Per un 2020 non certo fortunatissimo, la notizia dell’impennata degli attacchi di phishing legati al covid-19 è tristemente una perfetta chiusura d’anno. Non è una scoperta nuova: è almeno dal mese di febbraio, ancor prima che Italia si scoprisse il “paziente zero”, che nel mondo diversi vendor di sicurezza informatica osservavano una crescita dei tentativi di truffa via email, imperniati sulla promessa di informazioni e rivelazioni sul coronavirus. Questa tendenza è proseguita per tutto il 2020, ravvivandosi e modulandosi (anche nei contenuti) sulla base dell’evoluzione della crisi sanitaria e sull’emergere di nuove tematiche. Se in primavera si discuteva soprattutto di mascherine (e dunque le campagne di phishing promettevano offerte imperdibili, mentre nei negozi e online questi prodotti risultavano difficili da reperire) e di modalità di contagio, oggi il tema caldo è quello dei vaccini.
Ora, arrivati quasi a fine dicembre, il nuovo “Report Phishing and Fraud” del laboratorio di ricerca di F5 (F5 Labs) evidenzia che nelle settimane di maggior diffusione dei contagi il volume degli attacchi di phishing è più che quadruplicato rispetto alla media annuale dei rilevamente: +220%. E nel complesso il 2020 ha visto crescere gli episodi di phishing molto più di quel 15% di incremento annuo atteso sulla base dei dati raccolti negli anni dal Security Operations Center di F5. Tutto questo è successo, naturalmente, perché gli aggressori non si fanno scrupoli a sfruttare le debolezze, il disagio e il senso di confusione che le persone hanno sperimentato in relazione al covid.
Questo loro opportunismo è evidenziato anche dall’analisi dei log di Certificate Transparency (certificati digitali emessi da un'autorità di certificazione ritenuta pubblicamente attendibile): il numero di quelli che utilizzano i termini "covid" e "corona" ha raggiunto la cifra record di 14.940 a marzo, segnando una incredibile crescita del 1102% sul mese precedente.
"Il rischio di essere vittime di phishing non è mai stato così alto”, ha commentato David Warburton, senior threat evangelist degli F5 Labs, “e i truffatori stanno usando sempre più spesso i certificati digitali con lo scopo di far passare i loro siti come autentici. Gli aggressori sfruttano l’attuale debolezza emotiva legata a una situazione che sfortunatamente continuerà ad alimentare minacce pericolose e diffuse. Purtroppo, la nostra ricerca indica che in tutto il mondo i controlli di sicurezza, l’educazione informatica e la consapevolezza degli utenti sembrano essere ancora insufficienti".
Obiettivi e tecniche del phishing in tema “covid”
I tre principali scopi degli attacchi email che sfruttano il covid-19 come esca sono stati identificati nelle donazioni fraudolente a falsi enti di beneficenza, nella raccolta illecita di credenziali e nella diffusione di malware. Ma quali tecniche impiegano gli autori delle truffe? La principale è la contraffazione dell’indirizzo email del mittente, spesso associata alla creazione di siti Web ingannevoli. Da inizio 2020 ad oggi, il 52% dei siti destinati ad azioni di phishing ha utilizzato nomi e identità di brand scelti con cura. Attraverso i dati di Webroot, gli F5 Labs hanno scoperto che Amazon è stato il brand più sfruttato nella seconda metà del 2020, seguito in “top ten” da Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram.
Tracciando il furto di credenziali, gli F5 Labs hanno osservato come i criminali tentino di utilizzare le password rubate entro quattro ore dall’attacco di phishing. Questa però è solo una media, perché alcuni attacchi si verificano addirittura quasi in tempo reale, quando gli aggressori vogliono finalizzare l'acquisizione di codici di sicurezza di autenticazione a più fattori. Rispetto a qualche anno fa, i criminali informatici hanno imparato sempre di più a sfruttare i siti WordPress (nel 2020 rappresentano il 20% degli Url generici di phishing , mentre nel 2017 la loro quota era del 4,7%) e hanno intensificato i propri sforzi di dissimulare i siti fraudolenti, facendoli apparire il più autentici e innocui possibile. Le statistiche del Soc di F5 hanno rilevato che la maggior parte dei siti di phishing sfrutta la crittografia, e in particolare il 72% utilizza certificati Https validi. Quest'anno, inoltre, il 100% delle drop zone (le destinazioni dei dati rubati dal malware) ha utilizzato la crittografia Tls, mentre nel 2019 la percentuale è stata dell’89%.
Il phishing nel 2021
Che cosa ci riserva il futuro? Secondo una recente ricerca di Shape Security, integrata per la prima volta con il “Phishing and Fraud Report” di F5, si profilano all'orizzonte due grandi tendenze nel panorama di queste particolari minacce. In primo luogo, a causa del miglioramento dei controlli e delle soluzioni che analizzano il traffico bot (botnet), gli aggressori hanno iniziato a utilizzare le click farm: sorta di reti “umane” che svolgono le stesse operazioni dei programmi bot. Una click farm mette insieme decine di persone che sistematicamente tentano di accedere da remoto a un sito Web target tramite credenziali raccolte illecitamente. Certo, le botnet possono fare più danni in minor tempo ma sono anche più facili da rilevare: il fatto che la richiesta di connessione provenga da un browser Web standard, usato da una persona in carne e ossa crea meno sospetti agli occhi di un amministratore di sistema o di un programma anti-botnet.
Inoltre bisogna considerare che anche un volume relativamente basso di attacchi, condotti in modo da poter essere ritenuti trascurabili, alla lunga ha notevoli impatti. Questo è, per esempio, il caso di un'organizzazione di servizi finanziari che, secondo le analisi di Shape Security, ha registrato 14 milioni di login mensili, lo 0,4% dei quali era un tentativo di frode “manuale”. La percentuale è oggettivamente bassa, ma su un volume di 14 milioni di login in un mese equivale a 56.000 tentativi di accesso malevolo.
La seconda tendenza, già osservata quest’anno e destinata a crescere, è l’aumento del volume di proxy di phishing real-time (Rtpp) in grado di sottrarre e utilizzare codici di autenticazione a più fattori. L'Rtpp agisce con tecniche di “man-in-the-middle”, intercettando le transazioni della vittima con un sito Web autentico, per quanto malevolo. Poiché l'attacco avviene in tempo reale, il sito Web maligno può automatizzare il processo di acquisizione e di riproduzione dell'autenticazione time-based (come i codici di multi-factor autentication), e può anche rubare e riutilizzare i cookie di sessione. Tra i principali proxy di phishing real-time utilizzati recentemente spiccano Modlishka ed Evilginx2.