CyberSecurity

Il NIST (National Institute of Standards and Technology) ha avviato una serie di blog per esplorare e spiegare l’ecosistema delle “credenziali digitali verificabili” (VDC), come le “patenti di guida mobili” o i “portafogli digitali”. Queste credenziali trasformano i documenti fisici di uso quotidiano (ad esempio, patente di guida o tessera sanitaria) in versioni digitali sicure, memorizzabili sul proprio smartphone e verificabili sia online che di persona tramite crittografia.

Cos’è una credenziale digitale verificabile?

Una credenziale digitale verificabile è essenzialmente una rappresentazione digitale di una credenziale fisica, che può essere archiviata nel tuo smartphone e verificata online o di persona tramite crittografia. Questo sistema permette di autenticare e proteggere digitalmente attributi personali (come l’età o l’identità) in un’app dedicata, solitamente un “portafoglio digitale”.

Sfide nell’implementazione delle VDC

Sebbene il concetto possa sembrare semplice, la realizzazione pratica di un sistema basato su VDC solleva sfide in termini di sicurezza, privacy e usabilità. Il NIST sta affrontando queste problematiche con l’aiuto di esperti del governo e del settore, che collaborano attraverso l’NCCoE (National Cybersecurity Center of Excellence).

Le parti principali dell’Ecosistema VDC

• Portafoglio Digitale: Applicazione mobile che contiene e protegge le VDC.
• Emittente: L’entità che rilascia la VDC, spesso una fonte autorevole come un ente governativo.
• Verificatore: Entità che autentica la validità di una VDC quando viene presentata.
• Trust Service: Servizio centrale che facilita l’accesso alle chiavi crittografiche degli emittenti.
• Relying Party: Organizzazioni che richiedono la VDC per completare transazioni o verifiche.

Esempio Pratico

Immagina di aprire un conto bancario online utilizzando la tua patente di guida mobile come VDC. Tramite un’app di portafoglio digitale, il DMV emette una patente verificabile che può essere presentata alla banca per confermare la tua identità in modo sicuro e privato.

Questa nuova serie del NIST esplorerà ulteriormente gli standard e i protocolli in evoluzione per l’ecosistema VDC, evidenziando opportunità e sfide. Per saperne di più, consulta l’articolo completo disponibile sul sito del NIST.

 https://www.nist.gov/blogs/cybersecurity-insights/digital-identities-getting-know-verifiable-digital-credential-ecosystem

L'articolo NIST: ecosistema delle credenziali digitali verificabili proviene da Rivista Cybersecurity Trends.

Sono state rilevate sei nuove vulnerabilità nei prodotti Zoom, tra cui due classificate come ad “alta gravità”. Queste vulnerabilità potrebbero consentire di ottenere privilegi elevati o di bypassare i meccanismi di sicurezza nelle istanze colpite.

Tipologia di vulnerabilità

• Elevazione di privilegi (Privilege Escalation)
• Bypass delle restrizioni di sicurezza

Prodotti e versioni interessate

Le vulnerabilità riguardano diverse versioni precedenti alla 6.2.0 dei seguenti prodotti Zoom:

