Black Friday, allarme truffe e-commerce: i consigli per difendersi dai “banking trojan”

Nella settimana del Black Friday si sta assistendo ad una massiccia campagna di attacchi informatici portati avanti mediante i cosiddetti banking trojan. Lo confermano gli esperti al nostro sito, che danno anche qualche consiglio a utenti e commercianti per difendersi; e lo attestano recenti dati di Kasperky Labs.

Cosa sono i banking trojan

I banking trojan una particolare variante di trojan specializzati per colpire gli utenti che usano i servizi di home banking, effettuano operazioni bancarie via Internet e che, in generale, effettuano acquisti online: il loro scopo è quello di rubare dati finanziari, credenziali di accesso, numeri di carte di credito, numeri di telefono e altri dati o costruire botnet di dispositivi piratati che i criminal hacker possono controllare da remoto e sfruttare per attacchi futuri.

Nel corso del tempo, inoltre, molti di questi banking trojan hanno migliorato le loro funzionalità, lanciando nuove varianti ed estendendo la loro portata. Alcuni sono ora in grado di ottenere l’accesso con privilegi di amministratore ai dispositivi infettati, eseguire transazioni, iniettare altro codice dannoso, registrare video e altro ancora.

Secondo i dati diffusi dai Kaspersky Lab, sono ben 14 le famiglie di malware stanno prendendo di mira i principali marchi di e-commerce per frodare le loro vittime. Le principali sono Betabot, Panda, Gozi, Zeus, Chthonic, TinyNuke, Gootkit2, IcedID e SpyEye. A dirlo è il rapporto “Buyer beware: cyber-threats targeting e-commerce 2018” stilato da Kaspersky a ridosso dell’inizio della stagione fredda, la più calda per quanto riguarda gli acquisti on-line.

Black Friday: i metodi di attacco dei banking trojan

I banking trojan del Black Friday riescono ad intercettare i dati inseriti sui siti di destinazione, modificare il contenuto delle pagine online o reindirizzare i visitatori su pagine di phishing costruite ad hoc.

Grazie a questa particolare tipologia di malware, i criminali informatici riescono a monitorare il comportamento online degli utenti e tracciare quali siti sono stati visitati dai dispositivi infetti. Se il trojan individua un utente che naviga su un sito di e-commerce, attiva immediatamente la sua funzionalità di form-grabbing: si tratta di una tecnica usata dai criminali per salvare tutte le informazioni che un utente inserisce nei moduli di un sito web. E su un sito di e-commerce, tali moduli contengono quasi sicuramente: combinazione di login e password e dati di pagamento come il numero di carta di credito, la sua data di scadenza e il codice di sicurezza CVV. Se non esiste una conferma di transazione a due fattori, i criminali che hanno ottenuto questi dati possono usarli per rubare denaro.

Difendersi dai banking trojan: consigli per utenti e professionisti

Per proteggersi da queste minacce, è utile adottare alcune semplici misure di sicurezza.

Nel caso di semplici consumatori:

• una prima soluzione di sicurezza semplice ed efficace consiste nel tenere sempre aggiornati le applicazioni e i dispositivi utilizzati per gli acquisti online;
• è importante, poi, evitare di acquistare da siti web che sembrano potenzialmente pericolosi o che assomigliano a una versione incompleta del sito web di un marchio di fiducia;
• infine, non bisogna mai cliccare su link sospetti contenuti in messaggi di posta elettronica inviati da mittenti sconosciuti o trovati nei post dei social media, anche se condivisi da utenti conosciuti.

I gestori di un marchio o un commerciante online, possono seguire, invece, queste linee guida:

• utilizzare un servizio di pagamento affidabile e tenere aggiornato il software di gestione del trading online e la piattaforma di pagamento. Ogni nuovo aggiornamento può contenere patch critiche per rendere il sistema meno vulnerabile agli attacchi dei criminali informatici;
• utilizzare una soluzione di sicurezza su misura per proteggere l’azienda e i clienti;
• prestare attenzione alle informazioni personali utilizzate dai clienti per gli acquisti, utilizzando una soluzione di prevenzione delle frodi da adattare al profilo aziendale e a quello dei clienti;
• limitare il numero di transazioni tentate e utilizzare sempre l’autenticazione a due fattori (adottando, ad esempio, sistemi di sicurezza come Verified by Visa, MasterCard Secure Code ecc.).

