• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • Focus

Presente e futuro del phishing, tra covid-19 e click farm

Dopo aver osservato un forte incremento delle campagne di phishing in corrispondenza dei picchi di contagi, F5 traccia alcune previsioni sulle tendenze del 2021.

Pubblicato il 18 dicembre 2020 da Redazione

 

Per un 2020 non certo fortunatissimo, la notizia dell’impennata degli attacchi di phishing legati al covid-19 è tristemente una perfetta chiusura d’anno. Non è una scoperta nuova: è almeno dal mese di febbraio, ancor prima che Italia si scoprisse il “paziente zero”, che nel mondo diversi vendor di sicurezza informatica osservavano una crescita dei tentativi di truffa via email, imperniati sulla promessa di informazioni e rivelazioni sul coronavirus. Questa tendenza è proseguita per tutto il 2020, ravvivandosi e modulandosi (anche nei contenuti) sulla base dell’evoluzione della crisi sanitaria e sull’emergere di nuove tematiche. Se in primavera si discuteva soprattutto di mascherine (e dunque le campagne di phishing promettevano offerte imperdibili, mentre nei negozi e online questi prodotti risultavano difficili da reperire) e di modalità di contagio, oggi il tema caldo è quello dei vaccini.

Ora, arrivati quasi a fine dicembre, il nuovo “Report Phishing and Fraud” del laboratorio di ricerca di F5 (F5 Labs) evidenzia che nelle settimane di maggior diffusione dei contagi il volume degli attacchi di phishing è più che quadruplicato rispetto alla media annuale dei rilevamente: +220%. E nel complesso il 2020 ha visto crescere gli episodi di phishing molto più di quel 15% di incremento annuo atteso sulla base dei dati raccolti negli anni dal Security Operations Center di F5. Tutto questo è successo, naturalmente, perché gli aggressori non si fanno scrupoli a sfruttare le debolezze, il disagio e il senso di confusione che le persone hanno sperimentato in relazione al covid. 

Questo loro opportunismo è evidenziato anche dall’analisi dei log di Certificate Transparency (certificati digitali emessi da un'autorità di certificazione ritenuta pubblicamente attendibile): il numero di quelli che utilizzano i termini "covid" e "corona" ha raggiunto la cifra record di 14.940 a marzo, segnando una incredibile crescita del 1102% sul mese precedente.

"Il rischio di essere vittime di phishing non è mai stato così alto”, ha commentato David Warburton, senior threat evangelist degli F5 Labs, “e i truffatori stanno usando sempre più spesso i certificati digitali con lo scopo di far passare i loro siti come autentici. Gli aggressori sfruttano l’attuale debolezza emotiva legata a una situazione che sfortunatamente continuerà ad alimentare minacce pericolose e diffuse. Purtroppo, la nostra ricerca indica che in tutto il mondo i controlli di sicurezza, l’educazione informatica e la consapevolezza degli utenti sembrano essere ancora insufficienti".

Obiettivi e tecniche del phishing in tema “covid”
I tre principali scopi degli attacchi email che sfruttano il covid-19 come esca sono stati identificati nelle donazioni fraudolente a falsi enti di beneficenza, nella raccolta illecita di credenziali e nella diffusione di malware. Ma quali tecniche impiegano gli autori delle truffe? La principale è la contraffazione dell’indirizzo email del mittente, spesso associata alla creazione di siti Web ingannevoli. Da inizio 2020 ad oggi, il 52% dei siti destinati ad azioni di phishing ha utilizzato nomi e identità di brand scelti con cura. Attraverso i dati di Webroot, gli F5 Labs hanno scoperto che Amazon è stato il brand più sfruttato nella seconda metà del 2020, seguito in “top ten” da Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram.

 

Tracciando il furto di credenziali, gli F5 Labs hanno osservato come i criminali tentino di utilizzare le password rubate entro quattro ore dall’attacco di phishing. Questa però è solo una media, perché alcuni attacchi si verificano addirittura quasi in tempo reale, quando gli aggressori vogliono finalizzare l'acquisizione di codici di sicurezza di autenticazione a più fattori. Rispetto a qualche anno fa, i criminali informatici hanno imparato sempre di più a sfruttare i siti WordPress (nel 2020 rappresentano il 20% degli Url generici di phishing , mentre nel 2017 la loro quota era del 4,7%) e hanno intensificato i propri sforzi di dissimulare i siti fraudolenti, facendoli apparire il più autentici e innocui possibile. Le statistiche del Soc di F5 hanno rilevato che la maggior parte dei siti di phishing sfrutta la crittografia, e in particolare il 72% utilizza certificati Https validi. Quest'anno, inoltre, il 100% delle drop zone (le destinazioni dei dati rubati dal malware) ha utilizzato la crittografia Tls, mentre nel 2019 la percentuale è stata dell’89%.

