La tecnica del malvertising
consiste nello sfruttare gli annunci pubblicitari presenti nei siti Web per reindirizzare gli utenti verso altri siti dannosi o installare malware sui loro computer o dispositivi mobili. Ecco come funziona questa particolare truffa e come difendersi.
La tecnica del malvertising, termine nato dalla fusione di malware con advertising, è una delle più “vecchie” e riconoscibili del cyber crime, ma ancora una delle più sfruttate e utilizzate per colpire senza lasciare traccia.
Un attacco tipico, in genere, segue una struttura molto semplice ed efficace:
- il criminal hacker acquista uno spazio pubblicitario (spesso e volentieri dei banner);
- crea un annuncio in cui inetta codice malevolo;
- pubblica l’annuncio all’interno di siti – spesso e volentieri anche legittimi;
- aspetta pazientemente di “raccogliere” i frutti del proprio lavoro.
Questo perché gli annunci pubblicitari possono reindirizzare gli utenti verso siti web dannosi o installare malware sui loro computer o dispositivi mobili.
Tecnica del malvertising: nessun sito è al sicuro
Alcuni dei siti web più popolari al mondo, tra cui quelli del New York Times, di Spotify e della Borsa di Londra, hanno inavvertitamente mostrato annunci dannosi, mettendo in pericolo utenti registrati e visitatori occasionali.
Ciò che è preoccupante è che le persone possono essere infettate pur non cliccando sulla pubblicità. Infatti, in diversi casi è sufficiente che tali elementi vengano caricati per “esprimere il loro potenziale” dannoso.
In questo caso ci troviamo davanti ad un altro “staple” del cyber crime: si tratta del “drive-by download“, perché la vittima non deve far altro che visualizzare una pagina web per finire nella trappola.
I criminal hacker usano il malvertising per distribuire varie forme di malware, tra cui anche il ransomware, ma più sovente script di cryptomining o trojan bancari.
In alcuni casi vengono installati script che eseguono operazioni generando falsi clic in background (tecnica del clic fraud).
Per gli aggressori, questa attività può essere molto redditizia.
Non dovrebbe quindi sorprendere che oggi i gruppi specializzati in malvertising siano “imprese” altamente organizzate.
Malvertising e adware: le differenze
Talvolta si confonde il malvertising con l’adware. Nel primo caso si fa riferimento a codice dannoso incluso negli annunci pubblicitari, capace di colpire gli utenti che navigano su di un sito web infetto.
L’adware è, invece, un programma che viene eseguito sul computer dell’utente. Spesso viene installato di nascosto all’interno di un pacchetto che contiene anche software legittimo, oppure finisce all’interno della macchina all’insaputa dell’utente.
Quanto è comune pe tecnica del malvertising?
Il malvertising continua a crescere a ritmo serrato. La società Confiant, per esempio, calcola che un annuncio online su duecento sia malevolo, mentre GeoEdge, società impegnata nella vendita di soluzioni anti-malvertising, stima che fino a un annuncio su cento non sia sicuro.
Nel 2017, Google ha bloccato 79 milioni di annunci che tentavano di reindirizzare le persone verso siti web dannosi e ne ha rimossi 48 milioni che suggerivano l’installazione di software indesiderati.
Gli utenti si trovano ad affrontare molteplici minacce potenzialmente rilasciate attraverso gli annunci malevoli.
Gli attacchi più comuni sono gli auto-redirects, in cui l’utente viene “spinto” fuori dalla pagina e reindirizzato altrove, in nuovo indirizzo in cui è esposto a molte minacce: truffe di phishing, attacchi ransomware, annunci dannosi che portano a sfruttare download di file automatici.
Sfortunatamente i gruppi che si macchiano di malvertising continueranno a prosperare, perché spesso è difficile consegnarli alla giustizia.
Come difendersi
Il primo passo, sembra scontato, è quello di mantenere una buona cyber igiene:
- installare un antivirus;
- tenere aggiornati tutti i software, compreso il sistema operativo, i browser, Adobe Flash e Java;
- una protezione ancora più efficace può essere ottenuta evitando del tutto l’uso di Flash (non più un problema vista la sua dismissione imminente) e Java.
Certo, potremmo essere tentati di utilizzare una soluzione come Adblocker, ma questo, naturalmente, potrebbe portare al collasso sia l’industria pubblicitaria che quella giornalistica: pensiamo – evitando di guardare il “giardino” di casa nostra – a editori di spicco nel mercato USA, come l’LA Times o il NY Times si affidano ai proventi della pubblicità per pagare giornalisti, fotoreporter, redattori e via dicendo.
Se si utilizzano browser con blocco automatico delle pubblicità, si tagliano sostanzialmente tutti gli introiti per l’editore.
Come per altre minacce cyber che richiedono uno skill level molto basso e dato che i gruppi specializzati in malvertising diventano sempre più audaci e subdoli, le strategie migliori per difendersi sono una combinazione di un sistema aggiornato che esegua software di sicurezza adeguati e la consapevolezza e awareness necessaria per riconoscere le truffe.
Perché se è vero che possiamo avere le migliori soluzioni che comprendono dei database di domini e indirizzi IP associati a queste attività, è anche vero che gli aggressori sono molto bravi a modificare rapidamente la loro infrastruttura.
Invece di giocare al gatto col topo, è possibile identificare molti dei loro modi operandi in senso proattivo.
Un piccolo inciso per quanto riguarda il malvertising mobile.
In questo caso la cosa migliore che gli utenti mobile possono fare per rimanere al sicuro è evitare app store di terze parti che non sottopongono a verifica le società che offrono le app.