CyberSecurity

Microsoft, con il supporto della Linux Foundation e delle autorità statunitensi, ha smantellato ONNX, una delle principali infrastrutture di Phishing-as-a-Service (PhaaS). Conosciuta anche come Caffeine o FUHRER, la piattaforma era un punto di riferimento per campagne globali di phishing. L’operazione, formalizzata attraverso un’ordinanza del tribunale distrettuale della Virginia, ha portato alla chiusura di 240 domini malevoli.

ONNX, attiva dal 2017, aveva guadagnato notorietà nella prima metà del 2024, offrendo strumenti sofisticati per attacchi di phishing a pagamento. I cybercriminali potevano abbonarsi a piani mensili che variavano tra 150 e 550 dollari, ricevendo kit preconfigurati, sistemi per bypassare l’autenticazione a due fattori (2FA) e hosting resistente ai blocchi. Si stima che dalla piattaforma partissero ogni mese decine di milioni di email fraudolente mirate a colpire aziende e utenti di servizi come Microsoft 365, Google e Dropbox.

Una delle tecniche più innovative adottate da ONNX era il “quashing”, un phishing che utilizza QR code malevoli inseriti in documenti PDF. Questo sistema ingannava le vittime, indirizzandole verso falsi portali di accesso simili a quelli autentici. L’approccio si dimostrava particolarmente insidioso nei contesti aziendali, sfruttando dispositivi personali integrati nei programmi BYOD (Bring Your Own Device), complicando il lavoro dei sistemi di sicurezza.

L’infrastruttura tecnica di ONNX includeva meccanismi per garantire l’efficacia e la persistenza degli attacchi. Tra questi, l’uso di JavaScript criptato per eludere i sistemi di rilevamento e hosting a prova di censura per rallentare la chiusura dei domini compromessi. Inoltre, integrava bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con le vittime. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, persino con account dotati di sistemi di autenticazione avanzati.

Il colpo di grazia a ONNX è arrivato grazie all’opera di un ricercatore di sicurezza, che ha identificato e reso pubblica l’identità del presunto responsabile della piattaforma. Questo ha permesso a Microsoft e alle autorità di intervenire tempestivamente, bloccando le operazioni della rete e sequestrando i domini utilizzati per le attività illecite.

https://blogs.microsoft.com/on-the-issues/2024/11/21/targeting-the-cybercrime-supply-chain/

https://www.securityopenlab.it/news/4315/microsoft-smantella-linfrastruttura-phaas-onnx.html

L'articolo Cybercrime: Microsoft smantella l’infrastruttura PhaaS ONNX proviene da Rivista Cybersecurity Trends.

Il Threat Intelligence Team di D3Lab ha individuato una nuova campagna di phishing ai danni di Trenitalia, veicolata attraverso un’email fraudolenta che simula un avviso relativo a un pagamento non andato a buon fine per un presunto viaggio effettuato dalla vittima.

Il contenuto dell’email:

“Gentile Cliente,Il pagamento dell’ultimo viaggio di 19,99€ non è andato a buon fine e non abbiamo potuto addebitare la tua carta a causa di fondi insufficienti. Ti preghiamo di completare il pagamento adesso per evitare ritardi nella prenotazione del tuo prossimo viaggio e possibili pagamenti tardivi delle tariffe. Tieni presente che se il pagamento non viene ricevuto, ciò potrebbe portare all’emissione di un ordine di responsabilità nei tuoi confronti e verranno sostenuti ulteriori costi. Grazie per la tempestiva attenzione. Trenitalia”.

Cliccando sul link presente nell’email, gli utenti vengono indirizzati a una pagina clone creata per simulare il portale ufficiale di Trenitalia per il pagamento delle sanzioni, con l’obiettivo di indurle a effettuare il pagamento della multa. Attraverso questa tecnica, i cybercriminali mirano ad appropriarsi dei dati sensibili delle vittime.

Il Clone, infatti, richiede l’inserimento di nome e cognome, dati della carta di credito (numero, scadenza e cvv), indirizzo email e codice OTP di conferma.

D3Lab invita tutti gli utenti a prestare la massima attenzione. È fondamentale non cliccare su link sospetti ricevuti via SMS o e-mail e non divulgare mai le proprie informazioni sensibili (come username, password, indirizzo e-mail, telefono, etc.).

