Secondo una recente analisi dei ricercatori di Barracuda Networks, poco più del 35% delle 10.500 organizzazioni analizzate sono state bersaglio di almeno un attacco baiting nel settembre 2021, con una media di tre caselle email distinte per azienda che hanno ricevuto uno di questi messaggi.
Gli attacchi di baiting (bait attacks, “attacchi esca”) sono una categoria di cyber-minacce in cui gli aggressori cercano di raccogliere informazioni che possono utilizzare per pianificare futuri attacchi mirati.
I bait attack sono noti anche come “reconnaissance attacks” e si presentano di solito sotto forma di email con un contenuto molto breve o addirittura vuoto.
L’obiettivo è quello di verificare l’esistenza dell’account di posta elettronica della vittima, non ricevendo alcun messaggio di email “non recapitabile”, o di coinvolgere la vittima in una conversazione che potrebbe potenzialmente portare a trasferimenti di denaro malevoli o credenziali trapelate.
Poiché questa classe di minacce contiene a malapena del testo e non include alcun link di phishing o allegati dannosi – ha sottolineato Barracuda –, è difficile per i rilevatori di phishing convenzionali difendersi da questi attacchi.
Inoltre, per evitare di essere rilevati, gli aggressori in genere utilizzano account di posta elettronica recenti da servizi gratuiti come Gmail, Yahoo o Hotmail, per inviare gli attacchi.
I cyber-attacker si basano anche su un basso volume, un comportamento di invio non a raffica, nel tentativo di superare qualsiasi rilevatore di bulk o basato sulle anomalie.
Gli attacchi baiting precedono il phishing
Benché il numero di attacchi di baiting sia ancora basso in generale, questi non sono insoliti, come ha mostrato l’analisi dei ricercatori di Barracuda.
Infatti, per rendere i loro attacchi di phishing più mirati ed efficaci, i cyber-criminali hanno iniziato a ricercare le potenziali vittime con sistemi che servono per raccogliere informazioni che li aiuteranno a migliorare le probabilità di successo dei loro attacchi.
I bait attack sono per l’appunto una tecnica che gli aggressori stanno usando per testare gli indirizzi email e vedere chi è disposto a rispondere.
Siccome è noto che gli attacchi di baiting di solito precedono una qualche sorta di attacco di phishing mirato, il team di ricerca di Barracuda ha fatto un esperimento rispondendo a uno di questi bait attack che era arrivato in una casella di posta privata di un dipendente.
L’attacco originale era un’email con un oggetto “HI” e un corpo del messaggio vuoto. Come parte dell’esperimento, il dipendente di Barracuda ha poi risposto con un’email contenente una frase generica del tipo: “Salve, come posso aiutarla?”.
Entro 48 ore, il dipendente di Barracuda ha ricevuto un attacco di phishing mirato. L’email originale era stata progettata per verificare l’esistenza della casella di posta e la volontà della vittima di rispondere ai messaggi email.
Come proteggersi dagli attacchi di baiting
La stessa Barracuda sviluppa una soluzione basata sull’intelligenza artificiale di protezione dal phishing e dagli account takeover. È quindi logico che l’azienda suggerisca innanzitutto di implementare una soluzione di intelligenza artificiale per identificare e bloccare gli attacchi di baiting.
Questo – afferma Barracuda – perché la tecnologia di filtraggio tradizionale è largamente deficitaria quando si tratta di bloccare i bait attack.
I messaggi non portano alcun carico dannoso e di solito provengono da Gmail, che è considerato altamente rispettabile. La difesa basata sull’intelligenza artificiale è molto più efficace. Essa sfrutta i dati estratti da più fonti, tra cui grafici di comunicazione, sistemi di reputazione e analisi a livello di rete, per essere in grado di proteggere contro tali attacchi.
È inoltre utile un’attività di training per insegnare ai propri utenti a riconoscere e segnalare gli attacchi di baiting. Alcuni di questi attacchi possono ancora arrivare nelle caselle di posta degli utenti, quindi Barracuda suggerisce di addestrare gli utenti a riconoscerli e a non rispondere.
Bisognerebbe includere esempi di attacchi di baiting nella formazione sulla consapevolezza della sicurezza e nelle campagne di simulazione. Nonché incoraggiare gli utenti a segnalarli ai team IT e di sicurezza dell’azienda.
Infine, Barracuda consiglia di non lasciare che gli attacchi di baiting rimangano nelle caselle email degli utenti. Quando questi attacchi vengono identificati, è importante rimuoverli dalle caselle di posta il più rapidamente possibile, prima che gli utenti aprano o rispondano al messaggio.
La risposta automatica agli incidenti può aiutare a identificare e rimediare a questi messaggi in pochi minuti, prevenendo l’ulteriore diffusione dell’attacco e aiutando a non rendere la propria organizzazione un obiettivo futuro.
