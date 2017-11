Basta mandare una notevole quantità di messaggi e il risultato è assicurato: dopo un attacco di phishing, fino al 60% dei destinatari clicca su link malevole e circa tre quarti (75%) di questi cede anche le proprie credenziali. Così, come se parlasse a un amico. I dati arrivano da un test Sdva, Social driven vulnerability assestment, condotto su quarantamilamila dipendenti di oltre venti imprese in tutta Europa da Cefriel, società del Politecnico di Milano.

Il settore bancario e quello assicurativo sono i più a rischio visto la facilità con la quale i dipendenti abboccano ai link pericolosi. Se poi qualcuno avesse bisogno di un episodio specifico basta ricordare il funzionario di Confidustria della sede di Bruxelless che recentemente ha spostato qualche centinaia di migliaia di euro su un conto rispondendo a una finta mail di un dirigente. Soldi spariti.

90% di probabilità per il phishing

Secondo un rapporto di Verizon sulla cybersecurity, un aggressore che invia dieci email di phishing ha il 90% di probabilità che una persona cada nella rete. Di attacchi ce ne sono di differenti tipi a partire dalla forma più comune di phishing che consiste nell’invio massiccio di mail fingendo di essere qualcun altro e cercando di ingannare il destinatario per convincerlo a cliccare su un sito sito web o scaricare malware. Le email hanno un’intestazione fasulla per far apparire il messaggio come se fosse stato inviato da un mittente fidato.

Tuttavia, gli attacchi di phishing non sempre sembrano un'e-mail di notifica di consegna di un pacco, la comunicazione della banca, un messaggio di avviso da PayPal sulla scadenza delle password o altro. Alcuni attacchi sono rivolti specificamente a organizzazioni e individui, mentre altri si basano su metodi diversi dalla posta elettronica.

Gli attacchi di phishing prendono il nome dall'idea che i truffatori stiano pescando vittime casuali usando come esca e-mail viziate o fraudolente.

Gli attacchi di Spear Phishing estendono l'analogia di pesca in quanto gli aggressori puntano specificamente mirati su vittime e organizzazioni di alto valore. Invece di cercare di ottenere le credenziali bancarie per mille consumatori, l'aggressore potrebbe trovare più lucrativo prendere di mira una manciata di aziende. Un aggressore che proviene da uno Stato può prendere di mira un dipendente che lavora per un' altra agenzia governativa, o un funzionario governativo, per rubare segreti di Stato.

Come racconta una lunga inchiesta del New York Times, cyberciminali della Corea del Nord hanno attaccato banche nelle Filippine, in Bangladesh e in Vietnam e ha inizio anno in Polonia un sito governativo che si occupa della regolamentazione finanziaria nel paese è stato violato da hacker nordcoreani che tramite l’installazione di software malevolo volevano realizzare creare un elenco di account da sfruttare per trasferire denaro sottratto nelle transazioni online, facendolo poi confluire verso conti difficilmente rintracciabili.

Gli attacchi di Spear phishing hanno un grande successo perché gli aggressori passano molto tempo a produrre informazioni specifiche per il destinatario, come ad esempio fare riferimento a una conferenza alla quale il destinatario può aver appena partecipato o inviare un allegato dannoso in cui il nome del file fa riferimento a un argomento al quale il destinatario è interessato.

In una recente campagna di phishing, il Gruppo 74 si è rivolto ai professionisti della cybersecurity con un'e-mail che voleva essere correlata a una conferenza che coinvolgeva esercito americano e Nato. L'allegato però era un documento contenente una macro di Visual Basic for Applications dannosa che avrebbe scaricato ed eseguito il malware di ricognizione chiamato Seduploader.

Un attacco di phishing rivolto specificamente ai dirigenti di un’azienda si chiama caccia alla balena, in quanto la vittima è considerata di alto valore, e le informazioni rubate saranno più preziose. Le credenziali del conto di un ceo apriranno più porte di un dipendente. L'obiettivo di rubare dati, informazioni ai dipendenti e denaro contante.

La caccia alle balene richiede anche ulteriori ricerche, perché l'aggressore deve sapere con chi comunica la vittima e il tipo di discussione che intende condurre. Esempi di questo tipo sono i riferimenti ai reclami dei clienti o citazioni legali. Gli aggressori in genere iniziano con l'ingegneria sociale per raccogliere informazioni sulla vittima e sull'azienda prima di creare il messaggio di phishing che verrà utilizzato nell'attacco di caccia alle balene.

