Che cos'è una backdoor e come prevenire gli attacchi di virus backdoor?
Pubblicato: 2021-10-11Una backdoor si riferisce a qualsiasi metodo che consente agli utenti di ignorare le procedure di autenticazione standard o la crittografia su un dispositivo. Vediamo come è possibile prevenire attacchi di virus backdoor.
Una backdoor crea un punto di ingresso alternativo in un dispositivo, una rete o un software che garantisce l'accesso remoto a risorse come database e file server.
Gli hacker scansionano il Web alla ricerca di applicazioni vulnerabili che utilizzano per installare virus backdoor. Una volta installato sul dispositivo, un virus backdoor può essere difficile da rilevare perché i file tendono ad essere molto offuscati.
L'esistenza di una backdoor nel tuo dispositivo offre agli autori la possibilità di eseguire in remoto una serie di scopi di hacking come:
- Sorveglianza
- Dirottamento del dispositivo
- Installazione di malware
- Furto di informazioni finanziarie e
- Furto d'identità
Come funzionano gli attacchi di virus backdoor?
Una backdoor può essere installata legittimamente dagli sviluppatori di software e hardware per aiutarli ad accedere facilmente alle loro applicazioni al fine di eseguire funzioni come la risoluzione di problemi software.
Ma nella maggior parte dei casi, le backdoor vengono installate dai criminali informatici per aiutarli a ottenere l'accesso illegittimo a un dispositivo, una rete o un'applicazione software.
Affinché i criminali informatici possano installare con successo un virus backdoor sul tuo dispositivo, devono prima trovare un punto debole (vulnerabilità del sistema) o un'applicazione compromessa nel tuo dispositivo.
Alcune vulnerabilità di sistema comuni includono:
- Software senza patch
- Porte di rete aperte
- Password deboli
- Firewall deboli
Le vulnerabilità possono essere create anche da un malware come i trojan. Gli hacker utilizzano i trojan esistenti su un dispositivo per creare backdoor.
Un trojan è un tipo di programma dannoso spesso mascherato da software legittimo per rubare dati o installare una backdoor. Utilizzando una qualche forma di ingegneria sociale, induce gli utenti a scaricare e aprire il trojan sui propri dispositivi.
Una volta attivato, un trojan backdoor offre agli hacker il controllo remoto del dispositivo infetto. Possono svolgere tutti i tipi di attività dannose, inclusi il furto, la ricezione e l'eliminazione di file, il riavvio del dispositivo e l'installazione di altro malware.
Una volta che i criminali informatici hanno violato e fatto irruzione nel tuo computer attraverso un'infezione backdoor, vorranno assicurarsi di potervi rientrare facilmente, sia che si tratti di rubare le tue informazioni, installare software di mining di criptovalute, dirottare il tuo dispositivo o sabotare il tuo attività commerciale.
E gli hacker sanno che può essere difficile continuare a violare un dispositivo, soprattutto se la vulnerabilità viene riparata. Ecco perché installano un codice chiamato backdoor sul dispositivo di destinazione in modo che anche se la vulnerabilità viene risolta, la backdoor rimane per farli entrare nel dispositivo.
In che modo gli hacker utilizzano gli attacchi di virus backdoor oggi?
Gli hacker ottengono l'accesso al tuo dispositivo attraverso varie tecniche di intrusione backdoor come l'associazione delle porte, l'approccio di riconnessione, l'abuso della disponibilità della connessione e l'approccio del protocollo di servizio standard: è piuttosto complicato. Tuttavia, comporta l'inganno del tuo dispositivo, del firewall e della tua rete.
Una volta installato il virus backdoor, gli hacker possono eseguire attività dannose come:
- Software dannoso ransomware che infetta il tuo dispositivo e ti impedisce di accedere ai tuoi file personali a meno che tu non paghi una commissione, di solito sotto forma di bitcoin.
- DDoS (Distributed-Denial-of-Service) attacca i tentativi dannosi di interrompere e rendere non disponibile un sito Web o un servizio online inondandolo e bloccandolo con troppo traffico. Questo traffico può includere richieste di connessione, pacchetti falsi e messaggi in arrivo.
- Il software spyware con intenti dannosi si infiltra nel tuo dispositivo. Raccoglie quasi ogni forma di dati, comprese le informazioni personali come le informazioni sul conto bancario o di credito, le abitudini di navigazione in Internet, i nomi utente e le password.
- Il cripto-jacking, chiamato anche mining crittografico dannoso, è una minaccia online che si nasconde nel tuo computer o telefono e utilizza le sue risorse a tua insaputa per estrarre valute online come bitcoin per qualcun altro.
Esempi reali di attacchi backdoor di successo
#1. Hacking del canale YouTube di MarcoStyle
Uno YouTuber di nome MarcoStyle è stato hackerato nel 2019 quando ha risposto a un'e-mail di un'azienda che cercava di fare pubblicità sul suo canale. La società sembrava legittima, ma quando Marco ha fatto clic su un collegamento allegato all'e-mail, un programma di installazione si è nascosto nel suo computer. Ha notato che qualcosa non andava nel suo PC quasi immediatamente, quindi ha interrotto l'alimentazione, ha eseguito una nuova installazione di Windows e ha modificato le informazioni di accesso.
Sfortunatamente, gli hacker erano già arrivati al suo account Google ed avevano estratto il suo canale YouTube dal suo Gmail, che aveva oltre 350.000 iscritti.
Marco ha informato YouTube ma non prima che il suo canale fosse venduto su un sito web russo per i canali YouTube compromessi. Hanno cambiato la sua immagine del profilo e il nome in "Brad Garlinghouse" e hanno rimosso tutti i suoi video. Cinque giorni dopo, gli hacker hanno avviato un live streaming in cui, secondo quanto riferito, hanno rubato circa $ 15.000 agli spettatori di Marco.
Sono persino riusciti a essere verificati da YouTube, cosa che Marco aveva provato innumerevoli volte ma è stata negata. Ci sono voluti undici giorni dopo l'hack perché YouTube riprendesse il canale di Marco.
Questo è un esempio di come gli hacker utilizzano collegamenti dannosi come metodo comune per installare virus backdoor sui dispositivi.
#2. L'attacco ransomware WannaCry
L'attacco ransomware WannaCry nel 2017 è probabilmente il miglior esempio di come gli hacker possono lanciare un attacco di virus backdoor su un'azienda quando non vengono applicate le patch.
L'attacco, che ha colpito oltre 230.000 computer in 150 paesi, è stato propagato tramite EternalBlue, un exploit sviluppato dalla NSA per le finestre più vecchie. Un gruppo di hacker noto come Shadow Brokers ha rubato EternalBlue, ha installato la backdoor DoublePulsar, quindi ha crittografato i dati e ha richiesto $ 600 in bitcoin come pagamento del riscatto.
Microsoft aveva rilasciato la patch che proteggeva gli utenti da questo exploit per diversi mesi, ma molte aziende interessate, incluso l'ospedale NHS, non l'hanno applicata. Nel giro di pochi giorni, migliaia di interventi chirurgici ospedalieri del SSN in tutto il Regno Unito sono stati interrotti e le ambulanze sono state deviate, lasciando incustodite le persone in condizioni critiche.
A seguito dell'attacco, 19.000 appuntamenti sono stati cancellati, costando al servizio sanitario nazionale ben 92 milioni di sterline. Si stima che l'attacco a Wannacry abbia causato 4 miliardi di dollari di perdite in tutto il mondo.
Alcune aziende che hanno pagato il riscatto hanno recuperato i loro dati, ma la ricerca mostra che la maggior parte no.
#3. Attacco SolarWinds Sunburst Backdoor
Il 14 dicembre 2020, in SolarWinds sono state scoperte backdoor dannose note come Sunburst e Supernova. SolarWinds è un'importante azienda di tecnologia dell'informazione con sede negli Stati Uniti che crea software per aiutare le aziende a gestire le proprie reti, sistemi e infrastrutture IT.
I criminali informatici hanno violato i sistemi SolarWinds con sede in Texas e aggiunto codice dannoso nel software dell'azienda Orion, un sistema software ampiamente utilizzato dalle aziende per gestire le risorse IT.
Inconsapevolmente, SolarWinds ha inviato ai suoi clienti aggiornamenti del software Orion che includevano codice dannoso. Quando i clienti hanno scaricato gli aggiornamenti, il codice dannoso si è installato e ha creato una backdoor sui loro dispositivi che gli hacker hanno utilizzato per spiarli.
SolarWinds ha riferito che 18.000 dei suoi 300.000 clienti sono stati colpiti dal software Orion backdoor. Le perdite assicurate dall'attacco sono state stimate in $ 90.000.000, rendendolo uno degli attacchi alla sicurezza informatica più significativi di sempre.
#4. Backdoor trovate su iPhone
In uno studio del 2020 della Ohio State University, della New York University e dell'Helmholtz Center of Information Security, migliaia di app Android contengono una backdoor. Delle 150.000 app testate, 12.705 hanno mostrato comportamenti segreti che indicavano la presenza di una backdoor.
