5566 Letture

Phishing: per Websense è diventato "spear-phishing"

I vecchi attacchi di massa che bersagliano le caselle di posta elettronica degli utenti, il tradizionale "phishing", sono sempre meno frequenti mentre gli attacchi altamente personalizzati stanno diventando il mezzo maggiormente utilizzato dai criminali informatici intenzionati ad impossessarsi degli altrui dati personali.
Un approccio alla sicurezza che punti ad eliminare spam, trojan e la corrispondenza contenente virus finisce per essere inadeguato alla rapida evoluzione delle minacce.
Ne è convinto Emiliano Massa, Director of Regional Sales, Websense Italy & Iberia, che così spiega: "Solitamente gli attacchi via email tradizionali seguivano il modello già collaudato del phishing. Un elevato volume di email contenente malware come allegati o nel corpo stesso dell'email veniva inviato a destinatari generici. È vero, solo una piccola percentuale di destinatari agisce sull’email, ma più lenze ci sono nell’acqua e maggiori sono le possibilità di pescare qualcosa".
Peccato, si fa per dire naturalmente, che il pesce si è fatto furbo, smettendo di abboccare all’amo. "Oggi sarebbe ridicolo aspettarsi che casualmente un membro di una famiglia reale proveniente da una terra lontana, ci scelga per proteggere la fortuna della propria famiglia" prosegue Massa.


Utenti più attenti da un lato, soluzioni di sicurezza email più precise dall'altro, che utilizzano tra l’altro tecniche di reputazione email del mittente per identificare gli indirizzi che sono noti per l’invio di spam, e tecniche di analisi lessicale per controllare che il contenuto dell’email contenga una combinazione di parole e pattern che vengono comunemente trovate nello spam.
"Queste tecniche di difesa sono diventate così affidabili ed efficaci che molte soluzioni di sicurezza email oggi garantiscono livelli di rilevamento pari al 99% di tutto lo spam e al 100% di tutti i virus conosciuti". I criminali informatici hanno però solamente dovuto evolvere il loro approccio.

Oggi più che di phishing è corretto parlare di spear-phishing: "si tratta di un attacco a basso volume ma altamente mirato: le email non promettono più ricchezza, ma sembrano essere totalmente legittime e il malware viene consegnato attraverso l’URL integrato nell’email", spiega Massa.
Questo significa che per realizzare le loro email, gli aggressori informatici puntano a destinatari mirati e raccolgono informazioni su di loro attraverso social network e siti web di dominio pubblico. Poi compromettono un dominio o server legittimo, così che i messaggi provengano da un indirizzo ‘rispettabile’.
"Utilizzando le informazioni che hanno appreso sul proprio obiettivo attraverso la ricerca, viene creata un’email phishing inviata da un indirizzo a buona reputazione che contiene un messaggio di social engineered per aumentare le probabilità di clic. Quando la vittima clicca l’URL integrato, che può anche essere un link a un sito legittimo ma compromesso, il computer scarica il malware". È un nuovo approccio ma il risultato alla fine è lo stesso: i dati sensibili vengono rubati e l’obiettivo è diventato la vittima.


Massa presenta un esempio concreto: "pensiamo a un ragazzo, chiamiamolo John, che ama i video sui gatti. Ha fatto Like sulla pagina Facebook LOL Cat, ha pubblicato le foto del suo gatto preferito su Pinterest, ha anche un blog dove valuta e analizza le ultime stranezze dei felini su YouTube. Così quando il suo sito di gatti preferito gli invia un’email che lo invita a visualizzare i nuovi divertenti video cliccando il link, come potrebbe rifiutare? Il risultato è che il suo computer è infettato e sta inviando a sconosciuti i suoi dati personali e le informazioni professionali".

In effetti, il successo degli attacchi di spear-phishing si basa sulla curiosità innata: alcuni degli attacchi più efficaci contro le aziende hanno usato allegati con un oggetto come “2013 Salary Guidelines”, “Q1 Hiring Plans” e “Updated Conference Schedule”.
"Lo spear-phishing è estremamente efficace dal momento che proviene da fonti affidabili che solitamente non sono associate a malware, così sfugge ai controlli abituali. Inoltre, non sempre contiene la combinazione di parole, comunemente associate allo spam, e non ci sono malware nell’attuale messaggio".

Per quanto nuova sia questa tipologia di attacco, ci sono dei comportamenti e degli accorgimenti che i responsabili della sicurezza aziendale possono adottare per combatterlo efficacemente.
In primo luogo è importante ottenere web analytics in tempo reale per determinare l’attuale livello di minacce dei siti Web, compresi anche i social network: ”Non dobbiamo dimenticare che quasi tutti gli attacchi di phishing (92%) oggi contengono componenti Web per superare i tradizionali gateway email e le difese antivirus. Gli URL che sono inseriti in queste email spesso rimandano a siti Web che ospitano malware nascosti”.
Bisogna poi isolare e mettere in sandbox le email sospette che contengono URL per l’analisi in tempo reale al momento del clic: "è bene sapere che in alcuni casi le mail ricevute contengono link a pagine web che risultano innocue ad una prima scansione di sicurezza a livello gateway e che tuttavia includono un codice malevolo quando il destinatario clicca il link a qualche ora di distanza".
Il terzo accorgimento è quello di analizzare tutti i dati in uscita per bloccare, mettere in quarantena o crittografare automaticamente i dati sensibili e monitorare i modelli che possono indicare una fuoriuscita di informazioni importanti.
E poi c’è la mai troppo raccomandata educazione degli utenti, attraverso attività che li coinvolgano e che mostrino loro esempi concreti di attacchi reali.


Per mettere alla prova la capacità di distinguere tra mail fasulle e mail reali, Websense invita a provare questo gioco online.

www.01net.it

Phishing: per Websense è diventato