Spear phishing: cos’è, chi colpisce e come difendersi

Lo spear phishing può fare molti più danni del phishing tradizionale e può essere combattuto efficacemente solo con un sistema di sicurezza multi-livello.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Il phishing, come si sa, è un tipo di truffa che mira a estorcere dati personali come username, password, numeri di carte di credito o wallet mediante tecniche di ingegneria sociale digitale. Esiste però un tipo di truffa specifico chiamato spear phishing del quale Kaspersky Lab ha parlato in un recente approfondimento. La differenza da altri tipi di phishing è che, in quello di tipo spear, viene preso come obiettivo una persona in particolare o un impiegato di una azienda specifica.

Il fatto che si tratti di un obiettivo mirato rende lo spear phishing ancora più pericoloso visto che i cybercriminali raccolgono minuziosamente informazioni riguardanti la vittima affinché possa abboccare più facilmente alla truffa. È davvero difficile distinguere un’email di spear phishing ben ideata da una normale e per questo è più facile che le vittime ci caschino.

Le motivazioni dietro allo spear phishing sono essenzialmente due: denaro e/o segreti aziendali. In entrambi i casi il primo passo è entrare nella rete aziendale. La tecnica tradizionale si serve di email inviate ai dipendenti che contengono allegati o documenti dannosi: è così che, ad esempio, gli attacchi del trojan Silence emersi a fine 2017 sono andati a buon fine.

Un documento può essere utilizzato come arma mediante macro in Microsoft Word o nel codice JavaScript, piccoli programmi in file standard che hanno l’unico scopo di diffondere un malware ben più pericoloso nel computer della vittima. Questo malware si diffonde lungo la rete oppure intercetta tutte le informazioni che essa contiene, aiutando i cybercriminali a trovare ciò di cui hanno bisogno.

Lo spear phishing è una tecnica che richiede tempo ed esperienza e i cybercriminali di primo pelo non hanno né il tempo né i mezzi necessari per creare delle armi su misura per gli obiettivi che si sono proposti. Si tratta di uno strumento che serve per attaccare grandi aziende, banche o personalità con una certa influenza. È una tecnica che si utilizza in grandi campagne APT come Carbanak o BlackEnergy e che ha avuto un ruolo importante anche negli attacchi Bad Rabbit, che iniziavano con un’infezione via email.

spear phishing

Gli obiettivi più comuni dello spear phishing sono impiegati di alto livello con accesso a informazioni potenzialmente succulente o divisioni in cui, per necessità di lavoro, si aprono numerosi documenti provenienti da fonti esterne. Basti pensare ad esempio alla divisione HR di una grande azienda, che riceve ogni giorno via email tantissimi curricula e in formati di tutti i tipi e ciò non è né sospetto né tanto meno sorprendente. Anche PR e Vendite sono a rischio, ma ci sono tantissime altre aree.

La divisione di Contabilità è particolarmente vulnerabile perché tratta ogni giorno con tantissime categorie diverse e, ovviamente, perché maneggia software bancari e di gestione del denaro. E per gli hacker, che hanno sempre sete di denaro, è il primo obiettivo della lista.

Lo spear phishing non riguarda però solo le grandi aziende, ma anche le piccole e medie imprese sono sempre più obiettivo d’interesse. La differenza è solo una: se le grandi aziende sono vittime più di attacchi di spionaggio, le piccole e medie imprese sono più che altro obiettivo di furti di denaro.

In generale le tecniche più efficaci per difendersi dal phishing sono praticamente le stesse valide per tutte le altre tipologie di phishing. In un mondo ideale le email di phishing non dovrebbero proprio arrivare nella vostra casella di posta elettronica, visto che in un’infrastruttura aziendale tali messaggi dovrebbero essere filtrati dal server mail.

In ogni caso, per ottenere migliori risultati, l’azienda dovrebbe disporre di un sistema di sicurezza multi-livello, in quanto in teoria (ma anche in pratica) i dipendenti potrebbero utilizzare servizi mail di terze parti o ricevere un link di phishing via messaggio istantaneo. Meglio, quindi, che le postazioni di lavoro siano dotate di una soluzione di sicurezza in grado di individuare attività dannose nelle applicazioni sfruttate normalmente dai cybercriminali.

EmailKaspersky LabMalwarePhishingspear phishing
// Data pubblicazione: 16.01.2018
Condividi:
 

La sicurezza nel 2018 secondo gli esperti di Barracuda

f-secure
Ransomware, spear phishing, IoT e domain spoofing tra le minacce più pericolose e diffuse che caratterizzeranno la cybersecurity nel 2018.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Come sempre a inizio anno, è il momento di conoscere ciò che si profila all’orizzonte e di seguito, dopo le previsioni per il 2017 dello scorso gennaio, proponiamo un’approfondita analisi degli esperti di Barracuda su cosa possiamo aspettarci nei prossimi 12-18 mesi nel campo della sicurezza.

