o automatizzati di violare “cancelli” di sicurezza e vulnerabilità. In genere, prevedono la generazione di tutte le password possibili per un account privato.
  • Spoofing: mascheramento dell’identità reale per manipolare i sistemi informatici legittimi. In questa categoria rientrano spoofing degli indirizzi IP, spoofing DNS e poisoning della cache.

Cybercrimine

Per cybercrimine si intende qualsiasi attività illegale condotta attraverso sistemi informatici. Queste minacce spesso sfruttano il Web per mettere in atto i propri piani malevoli.

  • Cyberbullismo: abuso mentale delle vittime attraverso intimidazioni e molestie.
  • Divulgazione non autorizzata dei dati: implica la diffusione di informazioni private, come divulgazione di e-mail, foto intime e fughe di dati aziendali significativi.
  • Cyber-diffamazione: chiamata anche diffamazione online, implica attacchi alla reputazione di singoli individui o organizzazioni. Può avvenire tramite disinformazione (distribuzione deliberata di informazioni inaccurate) o falsa informazione (distribuzione erronea di informazioni inaccurate).
  • Minacce APT (Advanced Persistent Threats): soggetti malintenzionati riescono ad accedere a una rete privata e a stabilire un accesso costante. Combinano social engineering, codice dannoso e altre minacce per sfruttare le vulnerabilità e ottenere questo accesso.

Di solito, le minacce provenienti dal Web si riferiscono a programmi malware che prendono di mira gli utenti quando utilizzano Internet. Queste minacce basate sul browser comprendono una vasta gamma di programmi software nocivi progettati per infettare i computer delle vittime. Lo strumento principale alla base di queste infezioni è il pacchetto exploit, che apre ai cybercriminali una via di accesso ai computer che:

1. Non dispongono di un prodotto di sicurezza

2. Usano un sistema operativo o un’applicazione vulnerabile e comune, perché l’utente non ha applicato gli ultimi aggiornamenti o perché il fornitore del software deve ancora distribuire una nuova patch

Gli esperti di sicurezza Internet hanno identificato i programmi software nocivi più attivi coinvolti nelle minacce sul Web. L’elenco comprende i tipi seguenti di minacce online:

  • Siti Web nocivi. Kaspersky identifica questi siti Web utilizzando metodi di rilevamento euristico basati sul cloud. La maggior parte dei rilevamenti di URL nocivi riguarda siti Web contenenti exploit.
  • Script nocivi. Gli hacker inseriscono script nocivi nel codice di siti Web legittimi la cui sicurezza è stata compromessa. Questi script vengono usati per sferrare attacchi silenziosi, nei quali i visitatori del sito Web vengono reindirizzati a loro insaputa a risorse online nocive.
  • Script e file PE eseguibili In genere questi file:
  • Scaricano e avviano altri programmi nocivi
  • Trasportano un payload che ruba i dati dagli account di banking online e social networking oppure rubano i dettagli di accesso ad altri servizi
  • Trojan downloader. Questi virus trojan distribuiscono vari programmi nocivi ai computer degli utenti.
  • Exploit e pacchetti exploit. Gli exploit prendono di mira le vulnerabilità e tentano di sfuggire all’attenzione dei software di sicurezza Internet.
  • Programmi adware. Spesso, l’adware viene installato nel momento in cui un utente inizia a scaricare un programma freeware o shareware.
  • Scaricano e avviano altri programmi nocivi
  • Trasportano un payload che ruba i dati dagli account di banking online e social networking oppure rubano i dettagli di accesso ad altri servizi

Esempi di minacce Web

Tra i tanti esempi di minacce Web, ecco alcuni dei più comuni:

Ransomware WannaCry

Nel maggio 2017, il ransomware WannaCry si è diffuso in svariate reti bloccando innumerevoli PC Windows. Questa minaccia si è dimostrata particolarmente pericolosa a causa della funzionalità worm, che ne ha permesso la diffusione in completa autonomia. WannaCry ha sfruttato un linguaggio di comunicazione nativo all’interno di Windows per diffondere questo codice dannoso.

Phishing degli account iCloud di personaggi famosi

Un attacco di tipo “spear-phishing” ha portato alla violazione degli account iCloud di numerose celebrità, cosa che a sua volta ha comportato la divulgazione non autorizzata di tantissime foto private contenute in tali account.

Per quanto l’autore dell’attacco alla fine sia stato individuato e perseguito, le vittime stanno ancora subendo le ripercussioni della diffusione delle loro foto intime, senza il loro permesso. Si è trattato di uno degli attacchi di phishing più noti di questo decennio.

Come proteggersi dalle minacce Web

La maggior parte delle minacce va a segno a causa di due debolezze principali:

  • Errore umano
  • Errore tecnico

Una protezione completa contro le minacce Web implica trovare il modo di proteggere questi punti deboli.

Ecco qualche suggerimento di carattere generale da seguire sia per gli utenti finali che per i provider di servizi Web:

1. Crea sempre copie di backup: tutti i dati più preziosi dovrebbero essere copiati e conservati in modo sicuro per evitare che vadano persi in caso di incidente. È possibile eseguire il backup di siti Web, driver di dispositivi e addirittura server Web.

2. Abilita l’autenticazione a più fattori (MFA): offre ulteriori livelli di autenticazione utente oltre alle password tradizionali. Le organizzazioni dovrebbero abilitare questo tipo di protezione per gli utenti, mentre gli utenti finali dovrebbero assicurarsi di utilizzarla.

3. Esegui una scansione anti-malware: effettuando scansioni regolari alla ricerca di possibili infezioni contribuirai a tenere al sicuro i tuoi dispositivi. Anche i computer endpoint aziendali e le reti dovrebbero ricorrere a questo tipo di protezione.

4. Tieni aggiornati tutti gli strumenti, il software e il sistema operativo: i sistemi informatici sono più vulnerabili se non dispongono delle patch contro falle di programmazione non individuate in precedenza. Gli sviluppatori software indagano regolarmente su queste debolezze e rilasciano gli aggiornamenti corrispondenti. Proteggiti scaricando questi aggiornamenti.

È proprio dai provider di servizi come i gestori di siti Web e gli operatori server che deve partire una reale strategia di sicurezza completa. Entrambi devono adottare precauzioni per una protezione ottimale. E possono farlo:

1. Monitorando il traffico Web per stimare modelli e volumi normali.

2. Implementando i firewall per filtrare e limitare connessioni Web non consentite.

3. Con la distribuzione dell’infrastruttura di rete per decentralizzare dati e servizi. Include aspetti come backup per varie risorse e rotazioni dei server a livello geografico.

4. Tramite analisi interna per indagare su eventuali vulnerabilità non coperte da patch. Implica ad esempio l’auto-attacco con strumenti di attacco SQL injection.

5. Con una configurazione di sicurezza appropriata per la gestione della sessione e dei diritti di accesso.

 

CONSAPEVOLEZZA!
Il consiglio base è quello di informarsi, e iniziare a proteggerci da soli nei modi più banali come:

1. scansione anti-malware dei download.

2. attento controllo dei collegamenti, per avere la certezza che la destinazione sia sicura e affidabile.

3. uso di password complesse e sicure, evitando i duplicati. Uso di un gestore password sicuro per gestire tutti gli account e le password.

4. limitazione dei tentativi di accesso attivando il blocco dell’account dopo un numero limitato di tentativi.

5. maggiore attenzione ai campanelli di allarme per il phishing via SMS, e-mail e altre comunicazioni.

Author: Antonello