• Meeting SDK for Android, versioni precedenti alla 6.2.0
• Meeting SDK for iOS, versioni precedenti alla 6.2.0
• Meeting SDK for Linux, versioni precedenti alla 6.2.0
• Meeting SDK for macOS, versioni precedenti alla 6.2.0
• Meeting SDK for Windows, versioni precedenti alla 6.2.0
• Rooms Client for iPad, versioni precedenti alla 6.2.0
• Rooms Client for macOS, versioni precedenti alla 6.2.0
• Rooms Client for Windows, versioni precedenti alla 6.2.0
• Rooms Controller for Android, versioni precedenti alla 6.2.0
• Rooms Controller for Linux, versioni precedenti alla 6.2.0
• Rooms Controller for macOS, versioni precedenti alla 6.2.0
• Rooms Controller for Windows, versioni precedenti alla 6.2.0
• Video SDK for Android, versioni precedenti alla 6.2.0
• Video SDK for iOS, versioni precedenti alla 6.2.0
• Video SDK for Linux, versioni precedenti alla 6.2.0
• Video SDK for macOS, versioni precedenti alla 6.2.0
• Video SDK for Windows, versioni precedenti alla 6.2.0
• Workplace App for Android, versioni precedenti alla 6.2.0
• Workplace App for iOS, versioni precedenti alla 6.2.0
• Workplace App for Linux, versioni precedenti alla 6.2.0
• Workplace App for macOS, versioni precedenti alla 6.2.0
• Workplace App for Windows, versioni precedenti alla 6.2.0
• Workplace VDI Client for Windows, versioni precedenti alla 6.1.12 (6.0.14 esclusa)

Il CSIRT Italia, in linea con le dichiarazioni del vendor, raccomanda di applicare le azioni di mitigazione fornite dal produttore, seguendo le istruzioni disponibili nel bollettino di sicurezza.

https://www.csirt.gov.it/contenuti/vulnerabilita-in-zoom-al04-241114-csirt-ita

L'articolo Zoom: scoperte 6 vulnerabilità proviene da Rivista Cybersecurity Trends.

Una vulnerabilità nelle API di Microsoft Power Pages sta attirando l’attenzione degli esperti di sicurezza informatica. Aaron Costello, Chief of SaaS Security Research di AppOmni, ha identificato un errore di configurazione nei controlli di accesso della piattaforma che può portare all’esposizione di milioni di dati sensibili, mettendo a rischio la sicurezza di utenti interni ed esterni.

La piattaforma Power Pages e il problema alla base

Power Pages è una soluzione low-code di Microsoft che consente di creare rapidamente siti web grazie al sistema intuitivo di drag-and-drop. La sua versatilità ne fa uno strumento apprezzato per chi desidera sviluppare siti senza particolari competenze tecniche. Tuttavia, proprio questa semplicità può diventare un’arma a doppio taglio se la configurazione dei permessi non viene gestita correttamente.

La vulnerabilità deriva da una configurazione errata dei controlli di accesso, legata a delle implementazioni non sicure. Nel dettaglio vengono assegnati permessi troppo elevati agli utenti esterni. Questi possono sfruttare le API per accedere a dati sensibili nel database.

Power Pages distingue i ruoli “Anonymous User” e “Authenticated User”. Quest’ultimo, usato per gli utenti registrati, concede privilegi troppo ampi, inclusi quelli su dati interni delle organizzazioni. L’errore è trattare gli “Authenticated User” come utenti interni, invece di limitarne i permessi come previsto per gli utenti esterni.

Gestione degli accessi in Microsoft Power Pages

Microsoft Power Pages utilizza un sistema di controllo multilivello. A livello di sito, si configurano impostazioni generali come l’autenticazione o la registrazione pubblica. A livello di tabella, si definiscono ruoli e permessi specifici (lettura, modifica, cancellazione). Infine, a livello di colonna, i profili di sicurezza permettono di limitare l’accesso a dati sensibili, mascherando informazioni critiche.

Tuttavia, questa ultima protezione è spesso trascurata, lasciando esposti dati sensibili anche agli utenti classificati come “Authenticated”. Permessi eccessivi nelle API, la registrazione aperta e configurazioni globali amplificano il rischio di accessi non autorizzati. Come spiega Aaron Costello, senza i profili di sicurezza a livello di colonna, tutte le informazioni accessibili tramite API possono finire nelle mani di utenti esterni.

