Che cos'è un drive-by download attack e come funziona?
L'industria della sicurezza delle informazioni a volte può essere un posto piuttosto strano, specialmente quando si tratta di termini e definizioni. C'è molta confusione e dibattito anche su argomenti che ormai dovremmo conoscere molto bene. I cosiddetti attacchi "download drive-by" non fanno eccezione.
Table of Contents
La confusione su ciò che è e cosa non è un attacco di download drive-by
Tutti sono d'accordo su cosa fa effettivamente un download drive-by. Installa un'applicazione dannosa indesiderata o definitiva sul tuo computer a tua insaputa o consenso. Dagli odiosi dirottatori del browser alle informazioni che rubano malware e keylogger: praticamente ogni pezzo di software losco si adatta al conto.
L'argomento sembra ruotare attorno al fatto che il processo sia automatizzato o meno. Alcuni ritengono che un attacco possa essere classificato come download drive-by solo se non richiede assolutamente alcuna interazione da parte dell'utente. Altri sostengono che il software ombreggiato che viene installato insieme ad altre applicazioni o distribuito tramite annunci sospetti conta anche come download drive-by.
È giusto dire che è improbabile che gli esperti di sicurezza raggiungano presto un consenso in qualsiasi momento, motivo per cui proveremo a mostrarvi tutti i diversi scenari in cui potrebbe essere usato il termine "download drive-by".
Contrabbando di app sospette sul tuo computer
Probabilmente hai sentito parlare dei pericoli legati al download e all'utilizzo di software piratato e strumenti di cracking. Farlo è illegale, ma anche se sei disposto a ignorare questo fatto, dovresti considerare qualcos'altro.
Quando scarichi un'applicazione dal suo sito Web ufficiale, dichiari effettivamente di fidarti dello sviluppatore che, nella maggior parte dei casi, è un'azienda affermata che ha una reputazione e un'azienda di cui preoccuparsi. Quando scarichi software da un tracker torrent, ti fidi di qualcuno che usa un soprannome, un avatar e una cattiva grammatica.
Il software piratato non è l'unica cosa che può scaricare silenziosamente qualcosa di brutto sul tuo computer, però. A volte, un'app potrebbe sembrare legittima e comunque generare un'infezione imprevista. Alcuni sviluppatori cercano di nascondere il carico utile aggiuntivo con vari gradi di successo. Il programma di installazione potrebbe parlarti della barra degli strumenti del browser e potresti persino ottenere una casella di controllo che ti consente di annullare l'iscrizione. In altri casi, tuttavia, non ti verrà comunicato alcun software aggiuntivo che viene installato sul tuo computer.
Un clic, un botto e un wallop
No, non sei il 10.000 visitatore su questo sito web. Non hai vinto $ 1.000.000 e se fai clic su quel popup che sembra essere stato progettato con la versione di Microsoft Paint di Windows 98, non otterrai effettivamente alcun premio. Con ogni probabilità, scaricherai e installerai qualcosa che non vuoi sul tuo PC.
Lo scenario sopra è ormai piuttosto vecchio e pochissime persone potrebbero innamorarsene. È giusto dire, tuttavia, che le pubblicità losche di oggi sono molto più sofisticate e credibili. Non sono solo annunci pubblicitari.
È il 2019 e, salvo alcune eccezioni, non è necessario installare Adobe Flash per navigare in Internet. Se un popup ti dice diversamente, considera se hai davvero bisogno di essere sul sito web che stai cercando di visualizzare. Molte persone hanno abbastanza esperienza per saperlo, ma anche loro potrebbero cadere nello scenario leggermente più legittimo che dice loro che hanno bisogno di un nuovo pacchetto di font, ad esempio.
Come puoi vedere, il panorama online si sta evolvendo e i truffatori non hanno altra scelta che stare al passo con i tempi. Abbiamo già stabilito che il social engineering è una delle loro armi più potenti ed è chiaro che non eviteranno di usarlo durante un attacco di download drive-by.