Gli Indicatori di Compromissione (IoC) relativi alla campagna sono stati resi disponibili da D3Lab sul loro sito ufficiale.

https://www.d3lab.net/nuova-campagna-di-phishing-ai-danni-di-trenitalia/

L'articolo Phishing ai danni di Trenitalia proviene da Rivista Cybersecurity Trends.

Il National Institute of Standards and Technology (NIST) sta lavorando a una revisione fondamentale delle sue linee guida sulla sicurezza per i produttori di dispositivi IoT, puntando ad aggiornare il documento Foundational Cybersecurity Activities for IoT Device Manufacturers (NIST IR 8259), pubblicato per la prima volta nel 2020. Questo documento è un pilastro fondamentale per guidare i produttori di dispositivi IoT nelle attività essenziali di sicurezza informatica da implementare prima di immettere i propri prodotti sul mercato.

Negli ultimi anni, il panorama tecnologico è cambiato rapidamente, e con esso anche le sfide legate alla sicurezza informatica. Per questo motivo, il NIST vuole ampliare l’approccio, passando dalla sicurezza dei singoli dispositivi a una visione più ampia che consideri interi ecosistemi IoT, inclusi software, gateway e infrastrutture di supporto.

Tra le novità proposte ci sono un maggiore focus sull’analisi del rischio, sulla modellazione delle minacce, sulle specificità dei diversi settori, come IT, IoT industriale (IIoT) e OT, l’integrazione di nuovi strumenti di sicurezza e una riflessione sulle implicazioni delle tecnologie emergenti come l’intelligenza artificiale e le realtà immersive. Inoltre, il NIST vuole esplorare il legame tra la riparabilità dei dispositivi e la loro sicurezza, così come il bilanciamento tra il ciclo di vita del supporto tecnico e quello dei componenti fisici.

L’aggiornamento non si limiterà a rafforzare i principi già esistenti ma terrà conto anche delle lezioni apprese attraverso progetti specifici e nuove pubblicazioni. Il workshop del 4 dicembre sarà un’occasione per la comunità di contribuire a questa evoluzione, condividendo idee e feedback su come migliorare ulteriormente le linee guida. L’obiettivo del NIST è chiaro: fornire ai produttori strumenti sempre più efficaci per affrontare le sfide di un IoT in continua evoluzione.

https://www.nist.gov/blogs/cybersecurity-insights/kicking-december-4th-workshop-nist-revisiting-and-revising-foundational

L'articolo NIST al lavoro per aggiornare la sicurezza IoT: revisione del NIST IR 8259 proviene da Rivista Cybersecurity Trends.

Il Black Friday, che quest’anno cade il 29 novembre, porta con sé un’ondata di offerte e promozioni irresistibili. Tuttavia, è fondamentale prestare attenzione e valutare con cura ogni acquisto per evitare rischi, senza lasciarsi trascinare dall’entusiasmo delle offerte.

Per aiutare i consumatori, la Polizia Postale ha pubblicato tre utili consigli per garantire acquisti online sicuri e consapevoli.

Ecco i 3 consigli della Polizia Postale e per la Sicurezza Cibernetica per acquistare in sicurezza:

1) ATTENZIONE AI SITI CLONE: visitare e utilizzare solo i siti web ufficiali verificando che l’URL sia corretto.

2) METODO DI PAGAMENTO: per acquistare online evitare trasferimenti diretti di denaro o bonifici bancari, utilizzate carte di pagamento prepagate o ricaricabili.

3) DIFFIDARE DELLE OFFERTE IMPERDIBILI: evitate di cliccare impulsivamente su link ricevuti via e-mail e sugli annunci sponsorizzati sui social network che propongono offerte estremamente vantaggiose. Contattate il venditore attraverso i canali ufficiali e verificate la veridicità dell’offerta.

https://www.commissariatodips.it/notizie/articolo/black-friday-acquistare-in-sicurezza/index.html

L'articolo Black Friday: i consigli della Polizia Postale per acquistare in sicurezza proviene da Rivista Cybersecurity Trends.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le “Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”, un documento di riferimento per contrastare il rischio di accessi abusivi e migliorare la sicurezza cibernetica in Italia.

Le Linee Guida affrontano le minacce di accessi non autorizzati da parte di insider e attacchi esterni, proponendo misure pratiche e normative. Vengono approfonditi aspetti cruciali come la gestione dei rischi connessi alla supply chain, al controllo degli accessi privilegiati, alla formazione del personale amministrativo e alle attività di monitoraggio e auditing interno.