Durante i suoi test, Costello ha scoperto milioni di record sensibili esposti, comprendenti nomi, email, numeri di telefono e indirizzi. Nonostante gli alert di Microsoft su configurazioni rischiose, molte organizzazioni ignorano il problema. La soluzione migliore è rimuovere i permessi elevati per gli utenti esterni e implementare profili di sicurezza per identificare e proteggere i dati sensibili. In casi più complessi, si raccomanda l’uso di endpoint personalizzati per gestire in modo sicuro le informazioni condivise.

https://www.securityinfo.it/2024/11/15/lapi-di-microsoft-power-pages-puo-esporre-dati-sensibili/

L'articolo Microsoft Power Pages: falla nelle API può esporre dati sensibili proviene da Rivista Cybersecurity Trends.

Il CSIRT Italia ha rilevato un riacutizzarsi di una campagna di phishing a tema Hype, già trattata nel bollettino AL02/240925/CSIRT-ITA. Questo attacco informatico viene perpetrato tramite SMS, con l’obiettivo di sottrarre le credenziali d’accesso ai servizi bancari delle vittime.

L’SMS, che sembra provenire da una numerazione legittima, invita l’utente a cliccare su un link per verificare la propria identità sul portale del’’istituto finanziario al fine di evitare il blocco del conto bancario.

Se la vittima clicca sul link, dopo un breve “splash screen” che simula l’app mobile ufficiale, viene presentato un form di login falso per raccogliere le credenziali bancarie. Proseguendo con l’inserimento dei dati, l’utente riceve un messaggio di errore che afferma che il login non è andato a buon fine, con la rassicurazione di essere ricontattato da un operatore per risolvere il problema. Questo passaggio è spesso utilizzato per raccogliere ulteriori informazioni necessarie all’accesso sul sito dell’istituto di credito.

Per proteggersi da questi attacchi, il CSIRT Italia consiglia alle organizzazioni e agli utenti di adottare le seguenti misure:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Inoltre, si consiglia di implementare gli Indicatori di Compromissione (IoC) sui propri sistemi di sicurezza per monitorare eventuali attività malevole.

Per maggiori dettagli, è possibile consultare il bollettino completo sul sito ufficiale del CSIRT Italia.

https://www.csirt.gov.it/contenuti/smishing-nuova-campagna-a-tema-hype-al01-241115-csirt-ita

L'articolo CSIRT Italia avvisa: smishing a tema Hype proviene da Rivista Cybersecurity Trends.

Il Consiglio europeo ha approvato una dichiarazione ufficiale sull’applicazione del diritto internazionale al cyberspazio. Questo passo rappresenta un’importante affermazione dell’idoneità del diritto internazionale come base per regolare le attività digitali e garantire che gli stati rispettino obblighi e regole quando svolgono attività nel cyberspazio.

Nel documento, l’Unione Europea evidenzia l’incremento di comportamenti ostili nel cyberspazio, come attacchi ransomware sempre più sofisticati e dannosi. Tali minacce rappresentano un pericolo significativo per il funzionamento delle società e delle economie europee, ma il cyberspazio, ribadisce la dichiarazione, non è un terreno senza regole.

Il rispetto del quadro ONU per un comportamento responsabile degli stati nel cyberspazio è considerato essenziale per mantenere la stabilità, la pace e la sicurezza a livello internazionale. L’UE e i suoi stati membri ribadiscono il loro impegno nell’applicare il quadro ONU che regola i comportamenti responsabili nel cyberspazio. Tale quadro, approvato per consenso e riaffermato più volte dall’Assemblea Generale delle Nazioni Unite (UNGA), sottolinea che il diritto internazionale, inclusi la Carta delle Nazioni Unite, il diritto umanitario internazionale e i diritti umani, è pienamente valido e applicabile anche al cyberspazio.

L’UE e i suoi stati membri continueranno a collaborare con i partner globali per creare un meccanismo ONU permanente e inclusivo, con l’obiettivo di promuovere comportamenti responsabili degli stati nel cyberspazio. Questo Programma d’azione punta a rafforzare la resilienza e la trasparenza a livello globale, migliorando la prevedibilità delle azioni degli stati nel cyberspazio. In parallelo, l’UE continuerà a offrire supporto ai paesi terzi con iniziative di formazione e sviluppo delle capacità, aiutandoli a definire una posizione chiara sull’applicazione del diritto internazionale alle attività digitali.

