Preoccupazioni sul copyright

Alcuni provider di intelligenza artificiale si trovano nel mezzo di battaglie legali sull’uso (apparentemente) non autorizzato della proprietà intellettuale altrui per l’addestramento dei modelli di linguaggio. In ogni caso, coloro che utilizzano software di intelligenza artificiale addestrato esclusivamente sui propri dati possono dormire sonni tranquilli.

Richieste di trasparenza e certificazione dei dati

Tuttavia, coloro che si rivolgono a servizi esterni, magari addestrati su dati generici, dovrebbero prendere in considerazione alcune precauzioni suggerite dalla ricerca scientifica. È consigliabile richiedere ai fornitori di tali servizi di dichiarare i dati utilizzati per l’addestramento dell’intelligenza artificiale specifica o di certificare che siano stati utilizzati con l’autorizzazione dei legittimi proprietari, se soggetti a vincoli di copyright o privacy.

Manleva

Qualora ciò non fosse possibile, è prudente richiedere una manleva, una garanzia legale che esenta dalle responsabilità nel caso in cui i dati utilizzati per l’addestramento non fossero stati completamente liberi da restrizioni d’uso.

Rischi di divulgazione

Precauzioni

Attenzione al nome del dominio

Con l’arrivo delle festività natalizie, molti di noi si preparano a prenotare le loro vacanze online, ma c’è una minaccia nascosta che sfrutta il nome di uno dei servizi di prenotazione più famosi: Booking.com. Due trappole ingannevoli meritano particolare attenzione per evitare spiacevoli sorprese durante le vacanze.

Una confusione pericolosa

La prima trappola riguarda un equivoco molto comune: il sito Ebooking.com, facilmente confondibile con Booking.com, ma senza la “E” iniziale. Nonostante abbia un’app disponibile su App Store di Apple e Google Play per Android, Ebooking.com ha generato numerose segnalazioni di frodi e lamentele da parte degli utenti. Questi hanno pagato anticipatamente per prenotazioni di voli e alloggi solo per scoprire che non erano valide e che non sarebbero stati rimborsati. Il sito, sebbene apparentemente legittimo, presenta molti link che portano a Booking.com senza la “E” iniziale, mentre solo uno porta a una pagina di informativa sulla privacy di Ebooking.com, indicando la mancanza di collegamento tra i due siti. È quindi consigliabile trattare con cautela le comunicazioni da parte di Ebooking.com e verificare sempre che le prenotazioni avvengano effettivamente su Booking.com.

Comunicazioni realistiche

La seconda trappola, ancora più sofisticata, coinvolge comunicazioni apparentemente autentiche provenienti da Booking.com. Gli utenti ricevono messaggi che sembrano provenire dall’albergo dove hanno effettuato la prenotazione, avvisandoli di un potenziale annullamento della prenotazione a causa di problemi con la carta di credito. Viene chiesto di cliccare su un link fornito per verificare nuovamente i dati della carta, ma il link porta a un sito simile a Booking.com, dove vengono richiesti i dettagli della carta di credito, che vengono successivamente rubati. Questo inganno è particolarmente credibile poiché i messaggi sembrano autentici, creando un falso senso di sicurezza. Si sospetta che i truffatori abbiano ottenuto accesso all’account dell’albergo su Booking.com per inviare tali comunicazioni.

Prenotare con cautela

Ransomware, una minaccia globale crescente

Secondo i dati raccolti da Swascan, questi attacchi hanno fatto 1.451 vittime in tutto il mondo (dati colpiti e rubati rivelati), caratterizzati dalla diffusione di malware che crittografano dati per i quali viene chiesto un riscatto. Dietro gli attacchi c’è anche un aumento del numero dei criminali informatici, il cui numero è passato da 36 a 43 (19,4%). Tra i più attivi spicca Lockbit con 245 attacchi nel trimestre.

Questi attacchi sembrano avere un obiettivo specifico: le imprese. In Italia, l’80% di queste PMI sono state colpite, dimostrando come i criminali informatici le considerino più vulnerabili rispetto alle grandi aziende. Il 91 per cento delle imprese italiane vittime ha un fatturato inferiore a 250 milioni di euro.

Le società di servizi sono state le più colpite, rappresentando il 47% degli attacchi, seguite da quelle industriali (16%) e tecnologiche (6%). Anche in Italia in testa alla classifica c’è il settore dei servizi con il 54% degli attacchi, seguito da industria (11%) e sanità (9%), più che raddoppiate rispetto al trimestre precedente. Tuttavia, la minaccia non ha risparmiato altri settori come quello finanziario, manifatturiero, immobiliare e molti altri ancora.