Fare clic non è sempre necessario
Gli scenari che abbiamo discusso finora richiedono una qualche forma di azione per conto della vittima. Per quanto intelligenti siano alcuni di essi, dipendono tutti da almeno un clic del mouse. Con alcuni attacchi di download drive-by, tuttavia, semplicemente non è necessario.
Il download drive-by automatizzato è l'attacco più devastante del suo genere. Con esso, un'infezione riuscita non richiede altro che una vittima che visita un sito Web compromesso in cui è impostato uno script dannoso per attivare automaticamente il download. È così pericoloso perché le vittime non hanno bisogno di fare clic o approvare nulla e di solito non hanno idea di cosa sta succedendo fino a quando non è troppo tardi. Anche se dipende da una o due cose, però.
Questo tipo di download drive-by di solito coinvolge i cosiddetti kit exploit. Un exploit kit è una raccolta di codice informatico che può sfruttare varie carenze di sicurezza nelle applicazioni più diffuse. Kit di exploit diversi mirano a diverse vulnerabilità in diverse app. Quando una vittima arriva su un sito Web compromesso, il codice dannoso di solito controlla quale tipo di software è installato sul PC del visitatore e se trova un prodotto che può sfruttare, avvia il download. Succede tutto in modo rapido e silenzioso. Ma è difficile riuscire?
Ottenere il kit exploit è la parte facile. Alcuni di essi sono disponibili gratuitamente e alcuni possono essere acquistati sui forum di hacking in cambio di alcune criptovalute. Ovviamente, al fine di impiantare il kit di exploit, gli hacker devono compromettere un sito Web, ma poiché gli amministratori non prendono sempre molto sul serio il problema della sicurezza, il livello di competenze informatiche necessarie per farlo non è sempre elevato come si potrebbe pensare.
Neanche trovare vittime vulnerabili a un attacco di download drive-by tramite un kit di exploit. Le persone tendono ad usare lo stesso browser, plugin e app e, soprattutto, molti ritengono che mantenere tutto quel software aggiornato sia un fastidio che non porta realmente alcun vantaggio riconoscibile.
La popolarità dei download drive-by e come rimanere al sicuro
Va detto che la maggior parte degli attacchi informatici su larga scala di cui leggiamo in questi giorni si basano su e-mail di spam anziché su download drive-by. Per qualche ragione, i kit di exploit non sono così popolari come una volta e gli utenti sembrano essere molto più consapevoli degli annunci che fanno clic e delle app che installano. Tuttavia, esistono attacchi drive-by per il download e dovresti sapere cosa puoi fare per proteggerti.
Cominciamo con il software sul tuo computer. Va da sé che non dovresti installare applicazioni che non ti servono. Oltre a proteggerti da una varietà abbastanza ampia di attacchi (inclusi download drive-by), avere meno programmi inutilizzati sul tuo PC ne aiuterà le prestazioni. Quando installi il software, assicurati di scaricarlo dal fornitore ufficiale e cerca di evitare di cadere per l'idea sbagliata che l'installazione di applicazioni sul tuo PC non implichi altro che fare clic su "Avanti" più volte.
Successivamente, hai gli annunci che vedi ogni giorno. Internet come sappiamo non sarebbe lo stesso senza pubblicità. Aiutano a mantenere gratuiti molti dei servizi che utilizziamo ogni giorno. Allo stesso tempo, gli annunci dannosi facilitano molte frodi online e, come abbiamo già stabilito, possono portare a infezioni da malware. Pensaci due volte prima di fare clic su qualsiasi annuncio, indipendentemente da quanto possa apparire allettante.
Ultimo ma non meno importante, naviga attentamente. Nessun sito web è a prova di hacker, ma attenersi ai portali e alle community online più affermati ti dà maggiori possibilità di rimanere al sicuro.