L’adozione del documento rafforza l’impegno europeo a costruire un cyberspazio sicuro e regolato dal diritto, dimostrando che la cooperazione internazionale può produrre risultati concreti in un’era sempre più digitale.

Questa è la prima volta che l’UE e i suoi stati membri hanno adottato una dichiarazione dedicata all’applicazione del diritto internazionale nel cyberspazio. La dichiarazione si basa sul quadro di comportamento responsabile degli stati, approvato più volte dall’UNGA, e si inserisce negli sforzi dell’ONU, in particolare nel lavoro dell’OEWG (2021-2025) istituito dalla risoluzione A/RES/75/240. Ad aprile 2024, l’EEAS ha presentato un non-paper all’HWPCI sull’argomento, che ha portato a un testo condiviso il 4 novembre 2024, poi approvato definitivamente dal COREPER il 13 novembre.

https://www.consilium.europa.eu/it/press/press-releases/2024/11/18/cyberspace-council-approves-declaration-to-promote-common-understanding-of-application-of-international-law/

L'articolo Consiglio UE approva dichiarazione sul diritto internazionale nel cyberspazio proviene da Rivista Cybersecurity Trends.

Il malware Vidar ha ripreso a colpire le caselle di posta elettronica italiane, impiegando nuove tattiche e utilizzando come sorgente di attacco caselle PEC compromesse. L’obiettivo è sottrarre informazioni sensibili e credenziali.

In questa nuova campagna gli attaccanti hanno ripristinato l’uso di file VBS dai quali viene eseguito uno script PS1, e utilizzato oltre 100 domini distinti dai quali sono stati generati randomicamente un totale di quasi un migliaio di sottodomini per il download del file VBS.

Un aspetto significativo è che le URL per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi poi a partire dalla mattina del 18 novembre, suggerendo una pianificazione strategica degli aggressori che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

La strategia di lanciare una nuova campagna ogni domenica sembra essere ormai una tattica consolidata, probabilmente per colpire le vittime all’inizio della settimana lavorativa, quando sono più propensi a fidarsi delle nuove comunicazioni ricevute. Le PEC compromesse vengono utilizzate come veicolo per ingannare i destinatari, facendoli ritenere i messaggi legittimi e affidabili.

Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/

L'articolo Vidar attacca PEC italiane la domenica con nuove strategie proviene da Rivista Cybersecurity Trends.

La sicurezza informatica è uno dei campi in più rapida crescita a livello globale, ma la strada per costruire una forza lavoro adeguatamente qualificata resta tutt’altro che semplice. In un panorama in cui le minacce informatiche evolvono continuamente, i datori di lavoro faticano a trovare talenti adeguati, mentre i professionisti emergenti spesso incontrano ostacoli significativi per entrare nel settore.

Per affrontare questa sfida, il National Institute of Standards and Technology (NIST) sta promuovendo il modello di registered apprenticeship come una soluzione pratica ed efficace per formare nuovi talenti nella sicurezza informatica. Durante la Settimana nazionale dell’apprendistato, che si celebra dal 17 al 23 novembre 2024, il NIST invita datori di lavoro e aspiranti professionisti a considerare gli apprendistati come una via per costruire una forza lavoro resiliente e altamente qualificata.

Cos’è un apprendistato in cybersecurity?

Un apprendistato è un programma di formazione retribuito sul posto di lavoro che combina istruzione pratica e mentoring con l’apprendimento teorico. Gli aspiranti professionisti della sicurezza informatica acquisiscono competenze specifiche lavorando a stretto contatto con esperti del settore, riducendo il divario tra teoria e pratica.