Ransomware di massa o mirato?

Stiamo assistendo a una rapida crescita degli attacchi ransomware di massa e il trend proseguirà nei prossimi 12-24 mesi. La crescente disponibilità di cripto-valute offre ai criminali la possibilità di portare avanti i loro attacchi di massa in totale anonimato. Chiedendo un riscatto relativamente modesto a un gran numero di vittime, i criminali possono giocare una sorta di lotteria che aumenta la probabilità di ricavare un profitto rimanendo anonimi. La comparsa di nuove cripto-valute, più anonime dei Bitcoin, darà ulteriore impulso a questo trend e la modesta entità del riscatto farà sì che le vittime siano più disposte a pagare.

Ci attendiamo inoltre l’evoluzione del ransomware in “protectionware”. I criminali potrebbero passare dalla richiesta di riscatto per liberare i dati alla richiesta di denaro per non essere colpiti. L’email continua a essere il veicolo preferito per la diffusione delle minacce avanzate. A parte la distribuzione di codice malevolo, gli attacchi via email diventeranno sempre più sofisticati. I criminali sfrutteranno il social engineering, le campagne mirate, lo spear phishing e il whaling per sottrarre credenziali e dati, commettere frodi, ecc.

Domain Spoofing

Il domain spoofing è cresciuto rapidamente e continuerà a crescere nel 2018. Si tratta di un tipo di attacco che spinge la vittima a pensare che il criminale sia qualcun’altro. I criminali usano questa tecnica per fingere di appartenere a un’azienda o di essere una particolare persona: spesso inviano email ai clienti o ai partner dell’azienda per rubare credenziali e ottenere l’accesso ai loro account. Questo è spesso l’inizio di una strategia articolata, mirata a sottrarre dati e commettere frodi e sta rapidamente diventando la forma di cyberattacco più costosa per le aziende.

I messaggi spediti dalla banca

Abbiamo osservato un forte aumento degli attacchi mediante email che appaiono come messaggi sicuri provenienti da istituzioni finanziarie. Queste minacce veicolano documenti word infetti che spesso sembrano innocui ma contengono uno script che può essere aggiornato dai criminali in un secondo tempo.

Lo script può essere modificato per lanciare una varietà di attacchi, dal ransomware alle advanced persistent threat. Tali attacchi sono difficilmente riconoscibili dall’utente finale dato che i domini utilizzati sono scelti per assomigliare alle mail reali che il cliente riceve dalla propria banca. Il volume di attacchi sta crescendo rapidamente e pensiamo che durante l’anno ne vedremo sempre di più.

nas

Lo spear phishing

Finché porterà profitti ai cybercriminali, lo spear phishing non smetterà di diffondersi. Si tratta di attacchi altamente mirati, basati sull’imitazione di una persona o di un popolare servizio web. È un tipo di attacco in crescita e, secondo l’FBI, estremamente remunerativo per i cybercriminali.

Nel 2018 ci sarà un forte aumento di attacchi di spear phishing multifase che comportano molteplici passaggi, attività di ricerca ed esplorazione da parte del criminale, che attacca un piccolo numero di obiettivi per raccogliere un’alta remunerazione. I cybercriminali stanno ora adottando un approccio di tipo aziendale; perseguono pochi obiettivi con la speranza di ricavarne un elevato guadagno con attacchi altamente personalizzati.

I più recenti sviluppi nel social engineering prevedono diversi passaggi. I cybercriminali non tentano di colpire all’improvviso i manager delle aziende con una falsa mail. Al contrario, prima si infiltrano nell’organizzazione, poi si dedicano all’esplorazione in attesa del momento opportuno per ingannare le vittime lanciando l’attacco da una mailbox compromessa. Per contrastare lo spear phishing, le organizzazioni dovranno investire in strumenti e tattiche all’avanguardia. L’intelligenza artificiale applicata alla difesa in tempo reale rappresenta una delle speranze più concrete per porre fine a questo genere di minacce.

L’Internet of Things

I cybercriminali hanno capito che attacchi mirati in maniera intelligente possono essere una potente leva per la richiesta di riscatto. Molte aziende industriali stanno ora iniziando a implementare misure difensive verso questi attacchi, ciononostante vedremo sicuramente molti attacchi di alto profilo rivolti direttamente alle macchine connesse.

L’obiettivo ideale è rappresentato da organizzazioni che non hanno implementato una strategia di sicurezza digitale completa e si limitano a usare metodi e strumenti che già conoscono. Per proteggere le risorse da questi attacchi sono necessari nuovi sistemi e nuovi modelli di cooperazione tra le persone dell’IT e dell’OT.

domani spoofingIoTRansomwareSicurezzaspear phishing
Aziende:
Barracuda
// Data pubblicazione: 12.01.2018
Condividi: