skip to main | skip to sidebar
30 commenti

Usate Ammyy Admin? Occhio, ha diffuso versioni infette

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ammyy Admin (Ammyy.com) è un’applicazione legittima, piuttosto diffusa per il controllo remoto dei computer, ma di recente dei criminali informatici hanno preso ripetutamente il controllo del sito che distribuisce l’applicazione e hanno alterato il programma d’installazione in modo che chi scaricava e installava Ammyy riceveva e installava anche uno spyware (Lurk) che ruba soldi dai conti correnti gestiti via Internet da computer insicuri.

Visto che gli amministratori di Ammyy non sembrano granché competenti nel risolvere gli attacchi (una volta passi, ma trovarsi a distribuire malware ripetutamente è inaccettabile), probabilmente non è più il caso di fidarsi.

Questo genere di attacco si chiama in gergo watering hole attack, ossia letteralmente “attacco al luogo di abbeveraggio”: invece di prendere di mira direttamente i singoli bersagli, gli aggressori attaccano un sito utilizzato dai bersagli. Sono i bersagli stessi, poi, a infettarsi quando vanno a visitare il sito.

In generale, per prevenire furti di denaro nella gestione dei conti correnti via Internet conviene procurarsi un computer (o un tablet o Chromebook) da dedicare esclusivamente a questa attività, come se fosse una sorta di terminale della banca. Su questo dispositivo non si gioca, non si usano i social network, non si risponde alla posta, non si aprono allegati, non si installa nulla a parte gli aggiornamenti del sistema operativo e l’eventuale applicazione della banca. In questo modo il rischio di infettarlo e aprire la strada ai ladri è ridotto al minimo. Ormai i costi dei computer e dei tablet sono talmente bassi che è un investimento accettabile, soprattutto se lo si confronta con il costo (monetario e di tempo) di un furto dal proprio conto corrente.


Fonti: Ars Technica, Securelist.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (30)
Paolo,

in realtà molte banche consigliano l'uso di app al posto dei pc per la gestione internet dei conti correnti. Le app per mobile sono in genere più potenti, rapide, e richiedono meno controlli attivi di quelle via siti web. Per esempio spesso non prevedono l'uso di chiavette nelle transazioni via mobile, come avviene invece per i browser.

Questo in contrasto con il tuo suggerimento di usare un pc a parte, soluzione teoricamente ottimale ma a mio parere talmente poco pratica da diventare impraticabile, soprattutto per chi si sposta molto. E' un po' come l'etichetta "non adatto ai bambini di etò inferiore ai 3 anni": mette al riparo da gran parte dei rischi, ma lo fa rendendo impossibile a un bambino fare qualsiasi cosa che abbia un minimo di interesse.

Ovviamente si presume che il telefono sia ben protetto e resettabile remotamente in caso di furto o smarrimento.
In generale, per prevenire furti di denaro nella gestione dei conti correnti via Internet conviene procurarsi un computer (o un tablet o Chromebook) da dedicare esclusivamente a questa attività, come se fosse una sorta di terminale della banca. Su questo dispositivo non si gioca, non si usano i social network, non si risponde alla posta, non si aprono allegati, non si installa nulla a parte gli aggiornamenti del sistema operativo e l’eventuale applicazione della banca. In questo modo il rischio di infettarlo e aprire la strada ai ladri è ridotto al minimo.

O anche un pc con dual boot Windows e Linux e usare quest'ultimo per la banca.

Il problema è che, nel mio caso, devo sottostare ai voleri del capo che non mi permette un'operazione del genere.
Fa parte dell'insondabile mistero di come funzionano le teste dei manager, in certi aspetti superiore anche al mistero della logica femminile (senza offesa per le donne, sto solo scherzando eh? :-) ).

Il problema è che se ci sarà un furto da un conto corrente io rischio seri guai. Non manca la fiducia nei miei confronti ma se ci fosse un ammanco, considerato che il mio predecessore ha effettivamente rubato, colpirei un nervo molto scoperto della dirigenza e questo potrebbe crearmi molti problemi: "come è avvenuto il furto? come è possibile che sia avvenuto? ma noi non abbiamo l'antivirus? mi dispiace ma siamo costretti a presentare una denuncia in cui comparirà il tuo nome in qualità di responsabile amministrativo e bla bla bla... fiducia... bla bla bla... dobbiamo rispondere alle aziende consorziate... bla bla bla... abbiamo già avuto un problema simile... bla bla bla... prendi un avvocato... siamo sicuri che si chiarirà tutto..."

