Apertura Phishing

[Reid]

Ciao a tutti....vi volevo chiedere: dato che tante volte mi arrivano delle mail di probabile Phishingn se aprirle con una macchina virtuale è sicuro o no?

in questo modo potrei capire i vari indirizzamento dei siti e dei link che mi arrivano.

Inoltre ho trovato che esistono anche dei Brower virtuali, se copio e incollo il link in questo browser è sicuro?

Vi linko per farvi vedere cosa intendo https://www.browserling.com

Voi avete altri modi per verificare?

grazie mille

[faxus]

Sì, la macchina virtuale è un sandbox di fatto.

Browser virtuali non ne conosco, ma credo siano anche loro sandboxati.
In ogni caso l'apertura di email di phishing non comporta rischi.
Solo se apri link o segui altre istruzioni potrebbe esserlo.

E il phishing, se è tale, in genere non contiene allegati.

Se ti doti di Santa e BlockBlock stai comunque abbastanza al sicuro anche navigando coi browser nel sistema
https://github.com/google/santa
https://objective-see.com/products/blockblock.html

[kato]

Però un minimo di rischio, ovvero dare conferma che la propria email sia valida, viene dall'apertura delle email con immagini o link personalizzati. E questo include aprire i messaggi in una macchina virtuale visto che è il link a fare la spia.

[faxus]

un minimo di rischio, ovvero dare conferma che la propria email sia valida, viene dall'apertura delle email...

Sì, certo.

È la sicurezza quasi matematica di riceverne altre.
Come d'altra parte, anche mettersi a indagare sulla provenienza.

Cosa che ha scarso senso pratico e sicuri fastidi

[Reid]

Sì, la macchina virtuale è un sandbox di fatto.

Browser virtuali non ne conosco, ma credo siano anche loro sandboxati.
In ogni caso l'apertura di email di phishing non comporta rischi.
Solo se apri link o segui altre istruzioni potrebbe esserlo.

E il phishing, se è tale, in genere non contiene allegati.

Se ti doti di Santa e BlockBlock stai comunque abbastanza al sicuro anche navigando coi browser nel sistema
https://github.com/google/santa
https://objective-see.com/products/blockblock.html

Ah perfetto, quindi installando Santa e BlockBlock, anche cliccando sul Link in mail e di conseguenza aprirlo con safari non mi crea problemi.

Ottimo allora li scarico.

Chiedo perché stamattina mi è arrivata la mail di poste italiane con un messaggio e alla fine il link. Mi è venuto un dubbio sulla provenienzia e allora l'ho aperto con il browser virtuale. Poi mi sono venuti altri dubbi sulla pericolosità e allora ho chiesto .

Il mio ragionamento di base era:" se apro il link in una macchina virtuale, in teoria se si dovesse scaricare qualcosa, non me lo fa sul mac, ma sulla macchina virtuale e quindi posso stare tranquillo"

[Reid]

Però un minimo di rischio, ovvero dare conferma che la propria email sia valida, viene dall'apertura delle email con immagini o link personalizzati. E questo include aprire i messaggi in una macchina virtuale visto che è il link a fare la spia.

Ah, questa non la sapevo....

[Kernel Panic]

Chiedo perché stamattina mi è arrivata la mail di poste italiane con un messaggio e alla fine il link.....

Il mio ragionamento di base era:" se apro il link in una macchina virtuale, in teoria se si dovesse scaricare qualcosa, non me lo fa sul mac, ma sulla macchina virtuale e quindi posso stare tranquillo"

1 - Ma tu sei registrato al sito delle Poste?

2 - Se ti scarica qualche software malevolo corri dei rischi concreti se sei su Winzozz, su Mac molto meno.

[Reid]

Chiedo perché stamattina mi è arrivata la mail di poste italiane con un messaggio e alla fine il link.....

Il mio ragionamento di base era:" se apro il link in una macchina virtuale, in teoria se si dovesse scaricare qualcosa, non me lo fa sul mac, ma sulla macchina virtuale e quindi posso stare tranquillo"

1 - Ma tu sei registrato al sito delle Poste?

