Corin Imai, Senior Security Advisor di DomainTools, discute le truffe di phishing che popolano il panorama delle minacce nel 2019 e come proteggere la tua organizzazione da loro.

Mentre ci facciamo strada nel corso del 2019, l’incertezza degli ultimi anni non mostra segni di rallentamento. Ciò che rimane coerente in questi tempi incoerenti, tuttavia, è il phishing. Infatti, secondo PhishMe’s Enterprise Phishing e Resilience Defense Report, i tentativi di phishing sono cresciuti del 65% nel 2018.

In base al Report sulle minacce di WebRoot, ogni mese vengono creati uno stupefacente milione e mezzo di nuovi siti Web di phishing, e -forse la cosa più preoccupante- Intel ha rilevato che il 97% delle persone, indipendentemente dall’apprendimento di Internet, non è stato in grado di identificare una sofisticata e-mail di phishing.

Tenendo presente questa informazione, è chiaro che mentre altri tipi di crimine informatico fluttuano, entrando e uscendo di moda, la pratica del phishing è diventata sempre più popolare; L’errore umano rimane la vulnerabilità più redditizia in assoluto.

Le conseguenze del cadere vittima di una truffa di phishing possono essere molto serie. È l’equivalente cyber di un obiettivo aperto, che consente a un utente malintenzionato di indirizzare i dati della vittima, entrare nella loro rete o bersagliare in modo ancora più specifico utilizzando le credenziali compromesse. Il modo migliore per proteggere le aziende è capire i tipi di frodi di phishing che popolano il panorama delle minacce nel 2019.

Attacco su larga scala: la “classica” truffa di phishing via email

Queste truffe di phishing sono quelle a cui è più probabile che veniamo esposti come consumatori. La premessa rimane semplice; Scegli un marchio ben noto e di fiducia, come Apple, Microsoft o un ente di governo che non è bene ignorare, come il ministero delle finanze o della salute. Quindi, viene creata una mail che finge di essere di questo marchio, chiedendo alla vittima di fare clic su un link per reimpostare il proprio account, richiedere un rimborso fiscale, ecc.

L’e-mail includerà un PDF compromesso, un documento word o un URL che porta a un sito Web dannoso che ruberà dettagli di accesso o installerà software dannoso su un dispositivo; in entrambi i casi, la vittima verrà compromessa.

Mentre queste truffe sono comuni, ciò non significa necessariamente che siano poco sofisticate. Il famigerato phishing Netflix che affliggeva gli utenti della piattaforma di streaming dei contenuti nel 2017 è un esempio ovvio, in cui l’e-mail era eccezionalmente simile alla pagina di destinazione legittima di Netflix. L’e-mail includeva immagini che promuovevano il contenuto originale di Netflix, così come l’HTML dell’utente cifrato nella pagina di phishing, che impediva agli scanner antivirus di verificare se il codice contenesse elementi malevoli, il che avrebbe segnalato alle potenziali vittime che qualcosa non andava bene.

Phishing per una grande preda: spear phishing e truffe BEC

Lo spear phishing è un tentativo da parte di un attore delle minacce di rivolgersi a individui specifici all’interno di un’organizzazione, per una ragione specifica. Le ragioni possono variare in maniera massiccia, ma in genere si riferiscono al guadagno finanziario o all’ esfiltrazione dei dati allo stesso modo delle normali truffe di phishing, ma spesso con un aumento significativo delle puntate. Se un attore di minacce si avvicina a un individuo all’interno di un’organizzazione con l’intento di estrarre fondi aziendali, la somma in questione tende ad essere una cifra più significativa rispetto alle truffe di phishing tradizionali.

Questo sottoinsieme specifico di spear phishing è noto come Whaling, BEC (Business Email Compromise) o frode del CEO e spesso vede l’attore della minaccia impersonare un dirigente all’interno dell’azienda per contattare un membro del team finanziario o delle risorse umane per facilitare un trasferimento fraudolento di fondi aziendali o Informazioni di identificazione personale (PII) relative ai dipendenti. La frode BEC predispone il desiderio individuale di esibirsi bene sul lavoro; i truffatori presumono che gli individui preferiscano svolgere rapidamente un compito quando vengono interrogati dal “CEO” piuttosto che metterlo in discussione. È un’ipotesi che paga i dividendi; Secondo l’FBI, le truffe BEC hanno fornito truffatori con oltre $ 12 miliardi tra il 2013 e il 2018.

Cybersquatting: la trama si infittisce

Cybersquatting (noto anche come dominio squatting o Typosquatting) è l’atto di registrare un nome di dominio con lo scopo di ottenere benefici monetari da un marchio che appartiene a qualcun altro. Questi domini sono spesso utilizzati nelle campagne di phishing e in altri tipi di truffe, inclusi annunci pay per click (spesso per i servizi della concorrenza), siti di sondaggio for-profit e abuso di programmi affiliati o più nefandi come ransomware e campagne di download drive-by . Questi metodi possono essere incredibilmente sofisticati e difficili da individuare, con cose come il lucchetto “sicuro” presente su metà di tutti i siti di phishing, essenzialmente rendendolo inutilizzabile come funzionalità di sicurezza. In termini di campagne di phishing, il cybersquatting viene utilizzato per aggiungere un ulteriore manto di legittimità alle e-mail di phishing, con un collegamento a un sito di cybersquatting incluso. L’assunto è che la vittima non presterà abbastanza attenzione per notare che l’URL non è legittimo. DomainTools ha scoperto questa pratica nel 2017 che si verifica su oltre 300 siti Web associati a grandi banche del Regno Unito, con l’intenzione di rubare informazioni finanziarie e credenziali di accesso al banking online.

SMiShing: stesse tattiche, dispositivi diversi

Il phishing via SMS è molto simile a quello delle altre varianti del phishing discusso, con la differenza cruciale che il metodo di consegna è un messaggio di testo rispetto a un messaggio di posta elettronica. Sebbene la consapevolezza delle campagne di phishing sia aumentata negli ultimi anni, i pericoli legati al clic sui link non richiesti sui dispositivi mobili sono ancora diffusi e le conseguenze sono ancora significative. Il download di applicazioni dannose su un dispositivo mobile può compromettere esattamente lo stesso tipo di PII di un’infezione da malware su un PC, e la linea sempre più sfocata tra le nostre vite lavorative e le nostre vite domestiche significa che un cellulare infetto potrebbe facilmente entrare in una rete aziendale, compromettendo ulteriori dati sensibili.

Mantenere la tua organizzazione (e te stesso) al sicuro

Per ridurre l’importanza del phishing come vettore di minacce, sia le organizzazioni che i singoli individui devono impegnarsi in misure educative per renderlo un metodo non redditizio. A livello individuale, ciò si ottiene attraverso l’educazione e incoraggiando le persone a prestare particolare attenzione quando si fa clic su qualsiasi link non richiesto. Educare i dipendenti sui pericoli che il phishing pone e i segni rivelatori a cui prestare attenzione vanno molto lontano. A livello aziendale, le misure educative dovrebbero essere implementate insieme alle soluzioni antivirus e antimalware aggiornate per annullare il danno se la tua organizzazione è presa di mira da una truffa di phishing. Le organizzazioni dovrebbero inoltre essere proattive nella comprensione del panorama del phishing e di eventuali campagne di phishing specifiche identificate. Non esiste un metodo infallibile per fermare il phishing: gli attori delle minacce hanno lavorato sodo per risolvere il problema. Tuttavia, impegnarsi con l’educazione e comprendere i tipi di minacce prevalenti offre alla tua organizzazione una possibilità di combattere per rimanere al sicuro.