Abbiamo quindi chiesto ai nostri esperti di darci le dritte giuste per proteggerci dai banking trojan.

“Sicuramente i periodi in cui si fanno più acquisti, magari in fretta nella speranza di approfittare di qualche scontistica eccezionale, richiedono particolare attenzione” è il commento di Claudio Telmon, Information & Cyber Security Advisor at P4I – Partners4Innovation, che continua: “le precauzioni sono sempre le stesse. Sicuramente ci sono diversi strumenti che aiutano a bloccare questi attacchi, sia come parte delle impostazioni del browser che come prodotti da installare: possono essere una buona idea, pur non dando mai garanzie assolute. Per l’home banking, è importante avere salvato nei segnalibri il sito della propria banca e accedere sempre da lì, non da link in messaggi e-mail, ed è fondamentale attivare i servizi di alert via SMS, perché così possiamo bloccare la frode, generalmente recuperando i soldi o almeno limitando i danni. Per i siti di e-commerce, serve comunque attenzione al momento di inserire credenziali o numeri di carte di credito, prima di tutto attivando anche qui i servizi di alert via SMS dove disponibili, e soprattutto assicurandosi di leggere gli eventuali avvisi: questa è sicuramente l’attenzione principale”.

L’importante, comunque, è non abbassare mai la guardia. Secondo Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder, “La minaccia di phishing non riguarda solo il Black Friday ma anche il prossimo Cyber Monday e le prossime feste natalizie. Teniamoci pronti. Il motivo? Sono i periodi in cui siamo più propensi a fare acquisti e cosa c’è di meglio di un’occasione imperdibile. Un’occasione che è imperdibile anche per i criminal hacker. Una situazione ideale per lanciare attacchi di phishing”.

“In realtà – continua Iezzi – il phishing è il vettore di attacco, non è la vera minaccia. Il phishing è di fatto una tecnica di social engineering che viene usata solo per ingannarci, per “infettarci” con un malware specifico che poi ci sottrae i nostri dati attraverso una serie di tecniche malevoli:

• overlays: l’utente apre un determinato sito e il malware sovrappone una pagina con lo scopo di ingannare l’utente e sottrarre le credenziali;
• redirection: l’utente viene reindirizzato su un sito web progettato dal criminal hacker per essere identico al sito originale;
• keylogging: l’utente installa senza saperlo un malware che di fatto legge tutti gli input di battitura sulla tastiera o sul nostro cellulare/tablet;
• injects: l’injection permette di inserire stringhe di codice eseguibile malevolo all’interno di campi di input. Questa tecnica è fattibile solo in presenza di vulnerabilità del sistema.
• hook: è una tecnica evoluta e innovativa. Identifica le azioni dell’utente. Se l’utente si collega con specifiche applicazioni, inserisce un codice eseguibile malevolo direttamente nella barra degli indirizzi del target. Una sorta di malware personalizzato.

Come difendersi?

Ecco i consigli di Iezzi:

• verificare il mittente analizzando il dominio della mail;
• controllare il contenuto del messaggio per verificare eventuali errori di grammatica o di formattazione;
• passare con il mouse (senza cliccare) su eventuali link o “bottoni”. Controlla l’URL di destinazione;
• avere installato e aggiornato un buon antivirus;
• non scaricare mail applicazioni da store non ufficiali;
• verifica periodicamente i movimenti del tuo conto corrente (attiva il servizio di SMS alert).