Al termine del programma, i partecipanti non solo acquisiscono un’esperienza pratica ma ottengono anche certificazioni riconosciute a livello nazionale, che rappresentano un vantaggio competitivo nel mercato del lavoro.

Perché gli apprendistati sulla cybersecurity sono importanti

Secondo i dati del Dipartimento del Lavoro degli Stati Uniti (DOL), nel 2023 circa 61.000 persone hanno preso parte a programmi di apprendistato in sicurezza informatica, segnando una crescita del 254% negli ultimi cinque anni. Questo dato evidenzia l’efficacia degli apprendistati nel rispondere alla domanda del settore.

Come Iniziare

Che tu sia un datore di lavoro che cerca di attingere al crescente bacino di talenti o un candidato desideroso di lanciare una carriera nella sicurezza informatica, ci sono molte risorse che possono aiutarti. Ad esempio, puoi:

• Visita il sito Apprenticeship.gov del Dipartimento del Lavoro degli Stati Uniti.
• Esplora la NICE Apprenticeship Finder Map.
• Unisciti alla NICE Apprenticeships in Cybersecurity Community.
• Dai un’occhiata al documento NICE Cybersecurity Apprenticeships Community One-Pager .
• Esplora il NICE Workforce Framework for Cybersecurity per acquisire familiarità con i ruoli lavorativi e le relative conoscenze, competenze e attività coinvolte in questo settore in crescita.

Inoltre, intermediari come Safal Partners, in qualità di National Industry Intermediary for Cybersecurity Apprenticeship Expansion, offrono ai datori di lavoro consulenza gratuita e moduli pre-approvati per avviare o potenziare i loro programmi.

L’investimento negli apprendistati rappresenta un vantaggio reciproco: i datori di lavoro possono colmare rapidamente il gap di competenze, mentre gli aspiranti professionisti ottengono un percorso strutturato e retribuito verso una carriera gratificante.

Per ulteriori informazioni, visita il blog del NIST.

https://www.nist.gov/blogs/cybersecurity-insights/unlocking-cybersecurity-talent-power-apprenticeships

L'articolo Apprendistati e Cybersecurity: la soluzione NIST per sbloccare i talenti proviene da Rivista Cybersecurity Trends.

Viviamo in un’epoca in cui la comunicazione digitale è parte integrante della nostra quotidianità, ma questa connessione costante ci espone anche a rischi invisibili. Uno dei più comuni è il fenomeno dello spam, che spesso si presenta in forme subdole e difficili da riconoscere. In questo articolo, gli esperti di Cyberment ci guidano alla scoperta del sospetto spam, come identificarlo e, soprattutto, quali strategie adottare per proteggersi da queste minacce digitali. Un piccolo passo per salvaguardare la nostra sicurezza online e navigare con maggiore tranquillità.

«Il termine sospetto spam si riferisce a comunicazioni che, pur non essendo esplicitamente dannose per il dispositivo, mostrano caratteristiche che le rendono sospette. I sospetti di spam possono riguardare

• email
• SMS
• chiamate telefoniche

Tutti contenuti che mirano a ingannare l’utente per far sì che venga indotto a fornire informazioni personali, fare clic su link pericolosi o scaricare allegati potenzialmente infetti. È essenziale saper riconoscere e proteggersi da queste minacce per garantire la sicurezza dei propri dati e dispositivi.

Come riconoscere il sospetto spam via e-mail

Le email di sospetto spam sono messaggi che possono sembrare legittimi ma che contengono segnali di allarme.
Ecco alcune caratteristiche che spesso ritroviamo nei messaggi via posta elettronica che ci possono sembrare delle e-mail di spam:

1. Mittente sconosciuto o non riconosciuto

Se ricevi un’email da un mittente che non riconosci, trattala con cautela. Controlla sempre l’indirizzo email del mittente per verificare se corrisponde a quello di un’azienda o di una persona che conosci.

