Il phishing è la categoria più prolifica di cyber truffa. Tra le altre citiamo le truffe romantiche, quelle delle rapine all’estero, le frodi con commissioni anticipate e molte altre. La maggior parte delle truffe cerca di sottrarre soldi e il phishing è l’unico alla ricerca dei dati personali, di solito password e dettagli bancari.
Questa è la differenza fondamentale che analizzeremo in questo articolo. Se è per soldi si tratta di una truffa. Se è per le credenziali, si tratta di phishing. Che si tratti di adescamento (via telefono), di smishing (tramite chat) o di spear-phishing (phishing mirato), in tutti i casi si tratta essenzialmente di un tentativo di sottrarre dati personali.
Ci sono aiuti tecnologici per prevenire il phishing – ma dato l’ultimo rapporto dell’FBI che rileva 114.702 attacchi di phishing nel 2019 con una perdita di quasi 58 milioni di dollari, è giusto dire che non sono infallibili. Il modo migliore per proteggersi dagli attacchi di phishing è riconoscerli e il modo migliore per riconoscerli è attraverso la conoscenza della loro struttura e di come funzionano.
Il phish
Le due principali categorie di phishing sono standard e spear-phishing. Il primo è un phishing non mirato, su larga scala, generalmente diffuso in campagne di spam. Questo è spesso noto come phishing “spray and pray”. Il secondo, lo spear-phishing, è il sistema in cui un individuo o un piccolo gruppo di persone affini vengono presi di mira con precisione.
Phishing spray-and-pray
Probabilmente siamo stati tutti soggetti – e abbiamo riconosciuto – una campagna spray and pray. Una rapida occhiata nella nostra cartella spam ne mostrerà probabilmente dozzine, tutte filtrate dal nostro fornitore di servizi e-mail. Sono relativamente facili da riconoscere, spesso includono errori di battitura, errori grammaticali e hanno un aspetto generale poco professionale. Secondo il Rapporto sulle indagini sulle violazioni dei dati del 2020, le percentuali di clic sulle e-mail di phishing sono ai minimi storici, appena il 3,4%.
Questo rende lo spray-and-pray un gioco di numeri. Ogni dato messaggio di phishing ha una probabilità del 96,6% di essere ignorato dalla sua vittima, anche se lo fa attraverso i filtri automatizzati del servizio di posta elettronica. Tuttavia, ciò significa che per ogni cento messaggi inviati con successo in una campagna spray-and-pray, possiamo aspettarci che tre o quattro persone ne rimangano vittime. Se una campagna riesce a distribuire 100.000 messaggi fraudolenti, questo dà agli hacker 3.400 vittime.
Spear-phishing
Lo Spear-phishing è più sofisticato, spesso più tecnico ed è potenzialmente più dannoso del phishing spray-and-pray. Gli spear-phisher cercheranno il proprio target usando diverse forme di OSINT (intelligence open source, come i social media), raccogliendo informazioni sulle abitudini del target, quali servizi usano, i loro contatti e altro. Con queste informazioni incluse nell’email, il messaggio può sembrare provenire da una fonte attendibile e spesso sarà convincente.
Vale la pena ricordare che, poiché il phishing spray-and-pray è facile da rilevare, molte persone credono di non poter essere ingannate da alcun tipo di phishing. Questo pensiero può rivelarsi pericoloso. Probabilmente non c’è nessuno al mondo che non possa essere vittima di spear-phishing. Consideriamo ad esempio il caso della giornalista del Telegraph che ha effettivamente sfidato un hacker etico a introdursi nel suo computer. Lo ha fatto sfruttando solo spear-phishing sfruttando una notizia avvincente unita a un senso di urgenza.
Le vittime soccombono agli attacchi di phishing a causa della combinazione della struttura dell’e-mail e del “richiamo” che contiene e dell’inclusione di vari fattori emotivi scatenanti che suscitano la risposta richiesta dall’aggressore. Ne discuteremo in seguito come “anatomia di un phish” e “trigger emotivi”. Capendo come si può cadere nella trappola, sarà più semplice riconoscere e ignorare (o segnalare) un attacco di phishing quando accade.