Oltre alle campagne generiche di phishing, i criminali si rivolgono a persone chiave del settore finanziario e contabile attraverso truffe di business-email compromise (Bec) e frodi e-mail del ceo. Impersonando funzionari finanziari e ceo, i criminali tentano di ingannare le vittime nell'avviare trasferimenti di denaro verso conti non autorizzati. In genere, gli aggressori compromettono l'account e-mail di un dirigente senior o di un funzionario finanziario sfruttando un'infezione esistente o attraverso un attacco di phishing.

L'aggressore si nasconde e controlla l'attività di posta elettronica del dirigente per un certo periodo di tempo per venire a conoscenza dei processi e delle procedure all'interno dell'azienda. L'attacco prende la forma di una falsa e-mail che sembra provenire dall'account dell'executive compromesso inviato a qualcuno che è un destinatario regolare. L'e-mail sembra essere importante e urgente e richiede che il destinatario invii un bonifico bancario su un conto bancario esterno o sconosciuto. I soldi finiscono nel conto bancario dell' aggressore. Secondo il centro di denuncia per reati su Internet dell'Fbi, le truffe Bec hanno generato perdite effettive e tentate per oltre 4,5 miliardi di dollari, e rappresentano un problema globale enorme.

Il clone phishing

Il clone phishing richiede che l'aggressore crei una replica quasi identica di un messaggio legittimo per ingannare la vittima nel pensare che sia reale. L'e-mail viene inviata da un indirizzo simile a quello del mittente legittimo, e il corpo del messaggio appare come un messaggio precedente.

L'unica differenza è che l'allegato o il link nel messaggio è stato scambiato con uno maligno. L' aggressore può dire qualcosa come dover rispedire l'originale, o una versione aggiornata, per spiegare perché la vittima stava ricevendo di nuovo lo stesso messaggio. Questo attacco si basa su un messaggio legittimo e visto in precedenza, rendendo più probabile che gli utenti cadano nell’inganno. Un aggressore che ha già infettato un utente può usare questa tecnica contro un'altra persona che ha ricevuto anche il messaggio che viene clonato. In un'altra variante, l'aggressore può creare un sito web clonato per ingannare la vittima.

Vishing sta per "voice phishing" e implica l'uso del telefono. In questo caso la vittima riceve una chiamata con un messaggio vocale travestito da una comunicazione da parte di un istituto finanziario. Ad esempio, il messaggio potrebbe chiedere al destinatario di chiamare un numero e inserire le informazioni del proprio account o il Pin per scopi di sicurezza o altri scopi ufficiali. Tuttavia, il numero di telefono squilla direttamente all'aggressore tramite un servizio di voice-over-Ip. Recentemente, i criminali hanno iniziato a chiamare le vittime fingendo di essere supporto tecnico Apple e fornendo agli utenti un numero da chiamare per risolvere il "problema della sicurezza". Lo spam hit-and-run richiede che gli aggressori espellano i messaggi tramite più domini e indirizzi Ip. Ogni indirizzo Ip invia un basso volume di messaggi, per cui le tecnologie di filtraggio dello spam basate sulla reputazione o sul volume non sono in grado di riconoscere e bloccare immediatamente i messaggi dannosi. Alcuni dei messaggi vengono inviati alle caselle di posta elettronica prima che i filtri imparino a bloccarli.

La formazione degli utenti

Gli utenti non sono bravi a capire l'impatto di un attacco di phishing. Un utente ragionevolmente esperto può essere in grado di valutare il rischio di cliccare su un link in un'e-mail, in quanto ciò potrebbe portare al download di malware o a messaggi truffa successivi che richiedono denaro. Tuttavia, un utente ingenuo può pensare che non succederebbe nulla, o finire con pubblicità spam e pop-up.

Solo gli utenti più consapevoli possono stimare il danno potenziale derivante da furto di credenziali e compromissione dell'account. Questa lacuna nella valutazione del rischio rende più difficile per gli utenti comprendere la gravità del riconoscimento dei messaggi dannosi. Le organizzazioni devono considerare le campagne di sensibilizzazione interna esistenti e assicurarsi che i dipendenti ricevano gli strumenti per riconoscere i diversi tipi di attacchi. Le organizzazioni hanno anche bisogno di rafforzare le difese di sicurezza, perché alcuni degli strumenti tradizionali per la sicurezza delle e-mail - come i filtri antispam - non sono abbastanza difensivi contro alcuni tipi di phishing. Ad esempio, i filtri antispam non sono utili contro gli attacchi Bec.