Non è raro che i destinatari delle email guardino il mittente di un messaggio e non controllino mai se il mittente è l’indirizzo ufficiale. Lo spear phishing di solito implica che un hacker induca un dipendente a inviare denaro a un conto bancario controllato da un aggressore o a ingannare un dipendente a rivelare credenziali, ma il phishing può anche essere indirizzato ai clienti di un brand. Utilizzando un brand, un utente malintenzionato può usare credenziali degli utenti bersaglio per rubare i loro dati o accedere ai loro account finanziari.
PayPal: uno dei primi brand a essere oggetto di phishing
Sebbene molti brand siano utilizzati per questo tipo di attacco, PayPal è stato uno dei brand più popolari utilizzati per sottrarre i dati degli utenti. Gli aggressori inviavano e-mail di phishing utilizzando il registro di PayPal e un nome di dominio falso o simile nell’indirizzo del mittente.
L’immagine sopra mostra un esempio di email di phishing utilizzando il brand PayPal. Si noti il logo, il messaggio di copyright e un pulsante che collega ad una pagina. A parte gli errori di battitura e la scarsa grammatica, un campanello d’allarme è il fatto che l’email non si rivolge direttamente all’utente. Quando PayPal invia un’email, indirizza il cliente per nome. Anche se questo è un buon indicatore di pericolo, il destinatario dovrebbe essere sospettoso anche in caso una email del genere contenga i suoi specifici nome e cognome.
Il pulsante porta l’utente a un server sotto il controllo di un attaccante, in cui il malintenzionato potrebbe tentare di installare malware nel browser, ma la pagina di destinazione più comune in questi casi è un fac simile che assomiglia alla pagina ufficiale di PayPal. La pagina di destinazione potrebbe trovarsi su un dominio simile a PayPal o potrebbe avere il brand PayPal in un nome di sottodominio. A volte, la pagina di destinazione si trova in una sottodirectory nel dominio del malintenzionato. Poiché l’obiettivo è ingannare gli utenti, lo schema di denominazione per la pagina di destinazione sarà simile a quello di PayPal.
Dall’immagine si può evincere che l’email è molto convincente. Un utente bersaglio che non ha familiarità con il phishing o che non è molto esperto di tecnologia farà clic sul collegamento. Con un sito web convincente, l’utente potrebbe inavvertitamente inviare le credenziali a un malintenzionato. PayPal impiega diverse strategie di sicurezza per proteggere gli utenti che sono stati vittima di phishing, ma gli hacker sono ancora in grado di superare queste difese, di tanto in tanto.
Proteggi i tuoi utenti dagli attacchi
L’esempio precedente utilizza PayPal per illustrare il problema, ma un grande brand non è l’unico vettore per gli aggressori. Vengono utilizzati anche brand minori, banche e persino i nomi degli amici presi dai social media di un utente. In altri casi, l’utente malintenzionato potrebbe ottenere l’accesso all’email di un utente bersaglio e utilizzare il proprio elenco di contatti per inviare un’email di phishing. Poiché un brand o un conoscente sono considerati affidabili dal destinatario, è più probabile che questo venga tratto in inganno dal tentativo di phishing.
Questi attacchi affliggono le piccole come le grandi imprese. Mentre l’esempio precedente era orientato più verso un account personale PayPal, gli hacker utilizzano anche i siti bancari per estrarre le credenziali di dipendenti e contractor. Un buon esempio è la famigerata violazione dei dati di Target, in cui gli aggressori sono stati in grado di estrarre 40 milioni di numeri di carte di credito dei consumatori. Il risultato in quel caso fu un’indagine, diversi cause legali e milioni di dollari in risarcimenti.
Nessuna difesa informatica è sicura al 100%, ma il modo migliore per proteggere gli utenti è utilizzare i filtri di posta elettronica basati su DNS insieme a un sistema di posta elettronica che incorpora DMARC (autenticazione dei messaggi basata su dominio, reporting e conformità). DMARC è un sistema di cybersecurity sviluppato appositamente per proteggere gli utenti da phishing e indirizzi email falsificati.
DMARC è un insieme di regole di sicurezza che incorpora due tecnologie: DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework). Queste due tecnologie lavorano insieme per verificare che il mittente sia realmente l’indirizzo ufficiale e non un utente malintenzionato che utilizza un indirizzo falso. DKIM utilizza la crittografia a chiave pubblica-privata per creare una firma nelle intestazioni di un’e-mail e SPF utilizza le voci di verifica basate su DNS impostate dall’amministratore IT del brand. Queste due tecnologie creano regole di verifica DMARC.
L’amministratore di sistema può creare livelli di regole DMARC per determinare se i messaggi sospetti segnalati vengono eliminati o messi in quarantena. I messaggi in quarantena possono essere esaminati da un amministratore e rilasciati nella posta in arrivo del destinatario se riconosciuti come innocui. I sistemi DMARC dispongono inoltre di funzionalità di reporting, in modo tale che un amministratore possa identificare eventuali falsi positivi e regolare le impostazioni in base alle esigenze.
Senza difese apposite, un’azienda è altamente vulnerabile al phishing e ai contenuti dannosi. I sistemi di posta elettronica DMARC e altri sistemi di sicurezza informatica efficaci proteggono brand e impediscono agli hacker di utilizzare società note per indurre gli utenti a rivelare le proprie credenziali.