Phishing

Nel secondo trimestre del 2023, il panorama delle minacce informatiche ha visto il phishing emergere come una delle minacce più diffuse. Con quasi 160.000 campagne di phishing. In Italia, le campagne di phishing che hanno interessato principalmente il settore bancario, decisamente quello maggiormente preso di mira dagli attaccanti con lo scopo di esfiltrare credenziali di accesso ed informazioni di pagamento.

Cos’è IT-Alert

IT-alert è il nuovo sistema di allarme pubblico per l’informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.

Il funzionamento

I messaggi IT-alert viaggiano attraverso cell-broadcast. Ogni dispositivo mobile connesso alle celle delle reti degli operatori di telefonia mobile, se acceso, può ricevere un messaggio “IT-alert”.
Grazie alla tecnologia cell-broadcast i messaggi IT-alert possono essere inviati all’interno di un gruppo di celle telefoniche geograficamente vicine, capaci di delimitare un’area il più possibile corrispondente a quella interessata dall’emergenza.

I primi test

Intorno alle ore 12 del giorno definito per il test, i cellulari, accesi e con connessione telefonica, di chi si trova nell’area coinvolta riceveranno un messaggio. L’obiettivo del test è quello di far conoscere il nuovo sistema alle persone che potrebbero essere coinvolte in situazioni di emergenza quando IT-alert sarà operativo.

L’attacco informatico

Microsoft ha identificato un sofisticato attacco cibernetico diretto a varie organizzazioni di Taiwan. Gli autori dietro questo attacco sono stati individuati nel gruppo di cybercriminali noto come Flax Typhoon, una fazione con presunti legami finanziari con il governo cinese.

Spionaggio digitale

Operativo da metà del 2021, il gruppo Flax Typhoon ha mirato principalmente enti governativi, aziende operanti nei settori IT, istruzione e manifatturiero. Sfruttando l’approccio delle “living-off-the-land binaries (LOLBins)”, gli aggressori hanno complicato ulteriormente la scoperta delle loro attività malevoli.

Il funzionamento

L’attacco inizia sfruttando vulnerabilità ben note presenti nei server e nelle applicazioni, inclusi software VPN, Java e SQL. Successivamente, viene introdotta una “web shell” come ad esempio China Chopper, aprendo la strada all’esecuzione di codice a distanza. Se questa viene qualche in modo ostacolata tramite limitazione di privilegi, i cybercriminali aumentano il loro controllo tramite l’uso di malware come Juicy Potato e Bad Potato. Inoltre si avvalgono del “Remote Desktop Protocol (RDP)” dopo aver neutralizzato l’Autenticazione a Livello di Rete (NLA), manipolando registri. Questo apre le porte all’interazione con la schermata di accesso di Windows senza necessità di autenticazione.

L’obiettivo

Il gruppo Flax Typhoon fa ricorso a Mimikatz per estrarre registri sensibili, come quelli del Sottosistema del Local Security Authority (LSASS) e del Gestore di Account di Sicurezza (SAM). Ad oggi, Microsoft non ha individuato segni di furto o raccolta di dati da parte degli aggressori: si tratta quindi di “semplice” spionaggio digitale.

La prevenzione

Microsoft sottolinea che rilevare e bloccare attacchi di questo genere rappresenta una sfida significativa. Gli attacchi del gruppo Flax Typhoon dimostrano l’elusività delle tattiche basate su “LOLBins”, rendendo evidente l’importanza di difese cibernetiche robuste e sistemi di rilevamento avanzati.

Attacco diretto di tipo DDoS

Esistono diverse tipologie di attacchi che possono mettere a rischio la disponibilità e la funzionalità di un servizio online. Tra questi, uno degli attacchi più diffusi e pericolosi è il Distributed Denial of Service (DDoS).

Un attacco DDoS è un tipo di attacco informatico in cui un’ampia rete di dispositivi infettati, viene utilizzata per sovraccaricare un sistema di destinazione con un elevato volume di richieste di connessione. L’obiettivo principale di un attacco DDoS è quello di intasare il sistema, rendendolo incapace di rispondere alle richieste legittime degli utenti, causando così un’interruzione del servizio.

il caso Microsoft Outlook

E’ il caso di Microsoft Outlook, servizio di posta elettronica leader nel settore. In questo caso l’azienda è stata bersaglio di un attacco DDoS. I responsabili di questo cyber-attacco sono il un noto gruppo hacker chiamato Anonymous Sudan che ha rivendicato l’attacco con un messaggio pubblicato sul suo canale Telegram.

