WHITE PAPER

Il phishing non riguarda più

solo l'e-mail: adesso

interessa anche i social

1Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Analisi riassuntivaNonostante anni di pubblicità e milioni di dollari spesi nella formazione del personale, il phishing rimane la minaccia interna più diffusa che le organizzazioni si trovano ad affrontare.1 Il 93% delle violazioni della sicurezza IT sono la conseguenza diretta di una qualche forma di phishing2 e il 34% di tutti gli attacchi di phishing è espressamente rivolto alle aziende.3 Ogni giorno i dipendenti mettono involontariamente a disposizione di utenti malintenzionati informazioni personali e aziendali.

E ora gli autori degli attacchi stanno ampliando le proprie reti.

Non limitandosi più alle e-mail, i criminali sfruttano popolari reti di social media, applicazioni di messaggistica istantanea e servizi di condivisione di file online. Facebook, Slack, Microsoft Teams, Dropbox, Google Docs e altre piattaforme conosciute offrono ai criminali un punto di accesso alle aziende. Questi canali sono molto più personali, invitano alla condivisione e alla distribuzione su ampia scala; in questo modo, quindi, il phishing può propagarsi esponenzialmente.

Al criminale non serve altro che una serie di credenziali rubate per accedere alla rete aziendale, in cui è possibile muoversi lateralmente per trovare e sottrarre i "gioielli della corona" di un'azienda.

I controlli di sicurezza tradizionali hanno una capacità limitata di mitigare questi rischi. I dipendenti oggi sono mobili e distribuiti. Sono in grado di accedere all'e-mail personale e agli account social dai propri dispositivi aziendali, solo con un monitoraggio marginale da parte dei reparti IT. E quando accedono alle applicazioni social dai dispositivi mobili, si trovano al di fuori della sfera di controllo dell'azienda.

La vigilanza, purtroppo, non può fare molto. Appena gli addetti alla sicurezza bloccano un tipo di attacco di phishing, altri tipi di attacco sono pronti a colpire. È il gioco del gatto e del topo e i criminali sono sofisticati, pazienti e ben orientati. Continuano a cercare modi per aggirare i sistemi di difesa aziendali esistenti.

A peggiorare la questione, gli utenti malintenzionati possono acquistare facilmente kit di phishing in commercio su siti illegali. Questi strumenti offrono agli scammer tutto ciò di cui necessitano per creare rapidamente pagine web false e lanciare campagne malevoli tramite e-mail e canali social con l'intento di penetrare nell'azienda.

Inoltre, sempre più e-mail di phishing eludono i sistemi di sicurezza delle e-mail aziendali.4 Sebbene sia probabile che la maggior parte delle aziende moderne si avvale di sistemi di protezione, queste vie di accesso e questi filtri sono ben distanti dall'essere perfetti. In termini di efficienza, affidarsi a un unico livello di difesa per proteggersi da questi attacchi dilaganti non è la strada migliore da seguire.

Ieri

Oggi

2Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Di fronte a queste sfide, oggi le aziende necessitano di un nuovo approccio alla sicurezza aziendale. Vale a dire, una mentalità Zero Trust: fidarsi di nulla, verificare tutto, mantenere controlli regolari. Ogni richiesta di accesso deve essere autenticata, autorizzata e concessa temporaneamente.

Una protezione dalle minacce avanzata, basata sul cloud e in tempo reale è fondamentale per questa trasformazione della sicurezza. Consentirà all'azienda di rimanere aggiornata nel panorama delle minacce in evoluzione, comprendendo il fenomeno del phishing nei social che analizziamo in questo white paper.

L'impatto del phishing sul businessLe organizzazioni mondiali riferiscono che gli schemi di phishing rappresentano la fonte principale delle violazioni della sicurezza aziendale. Il 93% di esse è la conseguenza diretta di una qualche forma di phishing.5

La presenza e l'efficacia del phishing sono sbalorditive:

• 1 e-mail su 99 è un attacco phishing che utilizza come vettore principale link e allegati malevoli6

• Il 52% degli attacchi a e-mail riusciti induce le vittime a fare clic entro un'ora e il 30% entro 10 minuti7

• Ogni mese vengono creati quasi 1,5 milioni di nuovi siti di phishing8

• L'83% dei professionisti nel settore della sicurezza informatica ha subito attacchi di phishing nel 2018.9

Questo dato non deve stupire. Per un cybercriminale è decisamente più facile accedere a una rete aziendale tramite le informazioni rubate a un dipendente di quanto lo sia insinuarsi in un'azienda. A un hacker basta solo disporre di una serie di credenziali compromesse per ottenere l'accesso e creare un punto d'appoggio. Questo accesso iniziale consente velocemente lo spostamento laterale, l'identificazione e l'esfiltrazione delle risorse più importanti.