Questo è, grossomodo, ciò a cui andrei incontro.

Per un periodo ho anche usato un live CD linux per le operazioni on line ma è poco pratico, specie se si devono aprire documenti collegati alle operazioni da fare.

Forse sono solo eccessivamente ansioso ma gestire soldi non miei mi fa molta paura.

Meno male che, almeno, le credenziali mie sono diverse da quelle del mio capo (che è molto più insensibile ai temi sulla sicurezza informatica) per cui, se ci fosse un furto di denaro per un virus sul suo pc, l'operazione fraudolenta risulterebbe fatta con le sue credenziali.
Si può comprare un PC apposta per le operazioni bancarie, oppure un sistema operativo avviabile da pendrive, completamente indipendente dal computer su cui gira, ad esempio cliccando su "Bootable USB stick" dalla pagina https://shop.canonical.com
Un altro sito specializzato in questo è osdisc.com
Attenzione che le spese doganali fuori UE sono metà del valore, quindi conviene comprare una sola chiavetta.
Avviare un Linux Live già montato, anche se costa qualche sterlina, è sicuramente più semplice che scaricarlo e montarlo da soli.
E usare un sistema Linux da una virtual machine sarebbe altrettanto sicuro?
Da macchina virtuale no. Da chiavetta è un po' meno sicuro perché esistono rootkit che vanno nel BIOS. L'ideale è un computer apposta, un chromrbook non è esattamente economico ma ci sono dei tablet da meno di 100 euro.
Esiste anche Tails, http://tails.boum.org
Volendo è anche possibile istallare Windows 8 o 10 su un pendrive e usarlo in modalità "Live". I dischi del sistema ospite non vengono attivati.
Ok grazie Lupo
Se volete usare GNU/Linux fatelo seriamente.

No dual boot, chiavette, pseudoinstallazioni da .exe etc.

Dedicategli un PC.

Per il resto per me si esagera un po' onestamente: sto su internet dal 2000 (dal 2005 uso solo Linux) e ho un conto corrente gestito online (anche da app su android), 2 prepagate, paypal, ebay, amazon etc. e non mi è mai successo niente.
Non vorrei portarmi sfiga da solo però credo che l'unico "equipaggiamento" per stare sicuri su internet sia avere la testa sulle spalle.
Balloto e tutti,

Se volete usare GNU/Linux fatelo seriamente....non mi è mai successo niente.

Se lo chiami GNU/Linux, non sei un utente medio di online banking :-)

Vedo proposte di usare chiavette, sistemi operativi "live", Linux e compagnia bella: ma forse non avete considerato che quello che state proponendo è incomprensibile per la stragrande maggioranza degli utenti.

L'idea di usare Linux, poi (e lo dico da utente Linux), è un overkill pazzesco. Dovrei seriamente installare, configurare e imparare un intero sistema operativo nuovo soltanto per poter fare online banking? E se poi alla fine dell'odissea il sito della banca usa ActiveX o qualche altra cretinata proprietaria che Linux non supporta?

Servono soluzioni alla portata dell'utente comune, non acrobazie da smanettoni :-)
e usare una token fornita dalla banca,non è piu sicuro?se non digiti il codice generato non fai prelievi ,bonifici e altre operazioni,se poi hai anche l avviso tramite sms?
Ma una VM no?
Fineco (penso di potere fare il nome, visto che è la prima banca online d'Italia...) ha semplicemente utente e password per entrare, più il pin dispositivo (numerico, lunghezza a piacere) più l'SMS pin (6 digit) che ovviamente non può essere intercettato da alcun malware.... soprattutto se, come nel mio caso, arriva su un telefono differente che non ha l'APP e ha solo traffico voce.
Al massimo possono vedere il mio estratto conto, niente di più. I sistemi con la chiave-token temporale sono onestamente scomodissimi visto che richiedono di avere fisicamente la chiave, molto più comodo il classico sms.
Sbattersi per installare Linux su un PC e usarlo solo per la banca non potrebbe essere un problema per il browser? Molti siti di homebanking sono piuttosto schizzinosi e si rischia di perdere ore per avere una cosa inutile.
Beh, ma pure il Chrome OS dei Chromebook non è altro che una distro Linux, per quanto semplificata da Google.
E i PC nuovi non è detto che siano puliti, vedi lo scandalo Superfish (il software spia preinstallato da Lenovo sui suoi Thinkpad).
Parlate di linux come se fosse MSDOS.
In realtà ormai l'installazione di Linux, specialmente se prendiamo in considerazione Ubuntu o Mint, è piu semplice di quella di Windows. E non pensate che una volta avviato dovrete navigare dal terminale! Preinstallato ci trovate Firefox e si può installare Google Chrome semplicemente scaricandolo dal sito di Google.
E' vero, non c'è explorer, ma questa è più una qualità che un difetto sinceramente.
Lupo della Luna ha ragione. Proprio ieri sono stato online con l'assistenza di una banca italiana, per scoprire che Chrome ha effettivamente dei problemi con il loro sito. Francamente, ripeto, credo che il consiglio di usare un pc dedicato sia impraticabile per molti utenti.
Msdos era infinitamente più semplice di Linux da installare. Floppy avviabile,
c:
Mkdir dos
copy *.* c:\dos

