Il phishing non smette di stupire per la creatività e il livello di sofisticazione raggiunto da almeno una parte degli attacchi. Un tempo caratterizzate da approssimazioni e sgrammaticature, oggi le email “esca” sempre più spesso per ingannare il destinatario impiegano alla perfezione il linguaggio verbale e sfruttano indirizzi mittenti ingannevoli, elementi grafici e vari escamotage. Ma ci sono, in particolare, tre tattiche emergenti che stanno arricchendo il panorama del phishing.
I ricercatori di Barracuda Networks le hanno osservate all’inizio di quest’anno sulla base degli incidenti e tentativi di attacco bloccati sulla propria rete di clienti. Attualmente il volume complessivo degli attacchi che impiegano queste tecniche è piccolo: ciascuna costituisce meno dell’1% dei tentativi di phishing rilevati nel mese di gennaio. Ma poiché il volume del phishing in generale è molto elevato, queste tre tecniche risultano comunque ampiamente diffuse, avendo colpito a gennaio più di un’azienda su dieci (tra l’11% e il 15%, a seconda della specifica tecnica).
A gennaio Barracuda ha osservato, innanzitutto, attacchi che sfruttavano il funzionamento di Google Translate per nascondere Url malevoli. Se incontra una pagina scritta in modo scorretto o con una lingua non supportata, il servizio di Google non può effettuare la traduzione e dunque si limita a fornire un link che riporta all’Url originale. Dunque gli autori degli attacchi hanno confezionato pagine Web di questo tipo, scritte male o in lingue non supportate, per poi inserire nei messaggi di posta un link Url che riporta su un sito Web di phishing.
Le tecnologie di filtering della posta elettronica faticano a rilevare e dunque a bloccare questo tipo di attacchi, perché essi contengono un Url diretto a quello che è a tutti gli effetti un sito Web. Inoltre, gli aggressori possono modificare il payload malevolo anche nel momento stesso in cui l’email viene recapitata, e questo rende ancora più difficile il rilevamento. Acgennaio il 13% delle aziende protette dalle soluzioni di Barracuda è stata colpita con una tecnica di questo tipo, con una media di sette email al mese.
Una seconda tattica emergente è l’uso di email che non contengono alcun testo, ma solo immagini. Può trattarsi di moduli falsi, come ad esempio fatture, in cui viene incluso un link o un numero di telefono che, se utilizzato, conduce al tentativo di phishing. Anche in questo caso i tradizionali sistemi di sicurezza delle email faticano a rilevare gli attacchi, in quanto privi di testo. A gennaio 2023 l’11% delle aziende è stata oggetto di attacchi di phishing di questo tipo, con una media di due al mese. Secondo i ricercatori di Barracuda, i numeri sono destinati a crescere.
La terza tendenza emergente negli attacchi di phishing è l’uso di caratteri speciali, come punti di codice Unicode a larghezza zero, punteggiatura, alfabeti non latini o spazi. Elementi già ampiamente sfruttati negli attacchi di typosquatting negli indirizzi Web, che imitano un sito esistente ma con piccoli errori ortografici. All’interno di un’email di phishing questi caratteri, non visibili al destinatario, servono per spezzare il pattern dell’Url in modo che le tecnologie di sicurezza non possano riconoscerlo come pericoloso.
Il rilevamento di tali attacchi può essere difficile anche perché i caratteri speciali possono essere utilizzati per finalità legittime, per esempio all’interno delle firme nelle email. Le statistiche sono abbastanza in linea con quelle delle due tecniche precedenti: la quota di aziende colpite è del 15%, la media è di un messaggio al mese.
“Il phishing è tipicamente il punto di partenza per molti attacchi hacker, tra cui ransomware, frodi finanziarie e furto di credenziali, e i criminali informatici continuano a sviluppare nuovi metodi per ingannare destinatari incauti ed evitare di essere rilevati e bloccati”, ha commentato Olesia Klevchuk, product marketing director, E-mail Protection di Barracuda. “Per difendersi, le aziende hanno bisogno di una protezione delle e-mail potenziata dall’AI e capace di analizzare il contesto, l’oggetto e il mittente, e di determinare se un messaggio apparentemente innocuo non sia, in realtà, un attacco ben camuffato. Inoltre bisogna formare i dipendenti affinché sappiano recepire, riconoscere e segnalare i messaggi sospetti, oltre a dotarsi di strumenti che permettano di identificare ed eliminare qualsiasi traccia di e-mail malevola dalle caselle di posta e dagli account compromessi degli utenti, in caso una minaccia via posta elettronica dovesse riuscire a fare breccia”.