Questo documento si integra nel contesto della Strategia nazionale di sicurezza cibernetica, orientata a rafforzare la resilienza digitale di enti pubblici e privati inclusi nel Perimetro di sicurezza nazionale cibernetica, in conformità con il decreto-legge 105/2019. ACN, attraverso funzioni di vigilanza e supporto, guida l’adozione delle migliori pratiche per la protezione delle infrastrutture digitali.

Contestualmente, si è insediato il Tavolo NIS, istituito per l’attuazione della normativa europea sulla sicurezza delle reti e dei sistemi informativi. Sotto la guida del Direttore Generale Bruno Frattasi, il tavolo ha approvato strumenti operativi come una nuova piattaforma di censimento dei soggetti pubblici e privati regolati dalla disciplina NIS. Questa piattaforma sarà ufficialmente presentata il 27 novembre durante un evento all’Università La Sapienza di Roma, con la partecipazione del Sottosegretario Alfredo Mantovano, Autorità delegata alla sicurezza della Repubblica.

Questi interventi di ACN segnano un ulteriore progresso verso il consolidamento della sicurezza cibernetica del Paese, rafforzando la capacità dell’Italia di prevenire e mitigare rischi legati alla protezione dei dati e alle infrastrutture cibernetiche.

Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”

https://www.acn.gov.it/portale/en/w/online-le-linee-guida-per-il-rafforzamento-della-protezione-delle-banche-dati-rispetto-al-rischio-di-utilizzo-improprio-

L'articolo ACN rilascia le linee guida per proteggere le banche dati proviene da Rivista Cybersecurity Trends.

È stata individuata una campagna di phishing che utilizza in modo fraudolento il nome e il logo dell’Arma dei Carabinieri. Le e-mail incriminate, con mittente “carabinieri.assistenzaservizio@gmail.com”, sono scritte in italiano e mirano a trarre in inganno gli utenti con un contenuto ingannevole che simula una comunicazione ufficiale.

Nel corpo del messaggio, si fa riferimento a presunti procedimenti penali a carico del destinatario e si invita a consultare con urgenza un documento allegato. Questo documento, presenta i loghi dell’Arma dei Carabinieri e del Ministero della Difesa, nonché una falsa firma dell’ex Comandante dell’Arma. Nel documento si fornisce all’utente la comunicazione di un presunto “procedimento legale” a suo carico relativo a contenuti pedopornografici, e si invita a rispondere con urgenza per evitare conseguenze legali dovute a un mancato riscontro. L’obiettivo è quello di sottrarre dati sensibili alla vittima.

Per proteggersi da attacchi di questo tipo, il CSIRT Italia consiglia agli utenti e alle organizzazioni di verificare scrupolosamente le e-mail ricevute e adottare le seguenti misure preventive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese;
• evitare di fornire i propri dati sensibili a soggetti di dubbia affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e al CSIRT Italia.

Infine, il CSIRT Italia raccomanda di valutare la verifica e l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC), forniti in allegato alla seguente comunicazione ufficiale.

https://www.csirt.gov.it/contenuti/campagna-malevola-a-tema-arma-dei-carabinieri-al02-241203-csirt-ita

L'articolo Phishing: campagna malevola a tema Arma dei Carabinieri proviene da Rivista Cybersecurity Trends.

Microsoft ricerca è alla ricerca di un Security Technical Specialist per la sede di Roma in modalità ibrida.

Overview

The Microsoft Security organization’s mission of making the world a safer place has never been more important. As threats become more frequent and sophisticated, we must work to keep our customers safe through our Security Solutions. The Solution Specialist Unit team within the Microsoft Security organization is at the forefront of this effort, engaging directly with customers to contribute to their success. As the largest security company in the world, we are ideally placed to think outside the box to help our customers make the world a safer place.

Microsoft is on a mission to empower every person and every organization on the planet to achieve more. Our culture is centered on embracing a growth mindset, a theme of inspiring excellence, and encouraging teams and leaders to bring their best each day. In doing so, we create life-changing innovations that impact billions of lives around the world. You can help us to achieve our mission.

Responsibilities

As a Security Technical Specialist, you will be a technical sales leader and trusted customer advisor, working with cutting-edge security technologies such as Microsoft Defender for XDR and Sentinel. You will support a v-team of other internal, partner and consulting resources to help map Microsoft solutions to customer security challenges and priorities, demonstrate and prove our solutions, and win the technical decision enabling the team to achieve/exceed quarterly and annual revenue targets. You will help solve complex security challenges for our customers, enabling them to help modernize their security architecture and posture.

