BluDNS srls
Assistenza tecnica da remoto, fattore di rischio per le aziende

Febbraio, 2021

Sicurezza

Assistenza tecnica da remoto, fattore di rischio per le aziende

I Vostri dipendenti installano e configurano da soli i software aziendali? E se in questo modo qualcuno dall'esterno riuscisse ad accedere alla Vostra rete?

 

Nelle grandi aziende, di solito ci sono vari tecnici IT che si occupano di installare e configurare i software aziendali su tutti i computer. In aziende più piccole, invece, avere anche una sola persona che si dedichi a questo compito rappresenta un lusso difficile da giustificare. La maggior parte delle PMI spesso assumono amministratori di sistema part-time a rotazione e che non sempre sono disponibili. Per questo, in alcune occasioni i dipendenti stessi devono configurare autonomamente i software che utilizzano per il proprio lavoro.

Tuttavia, non tutti sanno come configurare un programma più complesso, anche avendo a disposizione un manuale. Se qualcosa va storto, se l’amministratore di sistema non è raggiungibile o non c’è e se nessuno in ufficio sa come risolvere quel problema puntuale, un dipendente potrebbe avere la geniale idea di chiamare qualcuno di sua conoscenza che sappia maneggiare bene i computer.

Alcune aziende che non hanno uno staff di assistenza dedicato ormai considerano questo approccio come una consuetudine: i dipendenti pagano per il servizio che hanno richiesto per poi ricevere successivamente un rimborso. Che sia una consuetudine o meno, situazioni di questo tipo implicano la necessità di conferire un accesso remoto a una persona esterna all’azienda, il che potrebbe essere un problema.

 

Le vere minacce dell’accesso remoto

Innanzitutto, non potete sapere con certezza quanto sia esperta questa persona (che sia un tecnico IT che fornisce un servizio puntuale o un “amico di un amico del cugino del dipendente tal dei tali”), quanto prenda sul serio la sicurezza dell’azienda, la propria e, soprattutto, se si tratta di una persona di cui davvero ci si può fidare. Se consentite che il vostro personale chieda aiuto esterno senza alcun tipo di criterio (portando il controllo dei loro computer al di fuori del perimetro aziendale), potreste mettere in pericolo l’intera rete.

L’amministratore di sistema da remoto potrebbe imbattersi per caso nella corrispondenza elettronica aziendale, in bozze di contratti o in altri tipi di documenti confidenziali. Il computer che utilizza potrebbe essere vulnerabile; inoltre, non sapete in che modo protegge le credenziali di accesso al vostro computer e se qualcun altro vi ha accesso. E se la sua integrità non è proprio ineccepibile, potrebbe persino copiare dati importanti o infettare il vostro sistema a proposito.

Per non parlare del fatto che, alla ricerca disperata di una soluzione, il vostro dipendente potrebbe inconsapevolmente rivolgersi a siti di falsa assistenza tecnica, spesso pubblicizzati sui social network o in forum tematici.

Di conseguenza, la vostra azienda potrebbe subire perdite sia economiche, sia in termini di danni d’immagine. Il furto di dati o un danno possono implicare costi importanti; inoltre, se consideriamo le normative vigenti che riguardano la protezione dei dati personali, le conseguenze potrebbero essere davvero gravi.

E poi non dimentichiamo che in pochi pensano a disattivare l’accesso remoto non appena risolto il problema per il quale è stato utilizzato. Se si può accedere a un computer da un’altra ubicazione, è probabile che ci saranno altri nuovi tentativi di accesso, e stavolta senza il consenso del dipendente. Siamo a conoscenza di casi di “specialisti” che hanno manomesso volutamente i dispositivi dei propri clienti affinché si rivolgessero nuovamente a loro in cerca di una soluzione.

 

Non consentite l’accesso remoto a persone che non conoscete o di cui non avete completa fiducia

Per colpa di risorse limitate, alcune aziende sono costrette a rivolgersi alla gestione da remoto, anche se magari solo in casi puntuali. Per ridurre il rischio di incidenti informatici, dovreste attenervi alla regola d’oro di affidarvi esclusivamente a professionisti di fiducia, affinché solo loro possano avere accesso ai computer della vostra azienda.