2 - Se ti scarica qualche software malevolo corri dei rischi concreti se sei su Winzozz, su Mac molto meno.

1- Si, e aspettavo vari pacchi.

2- Anche se sono in macchina virtuale rischio? cioè, quello che scarico nella virtuale non mi si scarica sul mac.... corretto?

[Kernel Panic]

Rischia il sistema operativo ospite (virtualizzato) però ....

[Reid]

Rischia il sistema operativo ospite (virtualizzato) però ....

va be, al massimo quello si cancella.... no?

Il pc rimane intatto....in teoria

[faxus]

Esatto, eliminandolo si elimina tutto

[Reid]

Ho letto la caratteristiche di BlockBlock.

Mi sembra di aver capito che si basa su delle regole che gli impone l'utente.
Che crea un registro in base alle scelte che di volta in volta, al presentarsi dell'installazione del file, l'utente sceglie.

Essendo che se si dovesse presentare un avviso di potenziale blocco, con le relative caratteristiche, io non saprei cosa fare, c'è un modo per capire se devo accettare o meno l'installazione? Basta secondo te magari cercando il nome on-line?

Ho magari timore di creargli un registro falsato.


Ora sto leggendo come agisce Santa, pazzesco. E' il primo programma che trovo che analizza in un modo cosi profondo le questioni malevoli.

Da quanto ho capito si possono settare due preferente, Monitor e Lockdown. Per essere prevedente meglio a questo punto lockdown giusto?
Nel momento in cui lui reputasse una stringa di codice malevole, non la cancella?

devo solo capire come si installa ma penso che Santa lo metto sicuramente.

grazie!!

[faxus]

... [BlockBlock]... ... c'è un modo per capire se devo accettare o meno l'installazione?...

In genere l'avviso appare quando stai effettuando un'installazione.

Oppure quando hai autorizzato un helper ad aggiornare automaticamente un'applicazione.
In entrambe i casi sono cose di cui sei consapevole.

Dal nome dell'estensione, demone, agente riconosci facilmente che si tratta di una cosa conosciuta.
E che hai autorizzato l'azione.

Se non è così, o non ti sembra riconoscibile, fai una ricerca.
Nel caso che la ricerca confermi un sospetto o ti riveli che si tratta di malware, blocca l'azione.
Trova la causa del tentativo di installazione.
Cerca i file del download e quelli installati in cartelle non critiche per l'eliminazione.

Trovare la causa è importante.
Potrebbe essere un altro adware/malware già installato che ne sta attirando di nuovo.
Oppure si tratta di software indesiderato.
Lo troverai come bundle nel pacchetto d'installazione di qualcosa di lecito che hai scaricato e stai installando.

Strumenti complementari:
DetectX, per l'analisi di adware o malware attivo nel sistema
Suspicious Package, per analizzare I pacchetti d'installazione

... [Santa]... ... si possono settare due preferente, Monitor e Lockdown. Per essere prevedente meglio a questo punto lockdown giusto?...

È sufficiente monitor.

Ne approfitto per aggiornare.
Così posto anche eventuali novità

[faxus]

... Ne approfitto per aggiornare.
Così posto anche eventuali novità

Adesso aggiornerò il topic negli aggiornamenti di terze parti.

In effetti è la prima stabile disponibile delle versione 1.0.
In pratica la prima definitiva.

Si può ora sostituire la v. 0.9.3 di un anno fa.

La novità sostanziale della 1.x è che introduce Endpoint Security per 10.13+
E KAuth per i precedenti.

Più altre importanti modifiche della struttura

[Reid]

Perfetto, mi hai convinto a metterli entrambe.

Nella mia limitata conoscenza comprendo però l'improntata e l'efficacia.

ps: sarò stupido io, ma da GitHub non riesco a capire come si installa. Non trovo l'installar. Trovo solo codici. Vedo se c'è qualche tutorial in giro...