L’utilizzo delle e-mail è il principale vettore per le minacce, cosa si può fare per proteggere la propria azienda o il proprio account dagli attacchi?
L’e-mail è una parte così integrante della vita quotidiana che tendiamo a dimenticare, o semplicemente ignorare, che è la più grande minaccia alla sicurezza informatica. Eppure quasi tutto il crimine informatico è basato sulla posta elettronica o impiega la posta elettronica come parte del processo.
I criminali giocano sulle emozioni come la preoccupazione, la paura, l’amore, il tutto aggravato da un tono di urgenza. Per ogni disastro nazionale o internazionale, ci saranno un migliaio di criminali che cercano di sfruttarlo. Consideriamo la diffusione del Coronavirus. A pochi giorni da una grave epidemia in Italia, il 10% di tutte le organizzazioni italiane era stato preso di mira da un’e-mail di phishing che indicava come: “A causa del numero di casi di infezione da coronavirus che sono stati documentati nella tua zona, l’Organizzazione Mondiale della Sanità ha preparato un documento che include tutte le precauzioni necessarie contro l’infezione da coronavirus. Ti consigliamo vivamente di leggere il documento allegato a questo messaggio. “
Questo è un classico esempio di phishing – l’attacco ha come obiettivo quello di raggiungere più persone possibile nella consapevolezza che alcuni saranno ingannati. Non deve essere confuso con lo spear-phishing dove viene presa di mira una singola persona o un piccolo gruppo correlato di persone in modo focalizzato.
Le emozioni sfruttate nel phishing del Coronavirus sono preoccupazione / paura, fiducia (nell’Organizzazione mondiale della sanità) e urgenza (proteggiti prima che sia troppo tardi). Il documento allegato era intitolato “Coronavirus: informazioni importanti sulle precauzioni”. La sua apertura veicola il Trojan Ostap-Downloader che è stato utilizzato altrove per scaricare il trojan bancario TrickBot.
Il coronavirus viene utilizzato come “richiamo”, l’esca che induce a rispondere al messaggio di posta elettronica. Le esche cambiano in base alle circostanze e al bersaglio. Le esche generiche – come in questo esempio – sono utilizzate in campagne di phishing su larga scala. Esche più specifiche basate sugli interessi noti del bersaglio sono utilizzate nel phishing mirato noto come spear-phishing. Ma il phishing non è l’unica minaccia che arriva via e-mail.
Statistiche alla base della minaccia
Le statistiche sulle minacce e-mail variano leggermente a seconda della loro fonte e di come vengono misurati i dettagli. Tuttavia, possiamo affermare con certezza che il 90% o più di tutte le violazioni dell’azienda riguardano le e-mail; Il 90% degli attacchi avvenuti con successo coinvolge lo spear phishing; e il 90% di tutto il malware viene consegnato via e-mail.
Dal lato dei consumatori le ultime cifre dell’FBI per gli Stati Uniti, pubblicate nel febbraio 2020, riportano tra gli “argomenti più seguiti” gli attacchi alla posta elettronica aziendale (BEC), la frode sugli anziani (sottolineando che gli anziani sono particolarmente colpiti in tutte le forme di truffe via e-mail ), la frode del supporto tecnico e il ransomware. Il primo non riguarda più solo le aziende, ma può anche essere mirato a qualsiasi persona che si ritiene abbia risorse. L’ultimo, mentre ora interessa le aziende, viene ancora diffuso ai consumatori via e-mail. Gli altri due sono, o spesso implicano, corrispondenza e-mail.
Il rapporto dell’FBI riporta alcune cifre riferite ad altre minacce (ma ricorda che la realtà è probabilmente peggiore poiché riguarda solo i crimini denunciati all’FBI). Alcuni esempi includono $ 475 milioni persi da vittime di attacchi basati sulla fiducia e frodi romantiche; $ 160 milioni persi per furto di identità; $ 111 milioni per frode con carta di credito; $ 100 milioni derivati dalle frodi per pagamento anticipato (la cosiddetta frode nigeriana); $ 54 milioni per truffe del supporto tecnico; e così via. Tutto ciò solo nel 2019.
Attacco e difesa
L’attacco
Le truffe si presentano in tre forme di base: un tentativo di coinvolgere la vittima in una conversazione con l’attaccante (come truffe romantiche, truffe a pagamento anticipato, truffe della lotteria e altro); un tentativo di fare in modo che l’obiettivo faccia clic su un collegamento e visiti un sito dannoso; e un documento dannoso allegato.
Da una parte il buon senso può proteggerci dal primo – ma gli utenti meno esperti sono comunque a rischio.
L’allegato dannoso e il collegamento pericoloso sono le minacce generali più diffuse che riguardano tutti. Il testo dell’e-mail conterrà un messaggio di ingegneria sociale progettato per indurci a fare clic su un collegamento o aprire un documento allegato. Il collegamento potrebbe portare a un sito dannoso che potrebbe persuaderci a inserire dati personali o password del conto bancario, mentre il documento allegato potrebbe cercare di installare direttamente il malware (da un spyware di informazioni a un malware fraudolento bancario fino al ransomware).
Gli attacchi e-mail più avanzati “falsificheranno” la fonte. Sembreranno provenire e condurre a fonti legittime o autentiche. Ad esempio, se conosci o lavori con JoeBloggs @ xyz.com, i criminali potrebbero tentare di registrare JoeBloggs @ gmail.com e inviarti un’e-mail da questo indirizzo. Allo stesso modo, potrebbero registrare domini simili – come bankofamericaco [.] com (attualmente disponibile) per bankofamerica.com – e sviluppare il sito in modo malevolo. L’intento è quello di rassicurare il visitatore sia sul mittente che sulla destinazione del link.