 

  • Nella fase di selezione del vostro fornitore di servizi IT, scegliete un professionista affidabile;
  • Assicuratevi che i vostri dipendenti sappiano che ai computer aziendali possono avere accesso solo quelle persone esterne specificatamente autorizzate dall’azienda;
  • Ricordate ai dipendenti di disattivare l’accesso remoto non appena il problema è stato risolto. Nei sistemi moderni è molto facile;
  • Avvaletevi di una soluzione di sicurezza affidabile in grado di gestire le app da remoto in modo sicuro, di bloccare risorse dannose (compresi i siti di falsa assistenza tecnica) e di identificare ulteriori minacce online.

 

 

Sicurezza

Falso avviso di violazione del copyright per rubare gli account Facebook

Se ricevete un messaggio secondo il quale il vostro account Facebook sarebbe stato bloccato per violazione del copyright, non fatevi prendere dal panico. Molto probabilmente è solo un’altra campagna di phishing.

Di recente è in circolazione e sta prendendo piede una campagna di phishing volta a rubare gli account Facebook. Gli utenti ricevono delle e-mail casuali in cui si afferma che l’account potrebbe essere bannato per violazione del copyright. L’obiettivo è quello di rubare le credenziali di accesso degli utenti. In questo post vi spiegheremo come funziona questa nuova tecnica e cosa fare per non abboccare all’amo.

Chi, io?

Il messaggio dice più o meno così: “L’account Facebook è stato disattivato per aver violato i termini di Facebook. Per contestare questa decisione, è possibile cliccare su questo link”.

Quale potrebbe essere il problema? Un video che avete postato l’anno scorso dei vostri amici che ballano su una canzone di successo? Potrebbe davvero essere quello? Beh, forse: il link sembra reindirizzare a un avviso riguardante una violazione del diritto di autore musicale. L’indirizzo della pagina è facebook.com, e la pagina contiene un link a un modulo per il reclamo. Fin qui, sembra plausibile.

Temendo di perdere l’account e senza vedere alcun campanello d’allarme nell’indirizzo del link, potreste essere tentati di digitare nome, cognome e username, come richiesto. Dopo, però, apparirà una richiesta che nessuno dovrebbe seguire senza pensarci due volte: “per la propria sicurezza, digitare la password”.

E… sipario. Il vostro login e la vostra password (cioè il vostro intero account) ora appartengono ai cybercriminali.

L’abbiamo detto in passato e non ci stancheremo mai di ripeterlo: non cliccate mai sui link presenti in e-mail sospette. Anche gli utenti più accorti possono essere presi alla sprovvista da un messaggio ben scritto e ben strutturato che supera il filtro anti-spam, che sembra contenere un link affidabile e che in linea generale sembra legittimo.

Dov’è l’inganno? 

Riflettendoci bene, la truffa non è poi così brillante. In ogni fase ci sono dei segnali di avvertimento. L’importante è rimanere calmi e attenti. Il panico può portare su sentieri pericolosi anche le persone più prudenti.

Cominciamo dall’e-mail. In primo luogo, il testo stesso tradisce i truffatori. Anche se mancano i tipici errori grammaticali eclatanti che spesso vediamo nello spam, chiunque abbia dimestichezza con le comunicazioni di Facebook noterà che il testo non è poi così facile da leggere. Per ingannare i filtri anti-spam, i cybercriminali introducono piccoli errori di battitura intenzionali nel corpo dell’e-mail. In questo caso hanno usato il vecchio trucco della L maiuscola al posto della l minuscola. Se il vostro client di posta usa un carattere serif, la sostituzione è facile da individuare.

Se il font è sans-serif, potreste non percepire questo piccolo cambiamento. Ma passiamo al prossimo indizio. Prestate attenzione all’indirizzo del mittente. Il nome dice Facebook, ma l’indirizzo reale (mostrato in alcuni client in un colore grigio non ben distinguibile, purtroppo) non ha nulla a che fare con il social network. Le notifiche ufficiali di Facebook non proverrebbero mai da un indirizzo come questo.