Il Black Friday è dunque una chiamata alle armi per i consumatori ma soprattutto per i cyber criminali, ci dice Andrea Muzzi, Technical Manager F-Secure Corporation, perché nessuno né da una parte né dall’altra vuol lasciarsi sfuggire una tale opportunità.

“Mai come in questi momenti è ancor più pericoloso abbassare la guardia. Pretendere che un non addetto ai lavori, riesca a capire facilmente se il sito dove sta facendo acquisti sia quello originale o stia navigando su di una copia ben fatta sarebbe troppo. Tuttavia, prima di effettuare quel fatidico clic ci dovremmo soffermare per qualche secondo a ripensare almeno a poche e semplici regole”.

Andrea Muzzi elenca quindi una serie di preziosi consigli:

• che rete Wi-Fi sto usando? Se non fosse la mia, e mi trovassi ad usare una rete aperta, sto usando un tunnel vpn per rendere impossibile la lettura dei miei dati in transito?
• il dispositivo da cui sto inserendo le mie credenziali o i dati della mia carta di credito è protetto con un antimalware/EPP aggiornato? O sto usando quel software che ho scaricato da Internet o che mi ha passato un amico insieme a quell’innocuo programmino che mi permette di creare una chiave d’attivazione gratuita che nel frattempo mi ha installato un malware?
• ho aggiornato i software che ho installato sui miei dispostivi? Più dell’80% degli attacchi di questi trojan sfruttano delle falle già note da diversi mesi, se non anni. Pochi minuti alla settimana dedicati agli aggiornamenti sarebbero sufficienti per essere più sicuri.

Molti, secondo Muzzi, per stare tranquilli decidono di utilizzare il proprio smartphone, così sono sicuri. “Peccato che magari non hanno aggiornato né il sistema operativo né le app installate. Figuriamoci se hanno pensato di proteggerlo con un software di sicurezza. Ricordiamo che Android, per sua natura aperto agli sviluppatori, è la piattaforma più attaccata”.

“Quante domande, quanti dubbi, ma il tempo stringe e non possiamo perderci il nostro prossimo acquisto: ricordiamoci, però, che il cyber crime sempre di più è come la legge: non ammette ignoranza. Quindi se non lo abbiamo ancora fatto regaliamoci un po’ di sicurezza in più”.

Un ricco bottino per i criminal hacker

Per avere un’idea di quanto i banking trojan siano fruttuosi per i criminal hacker, torna utile di nuovo il rapporto dei Kaspersky Lab, da cui si evince che i malware hanno preso di mira un totale di 67 siti di e-commerce (abbigliamento, elettronica, entertainment/gaming, telecomunicazioni, pagamenti digitali e Retail). Più nello specifico, Betabot ha preso di mira 46 diversi brand, tra cui 16 canali di abbigliamento, quattro di elettronica di consumo e otto di entertainment/gaming; la maggior parte delle persone attaccate è stata registrata in Italia (il 14,13% degli utenti colpiti qui da malware sono stati interessati proprio da questa minaccia), Germania (6,04%), Russia (5,5%) e India (4,87%). Gozi si è concentrato, invece, su 36 brand in particolare, tra cui 19 online shop di abbigliamento e 3 di elettronica; anche in questo caso l’Italia ha registrato la percentuale più alta di utenti colpiti (il 19,57% di quelli raggiunti da malware), insieme alla Russia (13,89%), al Brasile (11,96%) e alla Francia (5,91%).

Il “bottino” di queste attività criminose è davvero impressionante: i criminal hacker sono infatti riusciti a rubare oltre tre milioni di set di credenziali per l’accesso ai siti di e-commerce che poi hanno rimesso in vendita sul Dark Web. Un altro modo per fare soldi consiste invece nell’utilizzare piuttosto che vendere le credenziali compromesse. I criminali informatici potrebbero, ad esempio, utilizzare i conti rubati nei sistemi di riciclaggio di denaro sporco: comprare cose da un sito web utilizzando le credenziali delle vittime in modo che sembrino clienti conosciuti e non inneschino misure antifrode, e poi rivenderle di nuovo.