Molti cybercriminali usano indirizzi email che sembrano legittimi, ma che contengono lievi variazioni (es. anziché “bank.com”, “b4nk.com”).

1. Mittente sconosciuto o non riconosciuto
   Se ricevi un’email da un mittente che non riconosci, trattala con cautela. Controlla sempre l’indirizzo email del mittente per verificare se corrisponde a quello di un’azienda o di una persona che conosci. Molti cybercriminali usano indirizzi email che sembrano legittimi, ma che contengono lievi variazioni (es. anziché “bank.com”, “b4nk.com”).
2. Messaggi non sollecitati con offerte o premi
   Se l’email promette premi, regali o offerte troppo buone per essere vere, è probabile che si tratti di spam. Questi messaggi cercano di catturare la tua attenzione e farti cliccare su un link o scaricare un allegato dannoso.
3. Errori di grammatica o ortografia nel messaggio
   Le email di spam spesso contengono errori di grammatica, ortografia o formattazione. Questo può essere un segnale di allarme che il messaggio non proviene da una fonte affidabile.
4. Link sospetti o allegati inaspettati
   Non cliccare su link o scaricare allegati se non sei sicuro della loro provenienza. Passando il mouse sopra il link senza cliccare, puoi vedere l’URL effettivo; se sembra sospetto o non corrisponde al sito web legittimo, evita di cliccarlo.
5. Richieste di informazioni personali
   Le aziende legittime non ti chiederanno mai informazioni personali (come password o dettagli bancari) via email. Se un messaggio lo fa, è probabile che sia un tentativo di phishing.

Come identificare il sospetto di spam telefonico

Anche le chiamate spam rappresentano una crescente minaccia.

Le chiamate sospette possono provenire da numeri sconosciuti o utilizzando un’identità falsificata per apparire come un contatto locale o un ente affidabile.

Se il tuo interlocutore di chiamata ti invita a fornire dati personali, effettuare pagamenti immediati o accettare offerte troppo vantaggiose, potrebbe trattarsi di spam.

Spesso queste chiamate usano messaggi preregistrati per convincerti a seguire le istruzioni del truffatore.

Come riconoscere il sospetto spam via SMS

Anche gli SMS possono essere utilizzati come veicolo per il sospetto spam. Ecco cosa fare per identificarli:

1. Se ricevi un SMS da un numero sconosciuto o che non appare nei tuoi contatti, trattalo con sospetto, soprattutto se il messaggio contiene un link o un numero di telefono da chiamare.
2. Come per le email, non cliccare mai su link presenti in un SMS sospetto. Questi link possono indirizzarti a siti web dannosi che possono rubare le tue informazioni personali o installare malware sul tuo dispositivo.
3. Gli SMS di spam spesso contengono errori grammaticali o di ortografia, che possono indicare un tentativo di truffa.
4. Nessuna azienda legittima ti chiederà mai informazioni personali o finanziarie via SMS. Se ricevi un messaggio di questo tipo, non rispondere.
5. Se ricevi un SMS che afferma che hai vinto un premio o che offre una promozione non richiesta, è probabile che si tratti di un tentativo di phishing.

Come proteggerti dal sospetto spam

Proteggersi dal sospetto spam richiede una combinazione di strumenti tecnologici e buone pratiche di comportamento.
Innanzitutto, attiva i filtri anti-spam disponibili sul tuo client di posta elettronica e utilizza applicazioni specifiche per bloccare le chiamate indesiderate sul tuo smartphone, come TrueCaller o Hiya. Questi strumenti ti aiuteranno a identificare e bloccare molte delle comunicazioni sospette prima che possano raggiungerti.

Se ricevi un’email o un messaggio sospetto, evita di cliccare su link o scaricare allegati, a meno che tu non sia assolutamente certo della legittimità del mittente. Blocca immediatamente i mittenti sospetti e segnala eventuali email di phishing al tuo provider di posta elettronica per contribuire a migliorare la protezione contro lo spam.