• Primary technical point of contact for potential customers during the sales process, owing and driving technical win for security opportunities
• Technical understanding of cloud security architectures, solutions/technologies including Microsoft M365 Defender, Defender for cloud and Sentinel and expertise in extended detection and response (XDR), zero trust and cloud security solutions and architectures
• Remediate blockers; leads and ensures technical wins for Microsoft Security and adjacent technologies. Engages with and reaches out to customers proactively and independently; builds credibility with customers as a trusted advisor for Microsoft Security; and searches for and uses Microsoft Security customer references; and facilitates handoff to customer success for post sales deployment.
• Develop strategies and recommendations to improve the client’s security posture, shapes technical win plan and tailors Microsoft messaging to audience for security opportunities. Enhances team capabilities for extended detection and response (XDR), zero trust and cloud security and develops differentiated compete strategies for Microsoft Security for assigned customers.
• Lead technical presentations, demonstrations, workshops, architecture design sessions, explain, demonstrate, and architect the solution to help solve customer security challenges and priorities.
• Drives cross-workload support for Microsoft solutions for security. Leverages insights and coaches’ teams to align new or changing technology to customer security needs.
• Responsible for engaging with other teams within and outside the organization throughout the sales cycle. Engaging partners in sell-with scenarios and supporting their technical capabilities is key to scaling solution delivery.

Qualifications

Required/Minimum Qualifications (RQs/MQs)

• Master’s Degree in Computer Science, Information Technology, or related field AND A few years of technical pre-sales (security) or technical consulting experience (security)
  • OR Bachelor’s Degree in Computer Science, Information Technology, or related field AND a few years of technical pre-sales or technical consulting experience connected to security
  • OR several years of technical pre-sales or technical consulting experience connected to security
  • OR equivalent experience.
• Italian and English proficiency
• Experience with cloud and hybrid, or on premises infrastructures, architecture designs, migrations, industry standards, and/or technology management.

Additional or Preferred Qualifications (PQs)

• Certification in relevant technologies or disciplines (e.g., Office 365, Power BI, Azure Architect and Development exams, Cloud Platform Technologies, Information Security, Architecture).
• Sales Experience

Per tutti i dettagli e per inviare la propria candidatura, visitare la seguente pagina:

https://jobs.careers.microsoft.com/us/en/job/1789847/Security-Technical-Specialist?jobsource=linkedin

L'articolo Microsoft ricerca un Security Technical Specialist proviene da Rivista Cybersecurity Trends.

Il Consiglio dell’Unione Europea ha adottato due nuove leggi nell’ambito del “pacchetto” legislativo sulla cybersecurity per incrementare la resilienza e la capacità di risposta dell’UE contro le minacce e gli incidenti informatici. Le normative includono il “Cyber Solidarity Act” e una modifica del Cybersecurity Act (CSA) del 2019.

Cyber Solidarity Act: una rete europea per la sicurezza

La nuova legge stabilisce le capacità necessarie per rendere l’Europa più resiliente alle minacce informatiche, rafforzando al contempo i meccanismi di cooperazione tra gli Stati membri. Tra le misure principali, viene istituito un cyber security alert system, un’infrastruttura paneuropea costituita da hub informatici nazionali e transfrontalieri distribuiti in tutta l’UE. Questi hub, incaricati di rilevare, condividere informazioni e intervenire sulle minacce cyber, utilizzeranno tecnologie avanzate come l’intelligenza artificiale (IA) e la data analytics per fornire avvisi tempestivi su minacce e incidenti che attraversano i confini nazionali. Tale sistema non solo potenzierà il quadro europeo esistente, ma consentirà alle autorità e alle organizzazioni competenti di rispondere in modo più rapido, efficiente ed efficace agli attacchi informatici.

Il nuovo regolamento prevede anche un meccanismo di emergenza volto a rafforzare la preparazione e migliorare la capacità di risposta dell’UE agli incidenti informatici. Sosterrà:

• azioni di preparazione, tra cui test delle entità in settori altamente critici (sanità, trasporti, energia, ecc.) per potenziali vulnerabilità, sulla base di scenari di rischio e metodologie comuni
• una nuova cybersecurity reserve dell’UE composta da servizi di risposta agli incidenti del settore privato pronti a intervenire su richiesta di uno Stato membro o di istituzioni, organi e agenzie dell’UE, nonché di paesi terzi associati, in caso di un incidente di sicurezza informatica significativo o su larga scala
• assistenza tecnica reciproca.