Anatomia di un phishing
Ci concentreremo sul phishing via e-mail, poiché questo è il vettore più comune per gli attacchi di phishing e quello che ci consente di analizzare l’anatomia completa dei messaggi di phishing.
L’intestazione email visibile
L’intestazione dell’email visibile è quella parte dell’email che possiamo vedere prima di aprirla. È la prima opportunità per l’attaccante di catturare la nostra attenzione, ma è anche il punto in cui molte campagne di spray-and-pray falliscono immediatamente. L’intento è quello di sembrare un argomento interessante da una fonte attendibile. Un esempio di spray and pray viene da ‘ _ nooreply [@] l1i.affpartners.com’. L ‘”alta priorità” non è una persona, ma ha lo scopo di aggiungere un senso di urgenza all’e-mail (vedere “trigger emotivi” di seguito), incoraggiando le potenziali vittime ad aprirlo prima possibile. Un’analisi più ravvicinata ci consente di vedere più lacune: “l1i.affpartners.com” non sembra un dominio legittimo e “nooreply” è probabilmente un refuso per i più soliti “no.reply” o “no-reply”.
Gli attacchi di spear-phishing possono essere più sottili. Se si ha un contatto con l’indirizzo e-mail John.Smith [@] company.com, gli aggressori possono inviare messaggi come John.Smith [@] google.com, utilizzando un servizio di posta elettronica aperto e sperando che il diverso dominio passi inosservato.
Un argomento che attira l’attenzione
La riga dell’oggetto è la chiave per un buon phishing – è il fattore principale in ciò che ci fa decidere se leggere l’email o meno. Deve essere abbastanza corto per essere facilmente elaborato dalla vittima, ma deve contenere forti stimoli emotivi per renderlo difficile da ignorare. Oggetti di phishing efficaci faranno leva sul senso di minaccia, urgenza o sulla prospettiva di guadagno per l’utente. Secondo una ricerca di KnowBe4, l’argomento di phishing più cliccato è “È necessario modificare immediatamente la password”, con righe simili che rappresentano altri tre dei primi 10 argomenti di phishing più cliccati. Anche le catastrofi internazionali sono argomenti avvincenti, con la curiosità, la paura e la compassione che sono i tipici fattori emotivi scatenanti – e la pandemia di COVID-19 ne è un chiaro esempio.
Un testo email convincente
Con tutte le forme di truffa via e-mail, il corpo o il contenuto contiene l’”esca”. Possiamo considerare tranquillamente l’esca come lo strumento per prendere all’amo la vittima del phishing.
A questo punto, l’attaccante ha convinto con successo l’obiettivo ad aprire e leggere l’e-mail. Ora l’esca nel corpo dell’email deve convincere la vittima a fare clic su un collegamento o a rispondere. L’esca è in genere piena di trigger emotivi progettati per coinvolgere la vittima.
Gli errori grammaticali e di ortografia, nonché la strana sintassi tipica degli attacchi spray e pray rendono ovvio che si tratta di un phishing. I due trigger emotivi più comuni sono gli affari (chi non vorrebbe un iPhone gratuito?) e l’urgenza (all’obiettivo vengono date solo 24 ore, o questa “opportunità” svanirà). Altre esche comuni di phishing vanno dalle fatture ordinarie e plausibili (ma fraudolente) a notifiche di consegna passando per minacce legali più onerose, o semplicemente da messaggi provenienti da organizzazioni di beneficenza o governative.
La payload
La payload è il punto cruciale dell’e-mail di phishing. La payload più comune è un collegamento dannoso; questo può portare a un sito Web pericoloso o compromesso in cui una schermata di accesso falsificata raccoglie le credenziali e le invia ai criminali. Il collegamento può trovarsi nel corpo dell’email o in un allegato.
