Approfondimenti sulle moderne campagne di phishing del 2019

By

Il mondo della cibersicurezza è dominato dalle notizie relative a malware, ransomware, violazioni di dati, vulnerabilità delle applicazioni, minacce portate sull’Internet delle cose e attacchi botnet. Ma il phishing è stato una seria minaccia sin dai primi anni 2000 ed è ampiamente considerato il vettore di attacco più utilizzato dai cibercriminali.

Attualmente, non si tratta di una questione di volumi, ma questo tipo di minacce di posta elettronica si è specializzato con successo nell’indurre fraudolentemente dei bersagli di elevato valore a compiere determinate azioni: fare clic su un collegamento dannoso, aprire un file contenente del malware, fornire una password o autorizzare transazioni finanziarie.

Nell’attuale corsa ai ciberarmamenti gli autori delle minacce stanno cercando costantemente di aggirare i sistemi di sicurezza. Per quanto riguarda la posta elettronica come vettore delle minacce, il phishing si è evoluto in attacchi di tipo spear-phishing, impersonazione e compromissione delle email aziendali (BEC). Si tratta di messaggi con obiettivi altamente specifici e notevole impegno sul versante dell’ingegneria sociale per scegliere e studiare accuratamente le vittime.

Volume globale di phishing in calo, con attacchi più mirati

I nostri ricercatori di Capture Labs che si occupano delle minacce hanno registrato 26 milioni di attacchi di phishing su scala mondiale, con un calo del 4,1% rispetto al 2017, secondo i dati pubblicati nel Rapporto SonicWall 2019 sulle ciberminacce. Durante tale periodo, il cliente medio SonicWall si è trovato a dover affrontare 5.488 attacchi di phishing.

Volume globale di attacchi di phishing nel 2018

Dato che le imprese stanno diventando sempre più capaci di bloccare gli attacchi via email, mettendo i dipendenti in grado di individuare e cancellare i messaggi sospetti, i cibercriminali stanno cambiando tattica. I nuovi dati indicano che stanno riducendo il volume complessivo di attacchi e lanciando attacchi di phishing molto più mirati (es., attacchi Black Friday e Cyber Monday).

Vediamo quali sono le cinque tattiche più comuni utilizzate dai phisher per sottrarre credenziali, installare malware, infiltrare le reti e danneggiare i marchi.

  1. URL dannosi e siti web falsi o spoofing dei siti web
    Per via dei miglioramenti delle soluzioni di sicurezza della posta elettronica che riducono il phishing, i cibercriminali stanno cercando metodi innovativi per eseguire attacchi mirati, come utilizzare URL come arma nei messaggi di posta elettronica per installare contenuti dannosi o creare siti web di phishing con false pagine di login per acquisire credenziali di accesso degli utenti. Alla fine del 2017 è stato riferito che ogni mese sono stati creati 1,5 milioni di siti di phishing. Rilevare i siti di phishing è diventato sempre più difficile poiché i phisher dissimulano gli URL di phishing con tutta una serie di reindirizzamenti e di URL abbreviati.Inoltre circa la metà dei siti di phishing utilizza certificati HTTPS e SSL, che facilitano ai cibercriminali il compito d’ingannare le loro vittime.
    Fonte: “PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users,” Avanan, August 2018.

    Secondo il rapporto di Security Intelligence di Microsoft “per gli attacchi vengono usati con sempre maggiore frequenza i siti di condivisione dei documenti e di collaborazione più noti per distribuire contenuti dannosi e falsi moduli d’accesso allo scopo di sottrarre le credenziali degli utenti”.

  2. Gli attacchi di phishing prendono di mira applicazioni ed utenti di Office 365
    Saas e servizi webmail stanno diventando il bersaglio sempre più ambìto delle campagne di phishing. Stando a quanto riferisce l’Anti-Phishing Working Group (APWG), gli attacchi di phishing ai danni di SaaS e servizi webmail sono raddoppiati nel quarto trimestre del 2018. Non sorprende che di pari passo con la crescente diffusione di Office 365 come piattaforma di posta elettronica per cloud  presso le aziende di ogni dimensione e quelle verticali Microsoft sia il marchio più impersonato.“Man mano che aumenta la quota di Microsoft nel mercato dei gateway di posta elettronica sicura (SEG), gli autori degli attacchi intelligenti prendono di mira in modo specifico le difese Microsoft” sostiene Gartner.La cosa non è assurda perché chiunque possieda una carta di credito può sottoscrivere un abbonamento ad Office 365, il che ne rende le caratteristiche di sicurezza decisamente accessibili ai cibercriminali, e, in linea teorica, consente ai gruppi criminali di mettere a punto campagne di phishing in grado di aggirare le difese Microsoft native. In effetti, in un altro studio i ricercatori hanno riscontrato che il 25% delle email di phishing aggirano la sicurezza di Office 365.
  3. Compromissione delle credenzialiA gennaio del 2019 i ricercatori di Troy Hunt hanno scoperto “Collection 1”, un lotto di 773 milioni di indirizzi di posta elettronica e 21 milioni di password in vendita su Hacker Forum. Queste combinazioni di ID e password compromesse vengono utilizzate per condurre attacchi dall’interno. Un attacco tipico comprende la sottrazione di account, che consiste nella compromissione delle credenziali aziendali di un dipendente da parte degli autori dell’attacco lanciando una campagna di phishing delle credenziali contro un’azienda o acquistando le credenziali stesse sul Darkweb a seguito di sottrazioni di dati ad opera di terzi. Gli autori dell’attacco possono utilizzare le credenziali sottratte per ottenere nuovi accessi o ulteriori privilegi. Le credenziali compromesse possono non venire scoperte per mesi e persino anni.
  4. Impersonazione, frodi a carico dei CEO e compromissione della posta elettronica aziendale (BEC)
    Secondo l’FBI la compromissione della posta elettronica aziendale (BEC) è uno scam ai danni di aziende che utilizzano fornitori esteri e/o effettuano regolarmente bonifici internazionali. Questi scam sofisticati vengono perpetrati dai criminali compromettendo gli account di posta elettronica con tecniche d’ingegneria sociale o d’intrusione informatica per effettuare bonifici non autorizzati. Si tratta di attacchi difficili da bloccare perché non contengono collegamenti o allegati dannosi ma un messaggio alla vittima che sembra provenire da un mittente affidabile che chiede di effettuare un bonifico.L’FBI Internet Complaint Center (IC3) ha reso noto l’estate scorsa che da ottobre 2013 a maggio 2018 il totale mondiale delle perdite dovute a scam BEC di cui si è venuti a conoscenza ha raggiunto i 12,5 miliardi di dollari.
  5. Allegati dannosi costituiti da file PDF e documenti Office
    Gli allegati ai messaggi di posta elettronica sono un sistema molto diffuso per l’installazione di contenuti dannosi come ransomware e malware fino a quel momento sconosciuti. I ricercatori di SonicWall Capture Labs hanno recentemente osservato un aumento sostanziale dei file PDF dannosi o fraudolenti. Questa campagna fraudolenta sfrutta la fiducia dei destinatari nei confronti dei file PDF, considerati documenti in formato sicuro ampiamente utilizzati e ritenuti affidabili nelle operazioni commerciali. Consiglio di leggere “New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics”, scritto da Dmitriy Ayrapetov, Executive Director of Product Management, per conoscere ulteriori aspetti di questi tipi di campagne di phishing ed imparare a bloccarli.

This post is also available in: Inglese

SonicWall Staff