E l'impatto è considerevole:

• Il costo medio di un attacco di phishing ammonta a 1,6 milioni di dollari per un'azienda di medie dimensioni10

• 1 cliente su 3 interromperà il business con un'azienda vittima di violazione della sicurezza informatica11

3Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Phishing nei social: lanciare una rete più ampiaSocial network, applicazioni di messaggistica e servizi di condivisione di file devono tutti confidare su un certo livello di fiducia. Questo fa dei social media vettori di attacco. Gli utenti malintenzionati approfittano della sicurezza percepita e della community di queste piattaforme inducendo gli utenti a diffondere inconsapevolmente contenuti dannosi. Nel corso del primo trimestre del 2019, il numero degli episodi di phishing sui social media è aumentato di oltre il 70%.12

Una pratica comunemente adottata nel ciclo di vita del phishing è quella di includere un passaggio in cui la vittima sia indotta a condividere un link, un URL di un sito falso o compromesso, attraverso i social network. Poiché il link viene condiviso tramite un contatto affidabile o noto, i collegamenti social della vittima diventano presto preda degli stessi schemi. E la fiducia mal riposta in una destinazione pericolosa si propaga.

Nel suo white paper La nuova era del phishing: giochi, social e premi, il ricercatore nel campo della sicurezza Or Katz ha esaminato il modo in cui gli attacchi di phishing nei social sfruttano concorsi e premi per inviare link malevoli.13 Premi e promozioni falsi camuffati da opportunità legittime incentivano ulteriormente la distribuzione, creando ambienti che inducono le vittime a divulgare informazioni personali e aziendali.

Man mano che i canali social crescono in numero e popolarità, gli esecutori delle minacce dispongono di più modi per raggiungere le vittime.

Forbes riferisce che i criminali ora si avvalgono di servizi di messaggistica istantanea quali Slack, Skype, Microsoft Teams e Facebook Messenger per acquisire nuove vittime e ampliare considerevolmente le proprie campagne.14 Questi schemi incentrati sui social utilizzano numerosi metodi impiegati dal phishing tramite e-mail, quali imitazione, sfruttamento della fiducia implicita e link malevoli, ma li distribuiscono tramite queste piattaforme di comunicazione di ultima generazione.

Secondo il CSO, gli utenti malintenzionati mettono in atto costantemente attacchi tramite la condivisione di file online e strumenti di collaborazione, quali Microsoft OneDrive, Google Docs, SharePoint, WeTransfer, Dropbox e ShareFile.15 Talvolta i file contengono un malware. A volte sono parte di uno schema di phishing più ampio, volto alla trasmissione e all'utilizzo di messaggi, documenti e altri materiali che potrebbero contribuire a legittimare lo schema agli occhi di destinatari e scanner delle e-mail aziendali.

Gli utenti dei social media fittizi aggiungono un altro elemento a questi attacchi. Appaiono sui siti web come plugin integrati per social network, includendo spesso testimonianze di utenti. Il destinatario vede in realtà codice JavaScript integrato in un sito di phishing falsificato che presenta account social pregenerati. Queste persone fittizie diventano la prova che altri individui hanno vinto premi (inesistenti). Questo incoraggia la partecipazione e contribuisce alla diffusione dello schema.

I giochi e i premi falsi sono richiami comuni.

4Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Gli attacchi di phishing nei social sferrati tramite dispositivi mobili sono particolarmente difficili da mitigare. Oltre alle vulnerabilità riconosciute nella sicurezza dei dispositivi mobili, l'interfaccia dell'utente mobile non ha la capacità di analizzare i dettagli necessaria per identificare gli attacchi di phishing, come il passaggio del mouse sui collegamenti ipertestuali per mostrare la destinazione. Come conseguenza, gli utenti mobili hanno una probabilità triplicata di essere vittime di phishing.16

I malintenzionati continuano ad affinare le strategie di phishingAttualmente, i criminali sono tenaci e utilizzano attività differenziate e mirate per eludere i sistemi di sicurezza aziendali. La protezione dalle loro campagne di phishing è una corsa alle armi in continua evoluzione. Appena gli esperti della sicurezza bloccano un attacco, gli utenti malintenzionati si regolano e affinano la propria tecnica.