Qualsiasi collegamento della payload è di solito mascherato come nei pulsanti “fai clic qui”. Se si sposta il cursore del mouse sopra un collegamento, la maggior parte dei browser visualizzerà l’URL nella parte inferiore sinistra dello schermo, consentendo di vedere la destinazione effettiva. Per evitare questa possibilità di essere intercettati, molti phisher utilizzano sistemi di riduzione degli URL come Bitly per nascondere la vera destinazione. L’offuscamento dell’URL è sempre sospetto, quindi qualsiasi e-mail contenente un URL abbreviato o offuscato dovrebbe probabilmente essere trattata come phishing fino a prova contraria.
Trigger emotivi
L’intestazione, l’oggetto, l’esca e la payload formano la struttura fondamentale di un phishing, ma il successo o il fallimento si basa sui fattori scatenanti emotivi contenuti nel messaggio. I trigger emotivi sono lì per indurre una reazione immediata, senza pensare, istintiva, perché più possiamo pensare, analizzare e considerare un messaggio di phishing, meno è probabile che abbia successo. Di conseguenza, è importante concederci del tempo. Anche se un’e-mail appare sia urgente che legittima, imponiamoci una regola per non rispondere a nessuna senza un breve periodo di riflessione ciò ci aiuterà a mantenere la calma e a superare i tentativi di manipolazione emotiva.
Di seguito elenchiamo i principali trigger emotivi, ma è importante ricordare che ne possono essere usate varie combinazioni all’interno di una stessa e-mail di phishing e gli attacchi più sofisticati li useranno in modi molto sottili.
Affari
Un affare potrebbe essere il primo innesco emotivo sfruttato dalle truffe di phishing. Tale stimolo è antico e risale ancora prima della truffa del famigerato Principe nigeriano, ma ancora oggi è davvero molto utilizzato. Alla fine del 2019, i dipendenti Microsoft sono stati presi di mira da una campagna di phishing che prometteva di rivelare aumenti salariali imminenti. La payload era un collegamento a una schermata di accesso fraudolenta progettata per raccogliere le credenziali di accesso di Microsoft Office. Due assiomi sono sempre importanti da tenere a mente quando si apre una e-mail: nulla nella vita è gratuito; e se qualcosa sembra troppo bello per essere vero, probabilmente non lo è.
Urgenza
L’urgenza è una costante nel phishing. Piuttosto che essere un innesco emotivo efficace da solo, l’urgenza deve funzionare in combinazione con altri fattori emotivi scatenanti: hai un dono gratuito ma devi reclamarlo entro 24 ore. Abbiamo informazioni imbarazzanti da condividere con tutti i tuoi contatti se non rispondi entro la mezzanotte. Se il truffatore riesce a togliere il tempo per riflettere alla vittima o portarla in uno stato di panico, aumenta drasticamente la possibilità di ingannare con successo il bersaglio.
Le buone difese mentali contro l’urgenza sono difficili da applicare perché l’urgenza è specificamente progettata per rompere quelle difese mentali. Tuttavia, è utile ricordare che se ricevi un’e-mail o un messaggio che ti riempie di terrore, è probabile che chi lo ha inviato desideri proprio farti prendere dal panico. Occorre considerare l’urgenza come segno che è tempo di fermarsi e pensare attentamente, ciò può aiutare a sventare anche la maggior parte delle campagne di phishing più efficaci.
Paura
La paura può applicarsi in molte situazioni e contesti diversi. C’è spesso una forte interazione con l’urgenza, specialmente quando si tratta di temere conseguenze negative se non si risponde immediatamente. La paura e l’urgenza spesso equivalgono al panico e possono essere utilizzate in minacce legali o ricatti per pubblicare informazioni personali intime.
La paura può anche essere meno viscerale: la paura di perdere un’opportunità e la paura di non essere informati possono essere ugualmente fattori emotivi stimolanti. Le truffe di phishing spesso sfruttano sia la paura del pericolo, sia quella di perdere notizie importanti (FOMO).