Per ridurre le chiamate di spam telefonico, iscriviti al Registro Pubblico delle Opposizioni, che impedisce agli operatori di telemarketing di contattarti senza il tuo consenso. Inoltre, evita di fornire informazioni personali o finanziarie per telefono, email o SMS, a meno che tu non abbia verificato attentamente l’identità del destinatario. Se hai dubbi sulla legittimità di una richiesta, contatta direttamente l’organizzazione tramite i canali ufficiali indicati sul loro sito web.

È altrettanto importante mantenere aggiornati il sistema operativo, il browser e il software di sicurezza dei tuoi dispositivi. Gli aggiornamenti periodici aiutano a proteggerti dalle nuove vulnerabilità che i cybercriminali potrebbero sfruttare per attacchi di phishing e spam.

Infine, adotta un atteggiamento vigile e consapevole quando utilizzi strumenti digitali.

La tua capacità di riconoscere potenziali minacce, insieme all’uso di strumenti di protezione adeguati, rappresenta la migliore difesa contro il sospetto spam e le truffe online».

https://cyberment.it/phishing/sospetto-spam-cosa-significa-e-come-difendersi/

L'articolo Come difendersi dal sospetto spam proviene da Rivista Cybersecurity Trends.

È stata rilevata una nuova campagna di smishing che sfrutta indebitamente i nomi e i loghi riferibili ai servizi erogati dell’Istituto Nazionale della Previdenza Sociale (INPS), puntando a carpire dati sensibili degli utenti tramite SMS ingannevoli.

I malintenzionati inviano messaggi di testo che simulano comunicazioni ufficiali da parte di INPS, avvisando il destinatario della necessità di aggiornare il proprio profilo per evitare la sospensione dei benefici dell’Istituto.

Il testo diffuso è il seguente: “INPS INFORMA: Il tuo profilo INPS va aggiornato, rinnova i tuoi dati per evitare la sospensione da INPS, per continuare (link)”.

Qualora cliccato sul link, l’utente viene reindirizzato a una pagina web che replica l’aspetto dei portali ufficiali INPS, completa di loghi e riferimenti riconducibili ai servizi erogati da INPS. Qui, dopo aver inserito i parametri “nome” e “cognome” vengono presentate una serie di pagine malevole nelle quali si richiede di caricare documenti in formato digitale, quali carta di identità (fronte/retro) e persino un selfie con il documento visibile, per “confermare la corretta identità della vittima”.

Il CSIRT Italia raccomanda utenti e organizzazioni di verificare scrupolosamente le comunicazioni ricevute e attivare le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo.

Infine, raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)  forniti in allegato sito del CSIRT Italia al seguente link.

https://www.csirt.gov.it/contenuti/rilevata-nuova-campagna-di-smishing-a-tema-inps-al03-241120-csirt-ita

L'articolo Campagna di smishing: falsi SMS a nome INPS proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) ha pubblicato il NIS Investments Report 2024, offrendo uno sguardo approfondito su come le organizzazioni europee stanno affrontando le sfide della sicurezza informatica in vista dell’implementazione della direttiva NIS 2.

Il report mira a fornire ai decisori politici dati per valutare l’efficacia del quadro di sicurezza informatica dell’UE, analizzando l’allocazione dei budget, lo sviluppo delle capacità e la maturità delle organizzazioni e mettendo in luce anche temi cruciali come l’impatto dell’intelligenza artificiale, le difficoltà di reclutamento nel settore e la preparazione per conformarsi alle nuove normative.

L’edizione 2024 del report si distingue per un campione ampliato, includendo nuovi settori ed entità previsti da NIS 2, e fornisce una panoramica pre-implementazione delle metriche rilevanti. Comprende un’analisi approfondita nei settori delle infrastrutture digitali e dello spazio, con dati raccolti da 1.350 organizzazioni in tutti i settori critici dell’UE, incluso il manifatturiero.

