La sicurezza informatica è un aspetto precipuo nell’attuale contesto, soprattutto in qualità di investitori che operano su piattaforme online e negli ultimi giorni due notizie ci hanno ricordato come queste tematiche siano sempre di stretta attualità.
Chi segue il blog sa bene che considero la sicurezza informatica un aspetto fondamentale (e spesso sottovalutato), tanto da aver dedicato un intero capitolo del mio libro a spiegare come proteggere i dispositivi e mettere in sicurezza gli account.
Torniamo alle due notizie che mi hanno convinto a scrivere questo approfondimento.
La prima è quella relativa all’hacking dell’exchange Kucoin, che ci ricorda quanto sia importante la scelta della piattaforma su cui operare (e le piattaforme che mi danno piena fiducia in tal senso si contano sulle dita di una mano).
Gli exchange dal punto di vista della sicurezza informatica, così come tutti i siti web e app, sono dei punti singoli di vulnerabilità e per tale ragione devono esser protetti adeguatamente.
Gli errori che si riscontrano più di frequente sono i seguenti:
- custodia di una cospicua parte delle dotazioni di monete su hot wallet, che se non adeguatamente protetti sono un facile bersaglio (molto più sicura la custodia su cold wallet);
- investimenti inadeguati sul miglioramento dell’architettura di rete e dei protocolli di sicurezza, che invece si dovrebbero appaltare a società leader di settore che garantiscano audit di sicurezza e test di penetrazione;
- mancato coinvolgimento della comunità di hackers etici (white hat hackers), attraverso la creazione di bounty program per testare le vulnerabilità del sistema, come ha giustamente sottolineato oggi il Ceo di Bybit.
Fin qui comunque, parliamo di incidenti che generalmente sono coperti da assicurazione. Invece la seconda notizia di cui sopra, è quella che dovrebbe allarmarci molto seriamente.
Una vecchia conoscenza, il trojan Cerberus
Negli ultimi giorni è tornata alla ribalta la notizia secondo cui il noto Trojan Cerberus, comparso la prima volta a metà 2019, abbia raggiunto la capacità di exploitare (mi si conceda la “licenza poetica” da buon informatico) le app di autenticazione a 2 fattori.
Google ha lanciato il suo Authenticator come alternativa ai passcode monouso basati su SMS. Poiché i codici di Google Authenticator (e delle altre app che nel frattempo sono nate) vengono generati sullo smartphone di un utente e non viaggiano mai attraverso reti mobili non sicure, gli account online che utilizzano codici Authenticator come livelli 2FA sono considerati più sicuri di quelli protetti da codici basati su SMS.
Purtroppo sembra che la nuova versione di Cerberus sia in grado di carpire i codici 2FA abusando dei privilegi di accessibilità: in sostanza quando l’app è in esecuzione, il trojan riesce a ottenere il contenuto dell’interfaccia e a inviarlo al server command and control.
Pare che questa versione di Cerberus sia ancora in Beta test, ma potrebbe essere rilasciata presto. Intanto sulle versioni attualmente disponibili sui vari forum di hacking, gli esperti di sicurezza hanno rilevato la stessa ampiezza di funzionalità che si trovano nei trojan ad accesso remoto (RAT), una classe superiore di malware.
Queste funzionalità RAT consentono agli utilizzatori di Cerberus di connettersi in remoto a un dispositivo infetto, utilizzare le credenziali bancarie del proprietario per accedere a un conto bancario online e quindi utilizzare la funzionalità OTP di Authenticator per aggirare le protezioni 2FA sull’account, se presenti.
I ricercatori di ThreatFabric ritengono che il trojan Cerberus utilizzerà molto probabilmente questa funzione per aggirare le protezioni 2FA basate su Authenticator sui conti bancari online. Tuttavia, non c’è nulla che impedisca agli hacker di aggirare la 2FA su altri tipi di account, come le caselle di posta elettronica, account di social media, reti intranet e account sulle piattaforme di trading.
Storicamente, pochissimi gruppi di hacker e ancora meno ceppi di malware hanno avuto la capacità di aggirare le soluzioni di autenticazione multifattoriale (MFA).
Se tale funzione verrà implementata su Cerberus, questo inserirà il trojan bancario in una categoria d’élite di ceppi malware.
Le raccomandazioni per proteggersi da malware e trojan sono sempre le stesse: evitiamo di cliccare su link ricevuti via sms, social o posta elettronica (anche su link che arrivano da fonti ritenute attendibili, infatti oggi è molto diffusa la modalità di utilizzo di account personali violati, per diffondere link malevoli a tutta la lista di contatti/amici).
Per quanto riguarda la protezione dei nostri account di trading, in particolare quelli crypto data la natura particolare e non regolamentata del settore, è d’obbligo adeguare i settaggi di sicurezza e abilitare le whitelist per limitare la possibilità di prelievo solo ad alcuni indirizzi.
Stay safe.