La pandemia di COVID-19 ha provocato una serie di truffe di phishing che colpiscono entrambi questi aspetti della paura; l’infezione mortale e contagiosa ha minato la sicurezza di molti, e c’è un forte desiderio comune di rimanere informati e aggiornati su tutti gli ultimi sviluppi (o ottenere una fornitura molto limitata di (inesistenti) vaccini).
Altruismo
Mentre la maggior parte dei trigger emotivi sfruttano i nostri istinti di base, anche la parte migliore di noi può essere sfruttata dei criminali. Qualsiasi crisi, emergenza o disastro tende a provocare un picco nelle e-mail di phishing che tentano di lucrarci sopra. Le e-mail di phishing possono impersonare un’organizzazione di beneficenza o una persona bisognosa. L’ondata di tempeste tropicali nel 2018 e nel 2019 ha spinto una varietà di organizzazioni (inclusa la FCC ) a emettere avvisi ufficiali sulle truffe post-disastro, esortando gli utenti a verificare attentamente le credenziali di qualsiasi ente di beneficenza. Questi cosiddetti enti di beneficenza non solo si appropriano delle tue donazioni ma anche dei tuoi dati bancari.
Curiosità
La curiosità può essere un fattore scatenante particolarmente pericoloso, poiché spesso non consideriamo che ‘dare solo un’occhiata’ può metterci in pericolo. Gli stessi principi che si applicano agli articoli clickbait online possono essere utilizzati nel phishing; qualsiasi argomento sufficientemente sensazionalista potrebbe essere irresistibile per la nostra curiosità: “semplicemente non crederai al numero 7!” Sulla scia della morte di Kobe Bryant all’inizio di quest’anno, il clickbait phishing con argomenti come “fantastico”, “scioccante” o “mai visto prima!” è diventato così diffuso che ha spinto il Better Business Bureau a emettere un avvertimento ufficiale per i consumatori.
Difese tecnologiche contro il phishing
Le aziende e le organizzazioni di sicurezza informatica sono sempre alla ricerca di modi per prevenire il phishing con la tecnologia. Per quanto queste soluzioni tecnologiche possano aiutare a mitigare il phishing e ridurre l’esposizione degli utenti alle truffe, la continua prevalenza del phishing e il danno che provoca significa che finora dobbiamo considerarli ancora un fallimento. Secondo il DBIR del 2020, il 22% di tutte le violazioni nell’ultimo anno ha coinvolto il phishing, mentre circa l’80% di tutti gli attacchi di tipo “sociale” sono messaggi di phishing di qualche tipo.
Filtri URL e scansione e-mail
Gli sviluppatori di browser mantengono black list di siti Web noti di phishing che possono aiutare a impedire agli utenti di visitare URL dannosi. Questo è solo parzialmente efficace, poiché la campagna di phishing media dura solo 12 minuti: il sito Web dannoso cambia prima di poter essere aggiunto alla black list.
Anche l’intelligenza artificiale viene utilizzata per scansionare le e-mail così da rilevare il phishing. Questo può essere efficace con il phishing spray-and-pray, ma i prodotti di IA comportano spese elevate e tendono ad essere utili solo alle aziende piuttosto che ai consumatori.
DMARC
DMARC – abbreviazione di autenticazione, creazione di report e conformità dei messaggi basata sul dominio – è una tecnologia che in qualche modo lavora in modo inequivocabile contro il phishing. Non entreremo nei dettagli della tecnologia (DMARC è costruito sulla base di altre tecnologie, in particolare SPF e DKIM, che sono state progettate anche per contrastare il phishing), ma spieghiamo semplicemente perché funziona quando funziona e perché in definitiva non funziona nell’aiutare l’utente finale.