Infine, La nuova legge prevede anche l’introduzione di un meccanismo di revisione degli incidenti, concepito per valutare diversi aspetti, tra cui l’efficacia delle azioni intraprese attraverso il meccanismo di emergenza informatica e l’utilizzo della riserva di cybersecurity. Inoltre, il meccanismo analizzerà il contributo del regolamento nel rafforzare la competitività dei settori industriali e dei servizi.

Modifica mirata al Cybersecurity Act del 2019

Questo emendamento punta a migliorare la resilienza informatica dell’UE, consentendo la futura adozione di schemi di certificazione europei per i cosiddetti servizi di sicurezza gestiti. Questi servizi, essenziali per prevenire, individuare, rispondere e recuperare dagli incidenti informatici, includono attività come la gestione degli incidenti, penetration testing, consulenza e supporto tecnico.

In attesa dei risultati della valutazione del Cybersecurity Act, questo emendamento permetterà di istituire schemi di certificazioni europei per tali servizi, migliorandone la qualità e la comparabilità. L’obiettivo è promuovere fornitori affidabili di servizi di sicurezza informatica, evitando la frammentazione del mercato interno, dato che alcuni Stati membri hanno già avviato programmi nazionali di certificazione per i servizi gestiti.

Dopo la firma da parte dei presidenti del Consiglio e del Parlamento europeo, entrambi gli atti legislativi saranno pubblicati nella Gazzetta ufficiale dell’UE nelle prossime settimane ed entreranno in vigore 20 giorni dopo tale pubblicazione.

https://www.consilium.europa.eu/en/press/press-releases/2024/12/02/cybersecurity-package-council-adopts-new-laws-to-strengthen-cybersecurity-capacities-in-the-eu/

L'articolo UE adotta nuove leggi per la sicurezza informatica, incluso Cyber Solidarity Act proviene da Rivista Cybersecurity Trends.

Il team anti-frode di D3Lab ha individuato una nuova campagna di phishing che prende di mira ho. Mobile, il marchio commerciale di Vodafone Enabler Italia S.r.l., società di Vodafone Italia SpA.

Il phishing si basa su una pagina fraudolenta ospitata sul dominio ho-mobile[.]cfd, creato appositamente per confondere gli utenti riprendendo il nome del sito ufficiale di ho. Mobile. L’obiettivo principale è sottrarre i dati delle carte di credito delle vittime da utilizzare per usi illeciti.

Il dominio malevolo risulta essere stato registrato a fine novembre tramite il provider statunitense Spaceship.com. Da notare che l’estensione di dominio “CFD”, pur essendo nata per il settore della moda, è stata sfruttata in questo caso per fini criminali.

D3Lab raccomanda agli utenti la massima attenzione e ricorda che la presenza del protocollo HTTPS non garantisce automaticamente la sicurezza o l’affidabilità di un sito web.

https://www.d3lab.net/campagna-di-phishing-ai-danni-di-ho-mobile/

L'articolo Campagna di phishing contro ho. Mobile proviene da Rivista Cybersecurity Trends.

Dal 9 al 12 dicembre Londra ospiterà Black Hat Europe 2024, un evento imperdibile per esplorare le ultime novità in materia di ricerca, sviluppo e tendenze nel mondo della cybersecurity. Per quattro giorni, i professionisti più brillanti e i ricercatori più innovativi si riuniranno per condividere conoscenze, esperienze e sfide emergenti.

L’evento prenderà il via con sessioni di formazione pratica, disponibili in sessioni di due o quattro giorni, con corsi disponibili per tutti i livelli di competenza. Seguiranno, l’11 e il 12 dicembre, i momenti clou della conferenza: briefing approfonditi sulle ultime tendenze, dimostrazioni di strumenti open source, spazi dedicati al networking, eventi sociali e molto altro.

I briefing saranno registrati e resi disponibili on-demand, permettendo ai professionisti di tutto il mondo di accedere ai contenuti in modo flessibile. Questo approccio ibrido garantisce una partecipazione inclusiva, sia in presenza che online, consentendo a un’ampia gamma di professionisti di accedere e beneficiare delle conoscenze condivise durante Black Hat Europe.

Per maggiori dettagli visita il sito ufficiale dell’evento:

https://www.blackhat.com/upcoming.html – europe

L'articolo Black Hat Europe 2024 proviene da Rivista Cybersecurity Trends.