 

Il phishing nel 2021
Che cosa ci riserva il futuro? Secondo una recente ricerca di Shape Security, integrata per la prima volta con il “Phishing and Fraud Report” di F5, si profilano all'orizzonte due grandi tendenze nel panorama di queste particolari minacce. In primo luogo, a causa del miglioramento dei controlli e delle soluzioni che analizzano il traffico bot (botnet), gli aggressori hanno iniziato a utilizzare le click farm: sorta di reti “umane” che svolgono le stesse operazioni dei programmi bot. Una click farm mette insieme decine di persone che sistematicamente tentano di  accedere da remoto a un sito Web target tramite credenziali raccolte illecitamente. Certo, le botnet possono fare più danni in minor tempo ma sono anche più facili da rilevare: il fatto che la richiesta di connessione provenga da un browser Web standard, usato da una persona in carne e ossa crea meno sospetti agli occhi di un amministratore di sistema o di un programma anti-botnet.

Inoltre bisogna considerare che anche un volume relativamente basso di attacchi, condotti in modo da poter essere ritenuti trascurabili, alla lunga ha notevoli impatti. Questo è, per esempio, il caso di un'organizzazione di servizi finanziari che, secondo le analisi di Shape Security, ha registrato 14 milioni di login mensili, lo 0,4% dei quali era un tentativo di  frode “manuale”. La percentuale è oggettivamente bassa, ma su un volume di 14 milioni di login in un mese equivale a 56.000 tentativi di accesso malevolo.

 

La seconda tendenza, già osservata quest’anno e destinata a crescere, è l’aumento del volume di proxy di phishing real-time (Rtpp) in grado di sottrarre e utilizzare codici di autenticazione a più fattori. L'Rtpp agisce con tecniche di “man-in-the-middle”, intercettando le transazioni della vittima con un sito Web autentico, per quanto malevolo. Poiché l'attacco avviene in tempo reale, il sito Web maligno può automatizzare il processo di acquisizione e di riproduzione dell'autenticazione time-based (come i codici di multi-factor autentication), e può anche rubare e riutilizzare i cookie di sessione. Tra i principali proxy di phishing real-time utilizzati recentemente spiccano Modlishka ed Evilginx2.

 

 

Tag: phishing, email, F5 Networks, spear-phishing, truffe, coronavirus, covid-19

PHISHING

  • Phishing endemico, ma è quello mirato a fare i maggiori danni
  • Phishing, cresce l’uso dei “kit” e delle tecniche di evasione
  • E-mail, la prima barriera di protezione per Retarus
  • Da SharePoint a YouTube, le trappole subdole del phishing
  • Phishing, attenzione alle nuove tattiche che superano i controlli

FOCUS

  • Cybercrimine, carenza di competenze, AI: tre rischi legati fra loro
  • Da Nvidia superchip e supercomputing per una nuova era del calcolo
  • L’attenzione di Extreme è tutta sul monitoraggio delle reti
  • Metaverso, una rivoluzione che richiede il giusto tempo
  • Tecnologie per la fabbrica 4.0, la startup è diventata grande
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Focus su Sase e Zero Trust per Cradlepoint con l’acquisto di Ericom
OpenText spinge l’information management verso il cloud
Paessler estende la visibilità con l’acquisizione di Qbilon
Con il 5G arriveranno vantaggi anche per l'ambiente
Servizi e iPhone tengono a galla le vendite di Apple
Analytics e intelligenza artificiale migliorano la personalizzazione
BlackBerry riflette sul futuro e valuta eventuali spin-off
LinkedIn pianifica licenziamenti ma anche nuove assunzioni
Sap e Siemens contro il Data Act, un rischio per la competitività?
Impresoft Group allarga l’offerta per l’industria con Open-Co
Intelligenza artificiale, nuove regole per arginare i rischi
GenerativeShield, un intermediario fra utente e rischi dell’Ai
Qualcomm accelera sui veicoli connessi con l’acquisto di Autotalks
Siemens Xcelerator velocizza la transizione verso i digital twin
Personalizzato e omnicanale il viaggio con Swarovksi e Levi's
Workday, focus sulle medie imprese con un nuovo country manager
Cyberattacco da record su Capita: costerà fino a 20 milioni di sterline
Alert senza falsi positivi, Forescout Xdr distribuito da Ingecom
Trimestre in calo per Qualcomm, si punta sulla diversificazione
Gruppo Olidata guarda al futuro con una doppia acquisizione
Phishing endemico, ma è quello mirato a fare i maggiori danni
Il cloud ibrido ispira le evoluzioni software di Infinidat
Investimenti Ict in crescita per un’azienda italiana su due
Nutanix in buon equilibrio tra crescita e profittabilità
AI, Baidu rincorre Microsoft e Google: Ernie pronto al debutto
Anche la rete è ormai diventata un servizio per Hpe Aruba
Assistenti virtuali: enti pubblici, finanza e utility fanno da traino
Ibm, nuova ambizione nel quantum computing per aiutare l’umanità
Juniper mette Jean English a capo delle attività di marketing
Gdpr e marketing digitale: due mondi distanti verso la convergenza
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968