DMARC lavora contro il cosiddetto “phishing del dominio esatto”. Qui è dove l’e-mail di phishing sembra provenire dal dominio esatto, previsto e corretto (come mostrato nella riga “Da” dell’intestazione). Se DMARC è installato da un fornitore di servizi, la tecnologia conferma che il messaggio proviene davvero da quel dominio. In caso contrario, presuppone sia un phishing e lo blocca.
Per avere un’idea sul suo funzionamento, basta analizzare la situazione dell’autorità fiscale del Regno Unito, HMRC. Nel 2016, questo dominio è stato il 16 ° dominio più utilizzato nelle campagne phishing al mondo. HMRC ha quindi installato DMARC e da allora è sceso al numero 126. Durante questo periodo, DMARC ha bloccato 300 milioni di tentativi di e-mail di phishing.
Tuttavia, DMARC non può fare nulla per fermare il phishing di dominio non esatto. È qui che il dominio “from” nell’intestazione dell’email è simile al dominio esatto anziché autentico. Quindi, ad esempio, si potrebbe registrare il dominio ‘hnnrc [.] Co.uk’ o hnnrc [.] Uk o hnnrc [.] Org.uk o hnnrc [.] Me.uk, con l’aspettativa fondata che una percentuale di destinatari non si accorgerebbe che hnnrc non è hmrc.
La seconda debolezza di DMARC è che solo una piccola percentuale di aziende l’ha implementata. Ma il vero punto debole è che l’utente finale non ha modo di sapere se un’e-mail ricevuta è stata controllata o meno da DMARC. Di conseguenza, tutte le e-mail ricevute devono essere considerate sospette, indipendentemente dal fatto che DMARC sia coinvolto.
C’è un tentativo di risolvere l’ultimo problema con l’introduzione di un’altra tecnologia: BIMI o Indicatori di marca per l’identificazione dei messaggi. BIMI funziona solo dove DMARC è stato implementato in modo completo e corretto. Se il fornitore di servizi e-mail sa tramite DMARC che l’e-mail è autentica e se il dominio di invio ha implementato BIMI, il servizio e-mail inserirà il logo del dominio nell’elenco e-mail. Quindi, se controlli la tua lista e-mail e vedi il logo del mittente previsto, puoi essere sicuro che l’e-mail è autentica e non un’e-mail di phishing.
Ma ancora una volta, solo una piccola percentuale di organizzazioni ha implementato completamente DMARC e solo una piccola percentuale di queste ha introdotto BIMI. Non è probabile che accada, ma il phishing del dominio esatto potrebbe essere eliminato se DMARC e BIMI fossero richiesti come standard di posta elettronica. Nel frattempo, dal punto di vista dell’utente finale, DMARC non fa nulla per risolvere il problema di phishing anche se funziona.
Conclusioni
Abbiamo molte più probabilità di essere ingannati dal phishing di quanto pensiamo. Ad esempio, in un sondaggio condotto da PhishMe l’anno scorso, solo il 10,4% degli intervistati riteneva che la paura fosse un fattore motivante efficace nell’aprire un’e-mail. Tuttavia, il 44% dei partecipanti ha aperto una simulazione di e-mail di phishing che minacciava il destinatario con un reclamo legale. Solo il 7,8% riteneva che sarebbero stati ingannati dalla prospettiva di un’opportunità, ma uno spoof phishing che affermava che i destinatari avessero diritto all’assicurazione medica è stato cliccato dal 39,2% dei partecipanti.
Si dice spesso che l’anello debole nella sicurezza sia l’utente, ma con sufficiente consapevolezza e comprensione, non è necessario che sia così. La tecnologia non ha ancora una soluzione affidabile al phishing e questi attacchi non possono essere gestiti da anti-malware o dalla sicurezza informatica generale a causa della loro natura psicologica. Se riusciamo a riconoscere gli attacchi di phishing comprendendone la struttura, mantenendoci calmi e vigili e non facendoci travolgere dall’emotività, potremo diventare l’anello più forte della sicurezza.
Lascia un commento