L’arte del travestimento spopola sempre più nelle truffe email I monitoraggi di FireEye evidenziano la crescita continua del phishing, in particolare di quello basato su spoofing o impersonificazione, e più in generale il ricorso al social engineering. Pubblicato il 27 giugno 2019 da Redazione

Ingegneria sociale, o social engineering che dir si voglia: sempre di più chi sferra attacchi informatici lo fa dopo aver “studiato” a sufficienza le proprie vittime, così da poter confezionare più credibili inganni racchiusi in messaggi di posta elettronica. L’ascesa del fenomeno è già nota agli addetti ai lavori, e ora confermata da un nuovo studio “Email Threat Report” pubblicato da FireEye e basato sull’analisi di 1,3 miliardi di messaggi di posta elettronica inviati e ricevuti nei primi tre mesi del 2019.

Dallo studio di questo campione è emersa l’ascesa di tre fenomeni. Il primo è il phishing considerato nella sua interezza e, in particolare, quello basati su spoofing, cioè sulla creazione di un account email con un indirizzo che imita quello di aziende note o altri mittenti affidabili. Come noto, con il phishing si intende quel genere di attività malevola in cui un messaggio di posta elettronica propone un presunto “affare imperdibile” oppure fa una richiesta per indurre il destinatario a cliccare su un link e a cedere dati personali o dati della sua carta di credito.

Nel primo trimestre del 2019, comparato con l’ultimo del 2018, gli attacchi di phishing sono aumentati del 17%. Lo spoofing ha fatto leva su una pletora di nomi d’azienda e marchi, sfruttando in particolare quelli di Microsoft (presente addirittura nel 30% delle email di phishing osservate) e a seguire di OneDrive, Apple, PayPal e Amazon (ciascuno presente in una quota compresa fra il 6% e il 7% dei rilevamenti).

Una variante di questa tecnica consiste nel tentativo di spacciarsi non per una generica azienda, ma per una precisa persona o ruolo aziendale titolato a fare una richiesta. Nei primi mesi dell’anno sono emerse nuove varianti di impersonificazione in cui gli attaccanti fingevano di scrivere dall’ufficio paghe di un’azienda, chiedendo all’utente di modificare dati personali e bancari di un dirigente (per poter così trasferire denaro verso un conto esterno). In un’altra variante, che FireEye chiama di “supply chain”, messaggi che si fingono inviati da aziende clienti raggiungono persone della contabilità dei fornitori: con la scusa di dover trasferire un pagamento, puntano a sottrarre dati.

Una seconda tendenza emersa quest'anno è il crescente ricorso all’Https per veicolare link malevoli: gli Url malevoli basati su questo protocollo, anziché sugli allegati, da un trimestre all’altro sono aumentati del 26%. Prosegue quindi la tendenza emersa già l’anno scorso, quando il ricorso al protocollo Https nel phishing aveva superato l’uso degli allegati. FireEye ha una spiegazione: gli autori di attacchi stanno sfruttando la percezione diffusa tra gli utenti sul fatto che il protocollo Https sia un’opzione sicura per navigare in Internet senza esporre i propri dati a occhi indiscreti.

Il terzo fenomeno in ascesa è l’utilizzo a fini di attacco di popolari servizi cloud di archiviazione e file sharing. Più precisamente, servizi come WeTransfer, Google Drive, Microsoft OneDrive e, più di tutti, Dropbox vengono usati per portare in consegna payload malevoli.