I tipi di backdoor trovati includevano chiavi di accesso e password principali che potevano consentire lo sblocco remoto dell'app e il ripristino della password dell'utente. Sono state trovate anche alcune app con la possibilità di eseguire comandi segreti da remoto.
Le backdoor nei telefoni consentono ai criminali informatici e al governo di spiarti facilmente. Possono portare a una perdita totale di dati e danni irreparabili al sistema.
Sei vulnerabile agli attacchi di virus backdoor?
Sfortunatamente, la maggior parte delle persone ha molti difetti sui propri account online, reti e persino dispositivi Internet of Things (IoT) che li rendono vulnerabili agli attacchi di virus backdoor.
Di seguito sono riportate una serie di tecniche che gli hacker sfruttano per installare backdoor sui dispositivi degli utenti.
#1. Backdoor nascoste/legittime
A volte, gli sviluppatori di software installano di proposito backdoor nascoste per fornire loro l'accesso remoto per svolgere attività legittime come l'assistenza clienti o la risoluzione di bug del software. Gli hacker cercano tali backdoor per ottenere l' accesso illegittimo al software.
#2. Porte di rete aperte
Gli hacker cercano porte di rete aperte da sfruttare perché possono accettare traffico da siti remoti. Una volta che entrano nel tuo dispositivo attraverso una porta aperta, lasciano backdoor che consentono loro di accedere al tuo dispositivo ancora e ancora senza essere rilevati.
È necessario identificare le porte che si desidera eseguire sul server e limitarle, quindi chiudere o bloccare le porte che non sono in uso per impedire che vengano esposte su Internet.
#3. Caricamenti di file senza restrizioni
La maggior parte dei server Web consente di caricare immagini o file PDF. Una vulnerabilità backdoor si verifica quando non si riesce a limitare i file caricati solo al tipo di file previsto.
Questo crea una backdoor per i criminali informatici per caricare un codice arbitrario sul server Web in modo che possano tornare in qualsiasi momento ed eseguire qualsiasi comando desiderino. Il modo migliore per correggere questa vulnerabilità è convalidare il tipo di file che un utente può caricare prima di accettarlo.
#4. Iniezioni di comando
Un altro tipo di vulnerabilità che potrebbe portare a un attacco di virus backdoor è l'iniezione di comandi. In questo tipo di attacco, l'hacker mira a eseguire un comando sul dispositivo di destinazione sfruttando un'applicazione web vulnerabile. È difficile rilevare questo tipo di infezione backdoor perché non è facile capire quando un utente malintenzionato sta tentando di attaccare un dispositivo.
Il modo più efficace per prevenire le vulnerabilità dell'iniezione di comandi consiste nell'utilizzare una valida convalida dell'input dell'utente che impedisce l'ingresso di dati formati in modo errato in un sistema.
#5. Password deboli
Le password deboli come il tuo compleanno o il nome del tuo primo animale domestico sono facili da decifrare per gli hacker. Quel che è peggio è che la maggior parte delle persone usa un'unica password per tutti i propri account online, il che significa che se gli hacker ottengono la password per un account, può essere più facile ottenere il controllo di tutti gli altri account.
Anche le password deboli o predefinite sui dispositivi IoT sono un facile bersaglio per i criminali informatici. Se ottengono il controllo, ad esempio, di un router, possono trovare la password del WiFi memorizzata sul dispositivo e l'attacco diventa piuttosto serio da lì, spesso portando ad attacchi DDoS.
Prenditi del tempo ora per aggiornare la password predefinita del tuo router e WiFi PSK e cambia la password dell'amministratore per tutti i dispositivi IoT nella tua rete.
Altri modi per prevenire gli attacchi backdoor
Un attacco di virus backdoor può passare inosservato per molto tempo perché è piuttosto difficile da rilevare: è così che gli hacker li progettano. Anche così, ci sono alcuni semplici passaggi che puoi eseguire per proteggere il tuo dispositivo dagli attacchi di virus backdoor.
#1. Usa un antivirus
Un sofisticato software antivirus può aiutare a rilevare e prevenire un'ampia gamma di malware, inclusi trojan, hacker crittografici, spyware e rootkit utilizzati frequentemente dai criminali informatici nell'implementazione di attacchi backdoor.
Un buon antivirus include strumenti come il monitoraggio WiFi, un firewall avanzato, protezione web e monitoraggio della privacy di microfono e webcam per assicurarti di essere il più sicuro possibile online.