Ora, il link nell’e-mail reindirizza su Facebook. Come abbiamo detto, questo è un altro trucco progettato per ingannare i filtri anti-spam e i destinatari. Ma la pagina non contiene un avviso ufficiale: è una nota. Fino allo scorso ottobre, qualsiasi utente poteva crearne una usando Facebook Notes. Al momento della stesura di questo post, il tool è stato disabilitato, ma è ancora possibile accedere alle vecchie note. In cima alla pagina c’è il nome utente, che in questo caso sembra plausibilmente legittimo: caso #5918694.

Si tratta di un link esterno che viene fatto spacciare per interno. Passandoci sopra con il mouse, possiamo vedere che da Facebook vi reindirizza su un sito esterno che è stato accorciato utilizzando Bitly.

Il link apre un modulo dove viene richiesto l’indirizzo e-mail o il numero di telefono collegato al vostro account Facebook. L’indirizzo della pagina assomiglia a quello di Facebook, ma uno sguardo più attento rivela che non ha nulla a che vedere con il social network.

Facendo click su Invia, si apre un modulo dove digitare la password. È qui che si conclude tutto, se in questo campo indicate la vera password, i criminali informatici l’avranno vinta.

Come proteggere il vostro account Facebook

È possibile difendersi dalla maggior parte delle campagne di phishing (non solo quelle che hanno a che vedere con Facebook) seguendo queste semplici regole.

  • Prendetevi tutto il tempo di cui avete bisogno per pensare e non fatevi prendere dal panico;
  • Controllate l’indirizzo del mittente prima di cliccare sui link presenti nelle e-mail. Ad esempio, è molto improbabile che Facebook invii notifiche da domini di posta che non sia il proprio;
  • Cercate frasi strane, errori e refusi nel corpo delle e-mail e date per scontato che qualsiasi messaggio li contenga, è da considerare sospetto;
  • Accedete sempre al vostro account attraverso l’app o digitando l’URL nella barra degli indirizzi del vostro browser (da digitare a mano, non cliccando su un link), anche quando pensate di aver ricevuto un vero e proprio avviso di violazione dei termini di servizio;
  • Evitate di indicare le vostre credenziali di accesso su pagine di terzi o su altre pagine, ma se lo avete fatto e avete perso l’accesso al vostro account, contattate immediatamente il servizio clienti.
  • Installate una soluzione di sicurezza affidabile, come Kaspersky Security Cloud , che vi avviserà quando state per aprire una pagina sospetta e vi proteggerà anche da malware, raccolte di dati, sorveglianza della webcam e altre minacce.

Sicurezza

Hanno cifrato i vostri dati: e adesso?

Ecco come ridurre al minimo le conseguenze di un attacco ransomware aziendale.

Avete letto nei nostri articoli su come proteggere la vostra rete da ogni tipo di minaccia. Tuttavia, a volte, nonostante tutte le precauzioni, un’infezione riesce a insinuarsi. In questo caso, bisogna avere sangue freddo per portare a termine operazioni rapide e decisive. La vostra risposta contribuirà a determinare se l’incidente diventerà un enorme grattacapo per l’azienda o sarà il suo fiore all’occhiello grazie a un’eccellente gestione della crisi.

Durante il processo di ripristino della situazione normale, non dimenticate di conservare testimonianze di tutte le vostre azioni, che assicurino la trasparenza agli occhi dei dipendenti e del mondo intero. E cercate di preservare ogni traccia possibile del ransomware per i successivi sforzi di localizzare qualsiasi altro strumento dannoso che prende di mira il vostro sistema. Questo significa salvare i log e altre tracce del malware che possono tornare utili durante le indagini successive.

Step 1: individuare e isolare

Il primo passo è quello di determinare la portata dell’intrusione. Il malware si è diffuso in tutta la rete? In più di un ufficio?

Cominciate a cercare i computer e i segmenti di rete infetti nell’infrastruttura aziendale e isolateli immediatamente dal resto della rete, per contenere la contaminazione.

Se l’azienda non ha molti computer, iniziate con un antivirus, una soluzione EDR e dei file log firewall. In alternativa, per implementazioni molto limitate, passate fisicamente da un dispositivo all’altro e controllate.

Se stiamo parlando di molti computer, vorrete analizzare gli eventi e i log nel sistema SIEM. Questo non eliminerà tutto il lavoro successivo di passaggio da un dispositivo all’altro, ma è un buon inizio per delineare il quadro generale.

