Phishing, perché cresce e come si nasconde

Il phishing continua a fare danni, sia perché per i cybercriminali diventa più facile e conveniente da utilizzare, sia perché sta imparando sempre meglio a sfuggire ai controlli. Dai monitoraggi del Computer Emergency Response Team (Cert) di Group-IB risulta che nel 2022 l’uso dei kit di phishing è cresciuto del 25%. Si tratta di “pacchetti” di file con codice malevolo per l’estrazione dei dati, installabili sui siti Web di destinazione dei link di phishing.

In sostanza, i kit contengono lo strumento che realizza la fase finale dell’attacco di phishing. Per gli attori malevoli rappresentano un notevole aiuto, perché consentono loro di creare e mantenere senza sforzi l’infrastruttura necessaria per condurre campagne di phishing su larga scala. Permettono, inoltre, di spostarsi da un host all’altro in caso di blocco.

Group-IB ha identificato l’anno scorso 3.677 kit di phishing unici, ovvero il 25% in più rispetto a quelli trovati nel 2021. I monitoraggi hanno anche evidenziato che, sul totale dei kit osservati l’anno scorso, quasi la metà utilizzava l’email come veicolo per la raccolta dei dati, con una netta preferenza per Gmail. “L’automazione permette ai phisher di creare e gestire centinaia di siti Web al giorno”, ha spiegato il Ceo di Group-IB, Dmitry Volkov. “Estrarre e monitorare i phishing kit è parte essenziale della protezione da questi attacchi. Può aiutare a identificare e bloccare il phishing prima che causi danni estesi”.

D’altra parte Telegram sta diventando sempre più popolare come strumento di gestione dei dati rubati: el 2021 la piattaforma di messaggistica è stata usata a questo scopo nel 5,6% dei kit di phishing rilevati, mentre nel 2022 a quota è salita al 9,4%. Telegram è per i criminali informatici uno strumento flessibile e facile da usare, che consente azioni in quasi tempo reale.

In molti casi i kit di phishing prevedono più di un metodo per gestire i dati rubati, dimostrando notevole grado di complessità. Sul totale di quelli trovati nel 2022, circa 1.500 kit contenevano funzionalità per il trasferimento dati via Telegram, via email o tramite scrittura dei dati su un file archiviato in locale.

(Foto di Fakhruddin Memon da Pixabay)

Una tendenza in corso è l’uso crescente di tecniche di evasione che permettono all’attacco di “passare inosservato” e di continuare a fare danni. Fra le tecniche più usate (in circa il 20% dei kit di phishing) ci sono i file di configurazione che permettono ai gestori di un sito Web di restringere l’accesso a specifiche directory in base all’indirizzo IP dell’utente. Popolari (12%) sono anche i file di configurazione robots.txt, che impediscono ai bot e agli spider dei motori di ricerca di accedere al sito Web. Sono solo due esempi, i più frequenti, di meccanismi semplici di controllo dell’accesso, il cui uso nel 2022 è quasi raddoppiato (+92%).

Per nascondere i siti di phishing agli occhi degli specialisti e delle soluzioni di cybersicurezza sono necessari altri meccanismi, che possono essere più o meno sofisticati. Una tra le tecniche più semplici è la creazione di “liste nere” (blacklisting) contenenti gli indirizzi IP e nomi di hostname dei vendor di sicurezza informatica, mentre opzioni più complesse sono le tecnologie antibot (in crescita del 40% nel 2022, impediscono alle scansioni di cybersicurezza di rilevare il codice malevolo), la randomizzazione delle directory e l’uso di directory dinamiche (rilevato nel 22% dei kit dello scorso anno prevede la creazione di cartelle accessibili solo attraverso lo specifico link di phishing). Altra possibilità (11% dei casi) è la creazione di finte pagine 404 di indirizzo non trovato, che vengono mostrate nel caso in cui le specifiche del dispositivo e della geolocalizzazione non corrispondono al profilo della vittima.