Cisco: email vettore “infinito”di minacce. Situazione in peggioramento.

email_logo

“Email: Click with Caution” è il titolo di un recente report pubblicato dagli analisti di sicurezza informatica Cisco. Secondo quanto affermato dallo stesso Ben Munroe, direttore di Cisco Security,

a volte il numero di minacce che arrivano dalle email sembra quasi infinito. […] E che questo rappresenti ancora un problema per noi… è incredibile. La situazione non sta migliorando, anzi è peggiorata

In effetti, considerando che lo spam ha ormai compiuto 40 anni mentre gli attacchi di phishing sono sulla scena da circa una trentina, è singolare che non sia stata trovata una soluzione al problema. Che l’email sia davvero lo strumento perfetto per carpire informazioni e dati preziosi? Probabilmente si, suggeriscono gli analisti:

la struttura delle email “è un formato quasi ideale” per i truffatori. I dipendenti sono costretti a leggere ogni messaggio, prendere delle decisioni in base a ciò che ricevono e stabilire quali elementi aprire, cliccare, scaricare [ed a quali messaggi rispondere].

L’anello debole del perimetro di sicurezza sono quindi i dipendenti, come detto più volte in altri approfondimenti, ma gli analisti ne ridimensionano in parte le responsabilità, affermando che i truffatori hanno da sempre un sostanziale vantaggio sui primi – che si trovano ad affrontare “impreparati” (a volte) ogni nuova minaccia.

Tecnologia e psicologia delle email

L’evoluzione degli attacchi via email, prosegue il report, si fonda su un duplice avanzamento a livello tecnologico e “psicologico”.

Il primo riguarda la ricerca di inedite falle di sistema/vulnerabilità e la creazione di nuove payload (“funzionalità” in grado di espandere le azioni eseguibili da un virus); il secondo rappresenta l’evoluzione delle tecniche di social engineering, quindi dell’attento studio comportamentale dei bersagli e dell’impersonare entità fittizie (es: fingersi consulenti bancari, colleghi di lavoro, un addetto delle Poste Italiane etc.) – sempre al fine di carpire informazioni preziose.

“Occorre difendersi sia sul versante tecnologico che psicologico”, ribadisce Wendy Nather, situazione che complica in modo esponenziale il lavoro dei CISO (Chief Information Security Officer): per il 56% del campione è infatti difficile o estremamente difficile “proteggere il perimetro” dagli utenti/dipendenti stessi mentre solo il 51% dei CISO afferma di svolgere un eccellente lavoro. Tra le altre tendenze più rilevanti spiccano:

  • inedite strategie per l’invio di malware; nuova idea di malware. La maggior parte degli utenti ha imparato a diffidare degli eseguibili (file .EXE). Gli hacker sono quindi ricorsi a nuovi approcci, puntando su messaggi senza/con pochi link malevoli ed allegati in grado di destare meno sospetti.
    Tra gennaio ed aprile 2019 solo il 2% degli allegati analizzati da Cisco erano file binari (un tempo in voga); i file JavaScript sono invece saliti al 14.1%, in forte ascesa rispetto al passato; gli archivi compressi .ZIP rappresentavano il 26.3% mentre i .DOC il 41.8%.
    Il concetto di “malware” si è evoluto con inediti modelli di distribuzione (as a service) e funzionalità avanzate in grado di aiutare il malware stesso a capire dove si trova e se è possibile carpire informazioni preziose o sfruttare determinate caratteristiche dell’ambiente (es: banda elevata per il lancio di un attacco DDoS).
  • Il furto di credenziali è la tipologia più diffusa di truffa. I criminali si appoggiano a falsi indirizzi (es: micros0ftsupport@gmail.com) per chiedere ai destinatari la compilazione di appositi form – ospitati su siti ad hoc. Il 27% degli attacchi email più avanzati parte invece account compromessi (in crescita del 7% rispetto al quarto trimestre 2018). Tra i provider più bersagliati Microsoft e Google (con relativi servizi annessi).
  • L’attacco ad account di alto profilo (es: dirigenti) è un altro trend da tenere sotto osservazione. Nel 2018 il furto di credenziali di “alto livello” ha causato perdite pari a 1.2 miliardi di dollari. Per colpire bersagli di questo tipo, i truffatori si affidano a webmail gratuite (33%) ma anche a domini registrati (28%). Il testo dei messaggi è di frequente personalizzato in base al target.
  • Estorsioni digitali. I criminali cercano di convincere la vittima d’essere in possesso di materiale compromettente (video privati etc., ne abbiamo parlato in un precedente approfondimento): per evitare che il tutto venga diffuso online occorre naturalmente pagare un riscatto. Gli analisti sottolineano che tale tipologia di truffa si evoluta di pari passo con le capacità hardware (diffusione delle webcam etc.) e di Rete (velocità sempre maggiore delle connessioni, streaming) dei bersagli.

Come riconoscere un attacco phishing?

In chiusura, gli analisti suggeriscono una serie di utili consigli per riconoscere eventuali tentativi di truffa:

– [urgenza della comunicazione: se l’email richiede un’azione immediata da parte del destinatario, agire con cautela e chiedere conferma al mittente.

– URL insoliti. Gli indirizzi di phishing hanno spesso un aspetto inusuale. Se il link non è visibile (perché associato ad una o più parole), posizionare semplicemente la freccia del mouse sopra il testo per visualizzarne l’anteprima ed esaminarlo. Avete dubbi? Non cliccate.

– Estensioni file insolite. La maggior parte delle email di lavoro si appoggia a tipologie di file ricorrenti. Se non le riconosci, non aprirle.

– Errori di battitura e loghi sfocati. Email con uno o più errori o una struttura diversa dagli standard possono indicare la natura malevola del messaggio].

Fonte: 1.