Dopo aver isolato i dispositivi infetti dalla rete, create delle immagini disco e, se possibile, non toccate questi dispositivi fino alla fine dell’indagine (se l’azienda non può permettersi il tempo di inattività dei computer, create comunque le immagini, e salvate il dump della memoria per l’indagine).

Step 2: analizzare e agire

Avendo controllato il perimetro, ora disponete di una lista dei dispositivi i cui dischi sono pieni di file cifrati, più le immagini di quei dischi. Tutti i sistemi sono stati scollegati dalla rete e non rappresentano più una minaccia. Si potrebbe iniziare subito il processo di recupero, ma prima occupatevi della messa in sicurezza del resto della rete.

Ora è il momento di analizzare il ransomware, capire come è entrato e quali categorie lo usano di solito; va iniziato, quindi, il processo di caccia alle minacce. Il ransomware non compare dal nulla: un dropper, un RAT, un Trojan loader o qualcosa di simile lo ha installato. È necessario sradicare quel qualcosa.

Per farlo, conducete un’indagine interna. Scavate nei log per determinare quale computer è stato colpito per primo e perché quel computer non è riuscito a fermare l’assalto.

Sulla base dei risultati dell’indagine, liberate la rete dal malware avanzato e, se possibile, riavviate le operazioni aziendali. Successivamente, cercate di capite cosa avrebbe potuto fermarlo: cosa mancava in termini di software di sicurezza? Colmate le lacune riscontrate.

Step 3: fare pulizia e ripristinare

A questo punto, avrete già gestito la minaccia alla rete, così come la relativa falla da cui è passata. Ora, rivolgete la vostra attenzione ai computer che sono fuori servizio. Se non sono più necessari per l’indagine, formattate le unità e poi ripristinate i dati con il backup pulito più recente.

Se non disponete di una copia di backup adeguata, allora dovrete cercare di decifrare ciò che si trova sulle unità. Iniziate dal sito No Ransom di Kaspersky, dove potrebbe già esistere un decryptor per il ransomware in cui vi siete imbattuti e, se non esiste, contattate il vostro fornitore di servizi di sicurezza informatica per verificare l’esistenza di un aiuto. In ogni caso, non eliminate i file cifrati: di tanto in tanto appaiono nuovi decryptor, e domani potrebbe essercene uno che fa al caso vostro (non sarebbe la prima volta).

Indipendentemente dai particolari, non pagate il riscatto. Sponsorizzereste un’attività criminale, e comunque, le possibilità di ottenere indietro i vostri dati non sono alte. Oltre a bloccare i vostri dati, gli autori del ransomware potrebbero averli rubati proprio a scopo di ricatto. Infine, pagare gli avidi criminali informatici li incoraggia a chiedere più soldi. In alcuni casi, solo pochi mesi dopo essere stati pagati, gli intrusi sono tornati per chiedere un’ulteriore somma di denaro, minacciando di pubblicare tutto se non l’avessero ottenuta.

In generale, considerate qualsiasi dato rubato di dominio pubblico e siate pronti ad affrontare una fuga di informazioni. Prima o poi dovrete parlare dell’incidente: con i dipendenti, gli azionisti, le agenzie governative e, molto probabilmente, anche con i giornalisti. Apertura e onestà sono importanti e saranno sempre qualità apprezzate.

Step 4: prendere misure preventive

Un grande incidente informatico equivale sempre a grossi problemi; perciò, la prevenzione è la miglior cura. Preparatevi in anticipo a ciò che potrebbe andare storto:

  • Installate una protezione affidabile su tutti gli endpoint della rete (compresi gli smartphone);
  • Segmentate la rete e dotatela di firewall ben configurati; meglio ancora, utilizzate un firewall di nuova generazione (NGFW) o un prodotto simile che riceva automaticamente i dati sulle nuove minacce;
  • Guardate oltre l’antivirus e fate uso di potenti strumenti di caccia alle minacce;
  • Impiegate un sistema SIEM (per le grandi aziende) per ricevere notifiche immediate;
  • Informate i dipendenti sull’importanza della cybersecurity mediante sessioni regolari e interattive di formazione.