Un esempio recente: degli hacker hanno trovato una vulnerabilità che ha consentito loro di eludere i protocolli di sicurezza delle e-mail di Microsoft Office 365. Hanno oscurato l'URL di phishing aggiungendo caratteri a larghezza zero. Questo ha consentito alle e-mail compromesse di sottrarsi al controllo sull'affidabilità dell'URL di Microsoft e di sfuggire alla protezione dell'URL Safe Links.17 Gli utenti hanno ricevuto un'e-mail con un link di phishing integro invece del link di Microsoft che avrebbe dovuto sostituirlo.

Nel suo recente rapporto sulle tendenze delle attività di phishing, il gruppo di lavoro anti-phishing ha rilevato un aumento nell'utilizzo del reindirizzamento degli URL. Gli hacker inseriscono redirector prima della pagina di destinazione del sito del phishing e dopo l'inserimento delle credenziali. Questo contribuisce a nascondere l'URL del phishing dal rilevamento tramite il monitoraggio del campo referrer del log del server web.18

Ulteriori esempi di phishing nuovi ed evoluti:

• Industrializzazione del phishing tramite la crescente popolarità dei kit di phishing in commercio

• Utilizzo di Google Traduttore per nascondere un URL collegato a un sito falso per lo scraping delle credenziali di Google19

• Utilizzo della crittografia SSL su una pagina web di phishing per attribuire credibilità a un'e-mail di phishing20

Anche gli schemi BEC (Business Email Compromise) sono in aumento. I criminali inviano e-mail di phishing da account affidabili compromessi, in genere account Microsoft Office 365. Essendo mittenti reali, i filtri non bloccano tali comunicazioni. Tali scam sono aumentati del 476% dal quarto trimestre del 2017 al quarto trimestre del 2018,21 con conseguenti perdite pari a 1,2 miliardi di dollari nel 2018.22

Gli strumenti aziendali leciti sono sempre più sfruttati.

5Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Kit di phishing: l'industrializzazione del phishingI kit di phishing basati su modelli e prodotti in massa rendono ancora più semplice la creazione e il lancio rapidi di campagne malevoli. Venduti su siti web illegali, questi kit offrono di norma agli scammer tutto ciò di cui necessitano per creare attacchi devastanti: strumenti di grafica e web design, contenuti segnaposto e programmi per inviare e-mail in massa o altro software di distribuzione.

Steve Ragan, ricercatore sulla sicurezza di Akamai, descrive questi strumenti nel suo articolo destinato al CSO:

Decine di migliaia di kit come questi sono attualmente disponibili. I criminali li sviluppano utilizzando un mix comprendente HTML e PHP di base e li posizionano su server web compromessi. I programmi hanno in genere una vita di 36 ore prima che vengano rilevati e rimossi.

I cybercriminali hanno inizialmente offerto kit di phishing a pagamento, ma ora li stanno sempre più fornendo gratuitamente. Questi kit di phishing "gratuiti", tuttavia, nascondono spesso gli autori degli strumenti come destinatari impliciti, ciò significa che le informazioni oggetto di phishing non vengono soltanto acquisite da chi acquista lo strumento, bensì anche dal suo creatore originale.24 Non c'è onore tra ladri, per citare un proverbio.

I ricercatori Akamai hanno recentemente rilevato l'attività di oltre 300 campagne di phishing che hanno utilizzato lo stesso kit di phishing per violare oltre 40 brand commerciali.25 Ciascun attacco inizia con un quiz di tre domande su un brand riconosciuto. A prescindere dalla risposta selezionata, la vittima "vince" sempre.

Poiché queste campagne di phishing si basano sullo stesso strumento, condividono funzionalità e caratteristiche, come mostrato a destra.

Sono il componente web o il back-end di un attacco di phishing. È il passo finale nella maggior parte dei casi, in cui il criminale ha replicato una marca o un'organizzazione noti. Una volta caricato, il kit è progettato per imitare i siti web legittimi, come quelli gestiti da Microsoft, Apple o Google.”23

6Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Queste campagne basate sui kit approfittano della buona reputazione di brand conosciuti. Sebbene abbiano origini e caratteristiche simili, ciascuna di esse è stata personalizzata in modo semplice per contenere domande differenti del quiz in più lingue. Molti brand vittime del phishing erano compagnie aeree, tuttavia la violazione è avvenuta su ampia scala. Inoltre, i criminali eseguono comunemente spoofing su brand del settore retail, decorazione d'interni, parchi divertimenti, fast food, ristorazione e bar.

