Pubblicità maligna: La minaccia del malvertising

Nel rapporto sulle minacce Web del 2011, redatto dal fornitore di soluzioni di sicurezza Blue Coat Systems, il malvertising dal nulla si è conquistato la terza posizione nella “top ten” dei metodi di attacco su Web nel corso del 2010.

Nel rapporto sulle minacce Web del 2011, redatto dal fornitore di soluzioni di sicurezza Blue Coat Systems, il malvertising (contrazione di malware advertising, ovvero pubblicità maligna) dal nulla si è conquistato la terza posizione nella “top ten” dei metodi di attacco su Web nel corso del 2010. Praticamente tutti i servizi Web gratuiti che utilizziamo ogni giorno, dalle ricerche online alla posta elettronica, dalle mappe al social networking e dai giochi ai siti di video, sono gratuiti solo perché finanziati dalla pubblicità online.
La pubblicità online è un enorme business che vale svariati miliardi di euro, supportato da una grossa infrastruttura di network di pubblicità multilivello. Ed è efficace non solo per gli inserzionisti legittimi ma anche per i cybercriminali.
Infatti, nel rapporto sulle minacce Web del 2011 redatto dal fornitore di soluzioni di sicurezza Blue Coat Systems, il malvertising (contrazione di malware advertising, ovvero pubblicità maligna) dal nulla si è conquistato la terza posizione nella “top ten” dei metodi di attacco su Web nel corso del 2010.

Vediamo come funziona questo nuovo fenomeno e quali conclusioni possiamo trarre per affrontarlo nel modo migliore.

PUBBLICITÀ ONLINE E MALVERTISING

I network di pubblicità operano sulla base di un modello di marketing di affiliazione, dove gli inserzionisti affidano le campagne a un vasto numero di publisher – grandi e piccoli – ai quali viene pagata una commissione per ogni contatto fornito sulla base di qualche tipo di azione misurabile che ne riconduce il traffico al sito dell’inserzionista.
Il complesso network di affiliazione funge da intermediario fra i publisher e i programmi di affiliazione, con accordi B2B che prevedono il pagamento di una tariffa sulla base del numero di persone che visitano la pagina Web, che contiene gli annunci pubblicitari online del commerciante, delle visualizzazioni o dei clic sui “call to action” (pulsanti attivi che invitano l’internauta a compiere un’azione) presenti nell’annuncio stesso.
Si tratta di un’infrastruttura grande e complessa, con un numero enorme di piccole transazioni, di relazioni commerciali e di connessioni realizzate mediante link fra annunci e destinazioni raggiunte con un clic su di essi. Domini di network pubblicitari legittimi, molto noti e di grandi dimensioni, possono esternalizzare il servizio a nuovi domini pubblicitari più piccoli e forse non così legittimi.
Con i vari gradi di separazione e automazione che passano fra il commerciante che vuol fare pubblicità e lo spazio dove questo annuncio finisce per essere collocato, la reputazione e la fiducia spesso sono presunti o ereditati attraverso i vari livelli del network di affiliazione.
Il cybercrimine ama sfruttare la reputazione e la fiducia che altri si sono guadagnati, così come la loro infrastruttura, per distribuire software nocivo al maggior numero possibile di utenti.
L’inserimento di un annuncio pubblicitario nocivo in un network di pubblicità legittima consente al cybercriminale di gettare una rete molto grande senza necessariamente sollevare una quantità di spruzzi tale da farla notare.

I cybercriminali potrebbero:

• Creare un nuovo annuncio o un dominio per annunci pubblicitari innocuo che, una volta guadagnatasi la fiducia, la reputazione e il lasciapassare della maggior parte dei sistemi di difesa, si trasforma in qualcosa di nocivo, oppure

• Infettare un’inserzione sul sito Web accreditato di terzi, utilizzando lo stesso tipo di metodi di inserimento o di “avvelenamento” utilizzati per infettare siti Web accreditati e con una buona reputazione

Una campagna pubblicitaria maligna lanciata dai cybercriminali viene gestita come qualsiasi campagna pubblicitaria reale, ma il trucco sta poi nel reindirizzare improvvisamente e in modo nascosto il messaggio pubblicitario stesso o il suo click-through per inviare un payload malware. Il payload infetta quindi il computer dell’utente, ruba login e password o sottrae denaro o dati del loro datore di lavoro.

Vediamo innanzitutto come gli annunci pubblicitari passano dal network di affiliazione alla pagina Web, e in che modo i cybercriminali approfittano dell’infrastruttura del network di affiliazione che caratterizza il mondo della pubblicità online.