Installato.
Se il sito della banca ha problemi con qualsiasi altro browser direi che non avere Internet Explorer è un problema.
@pgc
Diciamo per bene le cose come stanno: Non è chrome ad avere problemi con il sito della banca, ma è il sito della banca ad avere problemi con tutti i browser ad esclusione di quello che hanno usato gli sviluppatori, perchè lo hanno sviluppato non conforme agli standard web.
Si, però la sostanza dal lato cliente non cambia. E se vi siete mai occupati di sviluppo web dovreste sapere che nessun browser è del tutto conforme agli standard w3c. Anzi. ;-)

I generatori di token dovrebbero essere sicuri, d'altra parte è un livello di autenticazione in più
Il Lupo della Luna

Per l'installazione di Msdos manca un pezzo:
a:\>sys a: c:

Altrimenti poi bisogna ogni volta avviare dal floppy :-)
@Mario B
Per l'installazione di Msdos manca un pezzo:
a:\>sys a: c:

Altrimenti poi bisogna ogni volta avviare dal floppy :-)


No non basta.
L'istruzione corretta (da quel che ricordo è semplicemente
a:\> sys c:

ma prima serve fdisk e relativa attivazione della partizione c: altrimenti il DOS non parte lo stesso nonostante i file di sistema siano stati trasferiti :-)
Maledetti nerd precisini :-P

Ma visto che parliamo di sistemi alternativi.. Per curiosità, sapete per caso se esiste un browser web moderno per dos?
@Il Lupo della Luna
Ok va bene, ma se fai un'applicazione web importante come quella della banca, devi avere almeno la decenza di "controllare" (non dico eseguire test approfonditi) che funzioni sui browser più usati, non fermarti al browser TERZO in classifica!!!
e quali sarebbero questi "web standards"? Non esiste un solo web browser totalmente compatibile con HTML5 per esempio.

Lungi da me difendere una banca, ma effettivamente la cosa mi sembra un po' più complicata di così. Anche perché garantire la compatibilità con tutti i browser costerebbe. E siccome non esistono pasti gratis...
@pgc
Quindi a tuo parere la mia banca, il quale portale (con token) funziona benissimo sia su Explorer che Firefox che Chrome ha speso milioni di euro pe rottenere questo risultato?
Io non credo proprio, basta saper scegliere le tecnologie. E' ovvio che se scegli ActiveX e sylverlight ti leghi le mani da solo.
francamente spero che le banche spendano qualcosina di più che "milioni" per la cybersecurity. La "compatibilità" di una delle decine di versioni di browsers esistenti certamente non è l'unico aspetto coinvolto nella sicurezza, ma di sicuro uno dei principali.
Poi di solito il problema che hai è che semplicemente delle parti della UI non si vedono, non puoi cliccare i pulsanti, cose così.
Ho i miei dubbi che ci siano delle parti di codice critiche gestite lato client anche perché so per certo che diversa roba bancaria è gestita con "black box": delle macchine completamente sigillate con solo le connessioni ethernet e i cavi di alimentazione che vengono montate presso i CED delle banche, per esempio le macchine che gestiscono le "chiavi" delle carte di credito.
09/09/2016 sono ancora infetti con una qualche versione di cryptolocker: state attenti!