Il grattacapo delle imprese: il proxyware

I dipendenti possono installare proxyware all’insaputa del loro datore di lavoro, introducendo ulteriori cyber-rischi aziendali.

Immaginate di venire pagati per l’accesso a una piccola porzione della vostra larghezza di banda Internet al lavoro. Non sarebbe niente male, vero? Il computer è comunque sempre acceso e avete accesso illimitato a Internet, quindi perché no? D’altronde non sono nemmeno le vostre risorse, si tratta di attrezzatura aziendale e della larghezza di banda.

Sembra tutto molto semplice, ma non c’è bisogno di fare molte ricerche per capire che quando si accetta di installare un client proxyware su un computer di lavoro, non sarà del tutto innocuo. Installando un proxyware state esponendo la vostra rete aziendale a rischi che superano di gran lunga qualsiasi reddito che potreste guadagnare dall’affare. Per dirla senza mezzi termini: nessun altro discutibile sistema per fare soldi su Internet vi fornisce una tale varietà di conseguenze indesiderabili. Ora vi spieghiamo perché è pericoloso.

Cos’è il proxyware?

I ricercatori di Cisco Talos hanno coniato il termine proxyware e hanno segnalato il fenomeno in profondità. Essenzialmente, un servizio proxyware agisce come un server proxy. Installato su un computer fisso o uno smartphone, rende la connessione Internet del dispositivo accessibile a terzi. A seconda di quanto tempo il programma rimane abilitato e quanta larghezza di banda gli è permesso di utilizzare, il cliente accumula punti che possono essere convertiti in valuta e trasferiti su un conto bancario.

Naturalmente, questi tipi di servizi non devono essere usati per scopi illegali, e hanno alcune applicazioni legittime. Per esempio, alcuni si rivolgono ai dipartimenti di marketing di grandi aziende, che hanno bisogno del maggior numero possibile di punti di accesso al web in diverse regioni geografiche.

Perché il proxyware su un computer aziendale è una cattiva idea

Anche se i servizi di proxyware affermano che gli “inquilini” sono innocui, a volte si verificano problemi, tra cui il danno alla reputazione dell’indirizzo IP e l’affidabilità del software.

Depotenziamento dell’indirizzo IP

Il problema più comune con il proxyware per gli utenti dei computer su cui gira, o anche per l’intera rete se ha un singolo indirizzo IP, è che i servizi spesso incontrano i CAPTCHA, il cui scopo è quello di garantire che solo le persone possano accedere a una risorsa online. Un computer con proxyware solleva sospetti, e anche giustamente.

Un modo in cui gli “affittuari” di banda possono usare i computer carichi di proxyware è quello di scansionare il web o misurare la velocità di accesso ai siti web distribuendo regolarmente un flusso di richieste, e questo non piace ai sistemi automatici di protezione DDoS. Può anche essere un segno di qualcosa di ancora più losco, come lo spam.

Tenete a mente che le conseguenze possono essere molto più disastrose per l’azienda, con richieste automatiche che atterrano sull’indirizzo IP dell’organizzazione su una lista di indirizzi non sicuri. Così, per esempio, se il server di posta elettronica opera sullo stesso indirizzo, ad un certo punto i messaggi dei dipendenti potrebbero smettere di raggiungere i destinatari esterni. Altri server di posta elettronica inizieranno semplicemente a bloccare l’indirizzo IP e il dominio dell’organizzazione.

Falsi clienti proxyware

Un altro rischio che i dipendenti corrono nell’installare il proxyware è che possono scaricare qualcosa di indesiderato. Provate a fare così: andate su Google e cercate “honeygain download”. Otterrete un paio di link al sito ufficiale dello sviluppatore e centinaia di link a siti di file-sharing senza scrupoli, la metà dei quali include “contenuti bonus” con i loro download.

Che tipo di “contenuto bonus”? Beh, i ricercatori descrivono uno di questi installer trojanizzati come distribuire un programma di estrazione di criptovaluta (che divora le risorse e l’elettricità di un PC) e un tool, per connettersi al server di comando dei criminali informatici, da cui qualsiasi altra cosa può essere scaricata in ogni instante.

Questo tipo di proxyware può mettere fuori uso l’intera infrastruttura IT di un’organizzazione. Potrebbe anche portare ad un ransomware capace di cifrare i dati, richieste di riscatto e altro. In sintesi, il proxyware è sinonimo di pericolo per un’azienda.

Installazione nascosta di proxyware

La maggior parte degli scenari assomiglia a quanto detto sopra: conseguenze non volute di installazioni intenzionali (anche se a volte non autorizzate). A volte succede anche il contrario, con un dipendente che cattura un vero malware su un sito sospetto, e quel malware installa un client proxyware modificato sul computer. Questo non è altro che un problema: computer rallentati, meno banda di rete e, potenzialmente, furto di dati.

Consigli per le imprese

Il modo migliore per combattere lo sfruttamento criminale attraverso il proxyware è quello di installare una soluzione antivirus affidabile su ogni computer con accesso a Internet. Non solo questo proteggerà la vostra azienda dagli effetti dannosi del proxyware, ma se tale proxyware include, o è incluso in altri malware, sarete comunque coperti.

Per essere chiari, neanche con il proxyware “pulito” sarete del tutto fuori pericolo. Una sana politica di sicurezza non dovrebbe permettere a nessuno di installare proxyware o qualsiasi altro software discutibile sui computer dei dipendenti, indipendentemente dal fatto che i computer siano in ufficio o che i dipendenti si colleghino alla VPN dell’organizzazione. Come regola, la maggior parte degli impiegati non ha bisogno, e non dovrebbe avere il permesso, di installare software sui loro computer in modo indipendente.

Consigli