Normalmente, il proprietario di un sito Web offre uno spazio pubblicitario al fornitore principale di pubblicità, quello con cui il proprietario intrattiene un rapporto.
È tutto automatizzato e quindi quando in una pagina vengono inseriti dei contenuti, ad esempio una nuova notizia, le parole chiave dell’articolo vengono rese disponibili per il software del fornitore principale di pubblicità. Ad esempio, con le parole chiave “Golf”, “Florida” e “Luxury”, si desidera attirare persone interessate a un pacchetto vacanze di fascia alta legato al golf nell’arcipelago delle Florida Keys.
Il software determina se c’é un annuncio pubblicitario utilizzabile legato all’argomento. Se il fornitore principale di pubblicità non possiede un annuncio espressamente mirato a questa tipologia di persone, o se il costo supera il limite di spesa stabilito per il piazzamento dell’annuncio in quel determinato spazio per conto del suo cliente, il software è programmato per ripiegare sul piazzamento di un annuncio meno mirato (a un prezzo inferiore) di uno dei suoi affiliati.
Se l’affiliato non ha un annuncio adeguato oppure non è disposto a pagare neanche la tariffa secondaria per l’inserimento di un annuncio generico, potrebbe scegliere di far inserire un annuncio meno costoso/generico di uno dei suoi affiliati.
Andando avanti così, sempre più in basso nella catena. È evidente che questo intreccio di accordi fra affiliato, partner, sotto-affiliato e la responsabilità indistinta fra i network di pubblicità rappresenta una grande opportunità per l’infiltrazione di annunci non autorizzati, o di un dominio di pubblicità fasullo.
Ora, come per tutta la pubblicità sul Web, gli annunci di pubblicità maligna possono essere mirati (attraverso parole chiave come “stanza di compensazione” o “protezione dei dati”) per ottenere la massima efficacia, e loro stessi creano una sorta di legame dinamico ma mirato fra i siti, tutti concepiti per attrarre un tipo specifico di utente.

TRASFORMAZIONE E TATTICHE DI TEMPORIZZAZIONE PER ELUDERE LA SICUREZZA

Una caratteristica chiave degli attacchi di malvertising è che il messaggio pubblicitario nocivo o il dominio pubblicitario nocivo si presenteranno all’inizio in veste “innocua”, permettendo ai software di sicurezza di effettuare molteplici controlli, così da ottenere valutazioni positive e una buona reputazione.
Come un agente segreto sotto copertura in attesa di entrare in azione in un racconto di spionaggio, la pazienza darà i suoi frutti. Facendo passare del tempo per farsi una buona reputazione fra i network di pubblicità e superando più e più sessioni di controllo alla ricerca di malware, il cybercriminale conquista posizioni preziose e accreditate all’interno delle strutture di pubblicità online prima di lanciare attacchi per campagne di sicuro successo. Quando l’agente ormai non più sotto copertura entra in azione, le funzioni di instradamento del messaggio pubblicitario si trasformano e conducono gli utenti che lo visualizzano o lo cliccano su un host di malware, a questo punto i collegamenti malware si scatenano dando il peggio di sé per la loro campagna mirata.
E poi il giorno dopo sono scomparsi.
Le tattiche di malvertising del cybercrimine tendono a lanciare attacchi durante il fine settimana quando il numero di risorse IT è esiguo, gli aggiornamenti dei sistemi di difesa sono in attesa di essere avviati e quindi un attacco ha meno probabilità di essere notato. È importante ricordare che i tradizionali sistemi di difesa Web si basano sugli aggiornamenti, quindi un nuovo database deve essere applicato prima che i sistemi di sicurezza possano agire contro la nuova minaccia.

TECNICHE E TECNOLOGIA FONDAMENTALI PER RENDERE INNOCUO IL MALVERTISING

I cybercriminali spesso attendono mesi per costituire infrastrutture pubblicitarie legittime e colpire gli utenti nel momento più opportuno, oltrepassando i sistemi di difesa basati sulla reputazione. È chiaro quindi che, di fronte alla pubblicità maligna, i sistemi di sicurezza non possono basarsi sulla reputazione per stabilire quali sono i messaggi pubblicitari da bloccare.
Al contrario, è necessario cercare sistemi avanzati di sicurezza che valutano in tempo reale i siti Web e gli annunci pubblicitari che portano a tali siti. Allo stesso modo, non è possibile dover attendere che il computer dell’utente effettui l’aggiornamento della sicurezza in quanto potrebbe essere troppo tardi.
Se il sistema di sicurezza in uso si affida a un periodico “Fare clic qui per aggiornare il file delle definizioni”, è probabile che non sia in grado di proteggere i vostri utenti, specialmente durante il fine settimana. La protezione degli utenti a casa o in viaggio, o anche in ufficio, deve essere erogata a richiesta e sarebbe meglio dotarsi di sistemi di sicurezza basati su un modello di sicurezza che si avvale di tecniche di cloud computing e che offre protezione on demand.