Il fine

La banda non ha rubato alcun dato, il fine di questo attacco è stato quello di recapitare il seguente messaggio a Microsoft.“Microsoft, il destino dei tuoi servizi è nelle nostre mani, decidiamo noi quando chiuderlo e quando lasciarlo aperto”.

La reazione

Microsoft ha immediatamente posto fine all’attacco, escludendo dal sistema i malintenzionati, la stessa azienda ribadisce l’importanza di utilizzare “servizi di protezione di livello 7 come Azure Web Application Firewall (WAF)” e tenere sempre aggiornati i servizi che si utilizzano.

Attacco indiretto

Spesso si dà per scontato che i cyber criminali attacchino direttamente il loro obiettivo, cercando di rubare dati o di forzare qualche accesso. In realtà gli attacchi più sofisticati e difficili da contrastare sono indiretti, ovvero non colpiscono la vittima designata ma un suo fornitore. In questo modo non solo il criminale è più difficile da rintracciare, ma ottiene anche accesso a più potenziali vittime contemporaneamente.

MoveIT

E’ il caso di MoveIt, servizio di trasferimento file sconosciuto ai più ma usato da diverse grandi aziende britanniche e statunitensi, quali BBC e British Airways. In questo caso gli hacker hanno sfruttato una vulnerabilità non ancora nota agli stessi sviluppatori di MoveIt, che consentiva agli utenti esterni di eseguire comandi all’interno dei database di MoveIt.

Le conseguenze

Così facendo i criminali hanno potuto rubare una quantità incredibile di dati da tutte le aziende clienti di MoveIt, fra cui quelle citate, prima ancora che qualcuno potesse anche solo accorgersi del problema.

La reazione

MoveIt ha comunque rilasciato un aggiornamento correttivo nel giro di quattro giorni, quindi anche in questo caso (come sempre) il consiglio principale è quello di tenere sempre aggiornati i servizi che si usano. Per le aziende varrebbe inoltre la pena di coordinarsi con i propri fornitori per assicurarsi che facciano altrettanto, altrimenti rischiano di essere vittima di data breach e attacchi informatici anche senza presentare alcuna vulnerabilità.

La ricerca

Quali sono le fasi successive? Non lo sappiamo, o almeno la ricerca degli esperti del team di Bitdefender che ha analizzato il fenomeno. Importante notare come si tratti di professionisti della sicurezza informatica in un ambiente protetto: è altamente sconsigliato fare questo tipo di “prove” in qualità di semplici utenti, anche avendo la consapevolezza che si tratta di una truffa.

Illuminati

Abbiamo spesso parlato di mail security (qui la nostra guida) e di elaborate strategie di spam e phishing tramite posta elettronica. Oggi parliamo di una particolare truffa via mail, da parte di truffatori che si spacciano per Illuminati alla ricerca di un nuovo “adepto” (da condurre a fama, gloria e ricchezza, chiaramente).

L’invito

Rispetto alle classiche truffe via mail, una particolarità di questa curiosa campagna di falso recruiting è che non chiede denaro (almeno non nelle fasi iniziali). La mail si limita infatti a fornire un contatto WhatsApp di un presunto “Gran Maestro” con cui parlare (in inglese, anche se la truffa è diffusa anche in Italia con mail in italiano).

Il pericolo

Già solo aggiungere il contatto mette l’utente in una situazione di pericolo, perché dà ai malintenzionati alcuni dati quali il numero di telefono. In seguito il “gran maestro” in questione invita la potenziale vittima a compilare un modulo, fornendo una serie completa di altre informazioni personali. Va notato che i moduli sono decisamente poco credibili, pieni di simboli “occulti” tutt’altro che sobri: probabilmente è voluto, in modo da assicurarsi che solo vittime totalmente ingenue procedano nelle fasi successive.

La stranezza

Anche in questo caso la supposta organizzazione segreta non chiede denaro, sembra quindi che i criminali vogliano semplicemente sottrarre informazioni. Cosa che si potrebbe fare con altri metodi anche più efficaci e meno impegnativi, ma probabilmente qui entra in gioco una sorta di selezione per carpire la fiducia di vittime particolarmente ingenue con un approccio più personale, per poi probabilmente rimandare a fiducia acquisita le transazioni.

La ricerca

Quali sono le fasi successive? Non lo sappiamo, o almeno la ricerca degli esperti del team di Bitdefender che ha analizzato il fenomeno. Importante notare come si tratti di professionisti della sicurezza informatica in un ambiente protetto: è altamente sconsigliato fare questo tipo di “prove” in qualità di semplici utenti, anche avendo la consapevolezza che si tratta di una truffa.