Prevedere un attacco malware è un passatempo molto popolare, ma spesso frustrante.
Se pensiamo che “succederà qualcosa”, le probabilità che ciò avvenga o meno sono assolutamente identiche.
È proprio come pensare di anticipare le mosse di un criminale; a volte, se concentri la tua attenzione in una zona, il malintenzionato compirà le sue malefatte in un’altra, mentre altre volte accetterà la sfida e andrà proprio lì, dove tu stai cercando di acciuffarlo.
Esiste, però, un meccanismo di diffusione dei malware che ci minaccerà per tutto il 2016, forse non tanto come il veicolo più utilizzato dai cybercriminali per penetrare i vostri computer, ma certamente come uno dei più frustranti.
Stiamo parlando del cosiddetto malvertising, abbreviazione di malicious online advertising, in cui siti solitamente ineccepibili “impazziscono” per qualche momento e propongono pubblicità che nasconde malware – o materiale potenzialmente indesiderato – che cerca di scaricare sul computer del malcapitato di turno.
DA DOVE VENGONO I MALVERT?
Non è difficile capire da dove vengono i malvert, anche se tutti nella filiera pubblicitaria cercano di rispettare le regole e giocare pulito.
Forbes, ad esempio, è stata l’illustre vittima di un recente attacco. In realtà, si è trattato di un attacco su due fronti in quanto alla fine l’editore si è ritrovato a fare da vittima e da carnefice allo stesso tempo.
Il sito del famoso marchio dell’editoria è stato “dirottato” e messo in ridicolo dai pirati informatici; allo stesso tempo, il sito è stato utilizzato come potenziale vettore di infezione, un vero e proprio untore al soldo dei cybercriminali.
Ricordate che quando si parla di malvertising non si tratta per niente di annunci relativi a diete miracolose o metodi per perdere peso in tempi rapidissimi.
Non stiamo neanche parlando di improbabili premi “vinti” senza aver fatto nulla.
Ci riferiamo, piuttosto, ad una sequenza del genere:
Un criminale entra in modo fraudolento in un server di ad delivery o firma un contratto senza alcuna intenzione, naturalmente, di rispettarne le clausole.
Lo stesso criminale carica un annuncio dai contenuti illeciti, ad esempio, un file JavaScript o Flash contenente un malvert.
L’ad network accetta questa pubblicità e la inserisce nel database di opzioni a disposizione di diversi clienti.
I siti che si servono dall’ad network occasionalmente prendono e espongono questo annuncio truccato invece di un omologo legittimo.
L’utente visita uno dei siti che si riforniscono presso quell’ad network e in quel momento si espone a un grave pericolo.
Naturalmente l’utente è convinto di visitare un sito irreprensibilmente affidabile, eppure l’antivirus si attiva (o forse no).
Così per quanto ne sa il cliente, il criminale, o “hacker,” è una società il cui URL si trova nella barra degli indirizzi e il cui logo appare fiero e a chiare lettere nella parte alta dello schermo.
Abbiamo deciso di fare un esperimento interessante: cercando degli screenshot per spiegare il problema a Forbes, abbiamo scoperto che il “foistware” offerto negli annunci truccati non era in realtà un malware ma qualcos’altro di altrettanto rischioso:
Il sito prometteva uno Scaricamento Sicuro e si poneva come un sistema di installazione legittimo (la finestra di impostazione di Java nella videata qui sopra è semplicemente un’immagine all’interno di una pagina web) e alla fine, con nostra grande sorpresa, ci siamo ritrovati di fronte ad una copia identica del sistema di installazione del Java Runtime Environment.
Purtroppo, però, l’installazione intendeva riportare il computer all’aggiornamento ufficiale di Oracle risalente a ottobre 2014 che, a gennaio del 2015, era già assolutamente datato e obsoleto.
Lanciando questo “aggiornamento” avremmo riportato il nostro Java indietro di un anno – regredendo addirittura a prima del virus POODLE – e questo è forse proprio quello che avevano in mente i nostri malintenzionati. L’obiettivo, evidentemente, era quello di rendere i nostri computer più vulnerabili agli attacchi esterni facendo sì che i loro sistemi di sicurezza tornassero a caratteristiche vecchie e più facili da aggredire.
PERCHE’ GLI HACKER AMANO I MALVERT?
Come è facile immaginare, i criminali amano questo tipo di meccanismo di diffusione dei malware per una serie di motivi:
Un solo annuncio “avvelenato” su un ad server non sicuro può infettare centinaia di migliaia di siti attraverso un ad network.
I siti più visitati solitamente si avvalgono di dozzine di queste reti e anche se solo una è compromessa in un dato momento, l’intera comunità di utenti viene inevitabilmente messa a rischio.
Gli utenti probabilmente non si rendono conto degli annunci corrotti, dal momento che gli ad network cambiano il proprio contenuto a seconda dell’ora, del visitatore, del luogo e di altri criteri. Per questo identificare la fonte del problema è molto difficile.
I ricercatori che indagano sulle potenziali minacce informatiche non ottengono risultati chiari dalle denunce di malvertising, quindi acciuffare contenuti illeciti è sempre più impegnativo.
Tradizionalmente i Malvert si insinuano nelle pagine legittime, dalla reputazione impeccabile e ad alta frequentazione senza il bisogno di forzare il sito.
Preferiscono entrare dalla porta di dietro.
Per questa ragione moltissimi utilizzano gli adblocker.
Certo, molti utenti usano gli adblocker principalmente perché non amano le pubblicità o le considerano fastidiose, inutili o addirittura offensive.
Gli adblocker, però, aumentano anche la sicurezza.
La logica è molto semplice: i malvert sono una sotto-categoria degli annunci; gli adblocker bloccano gli annunci. Per la proprietà transitiva, gli adblocker bloccano anche i malware.
Perché no?
CHI NON PAGA, PAGA IL PREZZO PiU’ ALTO
Il paradosso è che le società che basano i propri ricavi sugli ad network detestano gli adblocker tanto quanto voi odiate le pubblicità, quindi si crea uno stallo all’interno dell’intera comunità.
La teoria vuole che i contenuti gratuiti, finanziati tramite gli annunci, diventeranno sempre meno comuni se continueremo a bloccare le pubblicità, in quanto non ci saranno più soldi per giustificare contenuti “gratuiti”.
Questo sembra un punto ineccepibile se non fosse smentito dai casi come quello di Forbes che abbiamo appena visto…
…il giornalista sostiene che il problema si sia verificato subito dopo la decisione di Forbes di “spegnere” le funzioni di adblocking per proteggere i propri ricavi provenienti dai contenuti gratuiti.
Alcuni test svolti da SophosLabs, tuttavia, hanno subito individuato bel oltre 100 domini pubblicitari diversi utilizzati dal famoso editore per le visite ricorrenti. Non è difficile capire, quindi, che disattivare i propri adblocker sia un’idea molto più rischiosa di quanto si possa pensare.
Un mondo che opera in questo modo e dice ai propri utenti di spegnere gli adblock perché così “è meglio per tutti” è come se dicesse di spegnere il proprio antivirus nel momento in cui si frappone tra l’utente e l’avviso di installazione di un programma. (Non fatelo assolutamente! Scegliete invece un altro prodotto che prende la sicurezza più sul serio!)
Quando si parla di sicurezza è sempre bene ricordare che le scorciatoie non fanno che aiutare i malintenzionati.