Ciò significa che il tuo software antivirus rileverà ed eliminerà un'infezione backdoor prima che possa infettare la tua macchina.
#2. Scarica con cura
Quando si scaricano software, file o app, prestare attenzione alla richiesta di autorizzazione per installare applicazioni in bundle aggiuntive (gratuite). Questi sono chiamati PUA (Applicazioni potenzialmente indesiderate): software, file e app gratuiti che sembrano legittimi ma non lo sono. E sono spesso impacchettati con un tipo di malware, inclusi virus backdoor.
Prendi in considerazione l'installazione di un software di sicurezza online con rilevamento di malware in tempo reale e scarica sempre da siti Web ufficiali ed evita di fare clic su siti di download di terze parti (pirata).
#3. Usa firewall
La maggior parte dei software antivirus è dotata di un firewall che può aiutare a proteggere da attacchi come virus backdoor.
I firewall sono progettati per monitorare tutto il traffico in entrata e in uscita sulla rete in modo da poter filtrare le minacce.
Ad esempio, un firewall può rilevare quando un utente autorizzato sta tentando di accedere alla rete o al dispositivo e gli impedisce di farlo. I firewall possono anche essere impostati per bloccare qualsiasi applicazione sul tuo dispositivo che tenti di inviare i tuoi dati sensibili a una posizione di rete sconosciuta.
#4. Usa un gestore di password
Un gestore di password può aiutarti a generare e archiviare le credenziali di accesso per tutti i tuoi account, oltre ad aiutarti ad accedervi automaticamente.
I gestori di password utilizzano una password principale per crittografare il database delle password, quindi non è necessario digitare la password, l'e-mail o il nome utente ogni volta. Tutto quello che devi fare è salvare le tue password sul gestore di password e quindi creare una password principale.
Quando accedi a uno qualsiasi dei tuoi account, devi digitare la password principale, che compila automaticamente i dati. E la maggior parte dei gestori di password ha una funzione che ti avvisa quando i tuoi dati sono stati violati e quando la password che stai utilizzando è stata trovata in una scorta di dati utente rubati.
#5. Rimani aggiornato sugli aggiornamenti/patch di sicurezza
Gli hacker abusano di difetti noti o punti deboli di un dispositivo o di un software. Questi punti deboli possono esistere a causa della mancanza di aggiornamenti. Le statistiche mostrano che una violazione su tre è causata da vulnerabilità che potrebbero essere già state riparate.
Un altro studio mostra che il 34% (un professionista IT su tre) in Europa ha riferito che le proprie organizzazioni hanno subito una violazione a causa di vulnerabilità senza patch.
Fortunatamente, gli sviluppatori di software pubblicano spesso nuove patch per correggere le vulnerabilità nel loro software e includono impostazioni di aggiornamento automatico o danno notifiche sugli aggiornamenti.
Attiva gli aggiornamenti automatici perché è essenziale mantenere aggiornato il tuo sistema operativo perché le backdoor dipendono dall'inganno del tuo sistema operativo.
#6. Utilizza l'autenticazione a più fattori (MFA)
L'autenticazione a più fattori è progettata per migliorare la sicurezza prevenendo l'accesso non autorizzato.
Ti richiede di confermare la tua identità in più di un modo quando accedi a un'applicazione, un sito Web o un software.
L'MFA utilizza tre elementi essenziali per dimostrare la tua identità:
- Qualcosa che solo tu conosci, come una password o un pin
- Qualcosa che solo tu possiedi, come un token o il tuo smartphone
- Qualcosa che appartiene solo a te, come l'impronta digitale, la voce o i tratti del viso
Ad esempio, quando accedi a un account con una password, potresti ricevere una notifica sul telefono che ti chiede di toccare lo schermo per approvare la richiesta.
Ti può anche essere richiesto di utilizzare la password e l'impronta digitale o l'iride dell'occhio quando accedi ai tuoi account.
Parole finali
Una volta installati sul dispositivo, i virus backdoor possono essere difficili da rilevare perché i file tendono ad essere molto offuscati. E creano modi per consentire ai malintenzionati di accedere alle tue informazioni sensibili e installare altre forme di malware.
La buona notizia è che ci sono modi per proteggersi dagli attacchi di virus backdoor.
Ad esempio, puoi utilizzare una buona soluzione anti-malware o monitorare la tua attività di rete per eventuali strani picchi di dati derivanti da un intruso che tenta di hackerare il tuo dispositivo utilizzando una backdoor. E puoi anche utilizzare i firewall per bloccare tutte le connessioni non autorizzate alla tua rete.