Il mistero del quadrato nero

3 Lug 2018

Ciao a tutti,

sapete cos’è questo? No, non si tratta di una versione “alternativa” del Quadrato nero di Malevich.

Questo riquadro nero rappresenta più o meno uno screenshot scattato da una applicazione dannosa su un computer protetto dai prodotti Kaspersky Lab, come ad esempio Kaspersky Total Security. Cosa significa?

I nostri prodotti proteggono gli screenshot dal momento che i cybercriminali (e altri malfattori informatici) fanno di tutto per entrare negli account degli utenti. Le ragioni sono molte (denaro, spionaggio, manie di grandezza, controllo su mariti, mogli, nemici, concorrenza etc.), e gli intrusi impiegano metodi diversi, ma alla fine puntano sempre alla stessa cosa: accedere agli account degli utenti.

Potreste chiedervi per quale motivo i malware dovrebbero scattare screenshot. Siti e software mostrano puntini invece dei caratteri delle password, perché dovremmo preoccuparci?

In realtà ci sono vari modi per raggirare i famosi puntini.

Innanzitutto, gli utenti spesso dispongono di un’opzione che consente di visualizzare la password digitata; in secondo luogo, molti servizi mostrano sempre gli ultimi caratteri della password. In terzo luogo, alcuni servizi sostituiscono la password con dei punti solo quando l’utente passa al campo successivo di un modulo.

Inoltre, alcuni servizi non nascondono affatto le password ma utilizzano un carattere molto sottile per rendere la password illeggibile a chi si trova vicino (purtroppo, questo trucchetto non serve a nulla con i malware). Infine, esistono tanti trucchi e tool (come pwdcrack) che consentono di disattivare i puntini che nascondono le password.  Insomma, non è poi così improbabile che venga mostrata la password sullo schermo e che un malware possa approfittarne.

In realtà, è più probabile che un malware si appropri della vostra password con uno screenshot che una persona alle vostre spalle o con una telecamera di sicurezza possa sbirciare i vostri dati.

Zeus, probabilmente il Trojan bancario più famoso (e molti dei suoi cloni) vanta tra i suoi tool questa funzionalità. Ad esempio, uno dei suoi cloni (KINS) non solo fa screenshot quando l’utente digita sulla tastiera, ma anche quando clicca con il mouse. Ciò vuol dire che, anche se sul sito di home banking si utilizza una tastiera virtuale per digitare la password o ci si avvale di un codice usa e getta, il malware potrebbe comunque risalire ai caratteri digitati.

Ma non si tratta solo di password. Che dire dei numeri delle carte di credito che utilizziamo per i nostri acquisti online? O delle domande di sicurezza che si usano per entrare in un servizio o per recuperare l’accesso? Per non parlare di dati personali, contenuto dei messaggi etc etc.

Un semplice screenshot può aprire la porta a segreti e a informazioni personali; per cui, evitare che un malware possa fare uno screenshot può essere di fondamentale importanza. Funzionalità quali Safe Money o la Tastiera virtuale possono aiutare, certo, ma non tutti le usano (anche coloro che normalmente si preoccupano della sicurezza). Le funzionalità standard non possono garantire una protezione completa se i cybercriminali hanno gli screenshot come asso nella manica. Ma a questo ci pensiamo noi.

La maggior parte dei nostri prodotti include una tecnologia brevettata che protegge le funzioni API che consentono alle applicazioni di fare screenshot. Se una app prova a fare una schermata, ecco cosa succede:

  • Il nostro prodotto verifica quali applicazioni hanno delle finestre aperte;
  • In base ai dati provenienti da vari componenti e sottosistemi (come System Watcher o Safe Money), il prodotto determina se queste finestre possono contenere dati personali o sensibili;
  • Il nostro prodotto analizza il grado di affidabilità delle applicazioni che richiedono l’accesso allo schermo;
  • Il nostro prodotto decide se è possibile fare uno screenshot. E se non è possibile, si passerà al riquadro nero.

Ultimo ma non meno importante… un bonus!

La stessa tecnologia che protegge l’utente da screenshot dannosi aiuta a individuare attacchi informatici precedentemente sconosciuti. Le applicazioni che mostrano un interesse sospetto in altre “finestre” senza un vero scopo, avranno una penalizzazione sul proprio rating di affidabilità, il che rende più probabile un’analisi da parte di KSN e la sua tecnologia di apprendimento automatico (o l’oggetto potrebbe essere analizzato manualmente da un esperto). Poco a poco, grazie a uno sforzo a 360 gradi e alle menti brillanti che lavorano in questo settore, tutti insieme possiamo abbassare notevolmente il grado di pericolo della Rete, un miglioramento di cui tutti potranno beneficiare.