Risultati chiave

• La sicurezza informatica rappresenta ora il 9% degli investimenti IT dell’UE, con un aumento significativo di 1,9 punti percentuali rispetto al 2022, segnando il secondo anno consecutivo di crescita degli investimenti in sicurezza informatica dopo la pandemia.

• Nel 2023, la spesa IT media delle organizzazioni è salita a 15 milioni di euro, mentre la spesa per la sicurezza delle informazioni è raddoppiata, passando da 0,7 milioni di euro a 1,4 milioni di euro.

• Per il quarto anno consecutivo, la percentuale di IT Full Time Equivalent (FTE) dedicata alla sicurezza informatica è diminuita, dall’11,9% all’11,1%. Questa diminuzione potrebbe riflettere le sfide del reclutamento, con il 32% delle organizzazioni (e il 59% delle PMI) che hanno difficoltà a ricoprire ruoli di sicurezza informatica, in particolare quelli che richiedono competenze tecniche. Questa tendenza è particolarmente degna di nota dato che l’89% delle organizzazioni prevede di aver bisogno di personale aggiuntivo per la sicurezza informatica per conformarsi a NIS2.

• I nuovi settori NIS2 sono paragonabili in termini di spesa per la sicurezza informatica alle entità NIS Directive esistenti, con i loro investimenti ampiamente focalizzati sullo sviluppo e il mantenimento delle capacità di base per la sicurezza informatica. Le aree emergenti, come la crittografia post-quantistica, ricevono un’attenzione limitata, con solo il 4% delle entità intervistate che investono e il 14% che pianifica investimenti futuri.

• La maggior parte delle organizzazioni prevede un aumento una tantum o permanente dei budget per la sicurezza informatica per la conformità con NIS 2. In particolare, un numero considerevole di entità non sarà in grado di richiedere il budget aggiuntivo richiesto, una percentuale particolarmente elevata per le PMI (34%).

• Il 90% delle entità prevede un aumento degli attacchi informatici il prossimo anno, in termini di volume, costo o entrambi. Nonostante ciò, il 74% concentra i propri sforzi di preparazione alla sicurezza informatica internamente, con una partecipazione molto inferiore a iniziative a livello nazionale o UE. Questo divario sottolinea un’area critica di miglioramento, poiché un’efficace cooperazione transfrontaliera nella gestione di incidenti su larga scala può essere raggiunta solo a questi livelli più elevati.

• La consapevolezza complessiva tra le entità interessate è incoraggiante, con il 92% a conoscenza dell’ambito generale o delle disposizioni specifiche della direttiva NIS 2. Tuttavia, una percentuale notevole di entità in determinati nuovi settori NIS 2 non è a conoscenza della direttiva, il che suggerisce una potenziale necessità di campagne di sensibilizzazione più approfondite da parte delle autorità nazionali competenti.

• Le entità nei settori già coperti da NIS superano quelle appena incluse in NIS 2 in varie metriche di governance, rischio e conformità della sicurezza informatica. Analogamente, le entità nei nuovi settori NIS 2 mostrano un coinvolgimento inferiore e tassi di non partecipazione più elevati nelle attività di preparazione alla sicurezza informatica. Ciò evidenzia l’impatto positivo che la direttiva NIS ha avuto sui settori già inclusi e crea anticipazione per l’impatto che NIS 2 avrà sui nuovi settori.

Nel corso degli anni, i report sugli investimenti NIS hanno costruito un prezioso archivio di dati storici. Quest’anno, questi dati offrono una base solida per analizzare l’impatto di NIS 2 sulle nuove entità incluse nel suo ambito, fornendo preziose informazioni per valutazioni future.

Leggi il documento completo NIS Investments Report 2024

https://www.enisa.europa.eu/news/navigating-cybersecurity-investments-in-the-time-of-nis-2

L'articolo ENISA pubblica NIS Investments Report 2024 proviene da Rivista Cybersecurity Trends.