Il futuro
In futuro la situazione è purtroppo destinata a peggiorare. L’intelligenza artificiale e l’apprendimento automatico sono grandi soluzioni di sicurezza. Ma sono anche ottimi strumenti per attaccare.
L’apprendimento automatico è una tecnologia in cui vengono apprese azioni esaminando e analizzando grandi quantità di dati, oggi conosciute come big data. I criminali hanno accesso agli algoritmi utilizzati nell’apprendimento automatico. Hanno anche accesso a enormi quantità di dati per istruire i loro stessi sistemi di attacco.
A un certo punto, i criminali useranno l’apprendimento automatico automatizzato sui miliardi di credenziali rubate disponibili nel dark Web per poter colpire e attaccare automaticamente e su vasta scala qualsiasi tipo di utente. Gli attacchi mirati che attualmente chiamiamo spear-phishing verranno distribuiti massivamente come le attuali campagne di phishing “spray and pray”.
Soluzioni tecnologiche
Filtri per e-mail e browser
I principali provider di posta elettronica e browser tentano di filtrare le minacce. I “filtri antispam” incorporati metteranno in quarantena e successivamente rimuoveranno gli attacchi evidenti. Questo è un grande aiuto per la rimozione delle minacce che arrivano per e-mail – ma purtroppo non è sufficiente per eliminare tutto il phishing – o anche qualsiasi attacco di spear-phishing.
Allo stesso modo, i principali browser ci impediranno di visitare i siti dannosi noti. Ma i criminali possono produrre nuovi siti dannosi più velocemente di quanto gli esperti di sicurezza possano identificarli. Quindi, ancora una volta, questo è un aiuto ma non una soluzione.
Anti-malware
Un buon prodotto antimalware costantemente aggiornato è essenziale in quanto rileva la stragrande maggioranza dei malware, e proteggerà da tutte le tecnologie di attacco tranne quelle più avanzate con l’ultimo malware ancora sconosciuto.
L’antimalware è solo il punto di partenza fondamentale per la tua difesa contro la minaccia e-mail.
DMARC e BIMI
DMARC (autenticazione, creazione di report e conformità dei messaggi basati sul dominio) e BIMI (indicatori di marchio per l’identificazione dei messaggi) sono tecnologie che dovrebbero essere implementate da tutte le società che operano online. DMARC è una tecnologia che funziona tra aziende e provider di posta elettronica che rileverà tentativi di falsificazione del marchio. Se correttamente implementato, DMARC bloccherà tutte le e-mail false apparentemente provenienti da aziende legittime.
L’uso di DMARC sta progressivamente crescendo, ma solo una piccola percentuale di aziende lo ha già adottato. I consumatori hanno un problema: se da una parte protegge le aziende che lo utilizzano correttamente, dall’altra l’utente finale potrebbe credere erroneamente che le e-mail ricevute siano legittime quando non lo sono (perché il mittente non utilizza DMARC).
Una soluzione a questo può essere BIMI. Le aziende che hanno installato DMARC possono utilizzare BIMI con il provider di posta elettronica per aggiungere un logo aziendale adiacente alle e-mail protette da DMARC. Se questo logo appare con l’e-mail consegnata, è una chiara indicazione che l’e-mail è autentica.
Soluzioni personali
Se la tecnologia può ridurre la minaccia e-mail, purtroppo però non può eliminarla definitivamente. La difesa finale deve essere rappresentata da noi stessi e dai nostri comportamenti – dobbiamo essere consapevoli che siamo tutti costantemente sotto attacco. Tutte le e-mail dovrebbero essere analizzate con un iniziale scetticismo.
Il primo consiglio è di invertire il proverbio russo “Fidati ma verifica”: ora dovremmo verificare prima di fidarci. Se nell’e-mail c’è qualcosa che stona – errori di ortografia, errori grammaticali che non ci aspetteremmo o un allegato di qualcuno che non conosciamo o che normalmente non ci invia allegati – occorre fermarsi e controllare meglio. Un buon consiglio è spostare il cursore del mouse sul nome del mittente e vedere l’indirizzo e-mail utilizzato.
Lo stesso processo può essere utilizzato con i collegamenti incorporati nel testo dell’e-mail. Quello che viene visualizzato potrebbe essere semplicemente “Fai clic qui”. Se si tiene il cursore sul collegamento, senza fare clic, verrà indicato l’indirizzo effettivo. Può ovviamente essere dannoso o può essere mascherato da un servizio di abbreviazione di collegamenti in stile bitly. In quest’ultimo caso, valutare se il mittente debba davvero utilizzare bit.ly.
Un consiglio importante: molta attenzione quando si controlla la posta da un telefono cellulare o laptop con un touchpad. Alcuni touchpad sono così sensibili che è facile fare clic su un collegamento mentre tutto ciò che si intende fare è passarci sopra il cursore.
Chiudiamo con quello che consideriamo il miglior suggerimento possibile, riproponendo il famoso motto di Benjamin Franklin, “Non rimandare a domani quello che puoi fare oggi”, e rielaborandolo in “Non fare ora quello che puoi fare altrettanto facilmente dopo”. Non avere fretta di analizzare un’e-mail ricevuta consentirà di vedere più facilmente incoerenze e minacce nascoste nel messaggio.
Lascia un commento