Molte di queste pagine false, prodotte con kit di phishing, hanno come obiettivo i consumatori che trasferiscono involontariamente la violazione alla loro rete aziendale. E anche i kit che hanno come obiettivo gli utenti aziendali sono ampiamente disponibili. Tali strumenti sono stati utilizzati per creare queste pagine di imitazione degli accessi di Microsoft Office 365 e Share Point:

Cosa avviene a filtri e gateway di e-mail?Le aziende, in genere, dispongono di alcune forme di filtri per le e-mail, come servizio dedicato o come aggiunta a Microsoft Office 365 o Google G Suite. Questi prodotti proteggono efficacemente gli utenti da spam, e-mail malevoli e di phishing di tipo tradizionale. Tuttavia, sono lontani dalla perfezione.

Nella sua ultima Valutazione del rischio sulla sicurezza delle e-mail, Mimecast, azienda di gestione di e-mail, riferisce che le comunicazioni compromesse eludono sempre più i sistemi di sicurezza attuali. Ha rilevato 463.546 URL malevoli contenuti in 28.407.664 e-mail inviate. In altri termini, 1 e-mail di phishing su 61 raggiunge il destinatario designato.26

La semplicità e il costo moderato dei kit di phishing, oltre alla proliferazione ottenuta tramite i social network, consentono ai cybercriminali di creare e lanciare con grande successo campagne di phishing di breve durata. Il team Akamai per la ricerca sulle minacce ha stabilito che tali attacchi di breve durata rappresentano una serie unica di sfide.

6

7Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Il traffico deve raggiungere il dominio del phishing e mostrare una variazione di comportamento affinché sia segnalato. Quando i team addetti alla sicurezza rilevano questo traffico dannoso, analizzano l'URL, aggiungono l'URL a un elenco di minacce e inviano l'elenco aggiornato delle minacce ai clienti, la campagna di phishing è già finita. Ha fatto il suo corso e l'URL dannoso è stato disattivato, probabilmente dai criminali o forse dal legittimo proprietario del sito che ha ospitato l'URL compromesso.

I tempi lunghi di rilevamento e intervento rappresentano un'importante minaccia per le aziende.

L'era del roaming per i dispositivi aziendali e il BYOD (Bring Your Own Device) genera un altro punto debole. Una forza lavoro distribuita e mobile implica che i meccanismi di sicurezza aziendali tradizionali sono sempre più inadeguati. I dispositivi personali che entrano ed escono dal perimetro dell'organizzazione possono accedere ad account e-mail privati non protetti dai gateway e dai filtri e-mail aziendali. Poiché la linea di confine tra dispositivi professionali e personali e l'accesso è sempre meno nitida, questa minaccia non potrà che peggiorare.

Traf

fico

ver

so U

RL

Tempo

URL creato Inizio della campagna di phishing

T = giorni/mesi T = ore

URL disattivato

URL rilevato

URL aggiunto alla blacklist

I dipendenti che diventano vittime di phishing o di altre truffe da parte di hacker sono la minaccia interna più pericolosa.27

Dipendenti in buona fede che vengono ingannati

Dipendenti che mescolano utilizzo professionale e personale

26%42%

8Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

E, come discusso in precedenza, l'e-mail non è l'unico modo per sferrare un attacco di phishing e distribuire link malevoli.

Per rilevare, bloccare e mitigare questi sofisticati attacchi di phishing, le organizzazioni hanno bisogno di un ulteriore livello di difesa, che analizzi tutto il traffico proveniente da tutti i dispositivi della rete.

ConclusioneIl panorama del phishing si è evoluto. I kit di phishing industrializzati, così come l'utilizzo dei social network e di altri canali di distribuzione diversi dalle e-mail, sono ora ampiamente diffusi. Esacerbando ulteriormente questa tendenza allarmante, i dispositivi sono in roaming e gli utenti accedono generalmente ai social network e alle applicazioni di messaggistica attraverso i dispositivi mobili, che costituiscono, in genere, l'anello più debole nella struttura di sicurezza di un'azienda.

Per rispondere in modo efficace, le aziende moderne devono adottare un modello Zero Trust. Il motto della sicurezza aziendale dovrebbe essere: fidarsi di nulla, verificare tutto, mantenere controlli regolari. Le aziende hanno bisogno di autenticare e autorizzare ogni singola richiesta di accesso, che deve quindi essere concessa solo temporaneamente.

Le soluzioni per la sicurezza basate sul cloud si posizionano in modo unico per implementare un framework Zero Trust, perché possono monitorare tutte le attività della rete aziendale, indipendentemente dal tipo di dispositivo o dall'origine di una richiesta. Hanno una visibilità crowdsourcing, aggregano traffico eterogeneo e di portata limitata e creano informazioni globali e in tempo reale. Queste soluzioni utilizzano modelli a livello di Internet per ottenere una maggiore consapevolezza delle minacce.

Osservando l'impatto delle campagne di phishing su più aziende, la protezione basata sul cloud può identificare tendenze che una singola azienda potrebbe non essere in grado di rilevare.

Akamai Enterprise Threat ProtectorAkamai Enterprise Threat Protector consente di identificare, bloccare e mitigare in maniera proattiva minacce che arrivano da campagne di phishing, kit di phishing, malware, ransomware, esfiltrazione di dati che sfruttano il DNS e attacchi zero-day avanzati. Enterprise Threat Protector è un Secure Internet Gateway che permette ai team addetti alla sicurezza di offrire a utenti e dispositivi una connessione sicura a Internet ovunque, senza la complessità associata ai sistemi di sicurezza tradizionali.

Per maggiori informazioni su Enterprise Threat Protector e per accedere a una prova gratuita, visitate akamai.com/etp.

Ulteriori informazioni

9Il phishing non riguarda più solo l'e-mail: adesso interessa anche i social

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24/7/365. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito akamai.com o blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo akamai.com/locations. Data di pubblicazione: 08/19.

FONTI 1) https://nakedsecurity.sophos.com/2018/10/23/phishing-is-still-the-most-commonly-used-attack-on-organizations-survey-says/

2) Rapporto delle indagini sulle violazioni dei dati 2018, https://enterprise.verizon.com/resources/reports/dbir/

3) Ricerca interna Akamai

4) Rapporto trimestrale sulla valutazione del rischio nella sicurezza delle e-mail, Mimecast, marzo 2019. https://www.mimecast.com/globalassets/documents/whitepapers/

esra-white-paper-march-2019-v3.pdf

5) Rapporto delle indagini sulle violazioni dei dati 2018, https://enterprise.verizon.com/resources/reports/dbir/

6) Rapporto globale sul phishing 2019 di Avanan, https://www.avanan.com/global-phish-report

7) Rapporto sul fattore umano 2018, https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-wp-human-factor-report-2018-180425.pdf

8) https://www.webroot.com/us/en/about/press-room/releases/nearly-15-million-new-phishing-sites

9) Rapporto sullo stato del phishing 2019, https://info.wombatsecurity.com/hubfs/Wombat_Proofpoint_2019%20State%20of%20the%20Phish%20Report_Final.pdf

10) Rapporto sulla resilienza e sulla difesa dal phishing, https://cofense.com/wp-content/uploads/2017/11/Enterprise-Phishing-Resiliency-and-Defense-Report-2017.pdf

11) https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/consumer-business/deloitte-uk-consumer-review-nov-2015.pdf

12) https://betanews.com/2019/05/02/social-media-phishing/

13) La nuova era del phishing: giochi, social e premi di Or Katz, Akamai. https://www.akamai.com/us/en/multimedia/documents/report/a-new-era-in-phishing-research-

paper.pdf

14) Quattro tendenze di attacco di phishing a cui fare attenzione di Michael Landewe, Avanan. https://www.forbes.com/sites/forbestechcouncil/2019/01/10/four-phishing-

attack-trends-to-look-out-for-in-2019/#6a9fd5034ec2

15) Cybercriminali impersonano popolari servizi di condivisione di file per prendere il controllo degli account e-mail di Asaf Cidon, CSO. https://www.csoonline.com/

article/3274546/cybercriminals-impersonate-popular-file-sharing-services-to-take-over-email-accounts.html

16) Rapporto sul phishing mobile 2018, https://info.lookout.com/rs/051-ESQ-475/images/Lookout-Phishing-wp-us.pdf

17) Vulnerabilità Z-WASP utilizzata per eseguire attacchi di phishing basati su Office 365 e ATP di Yoav Nathaniel, Avanan. https://www.avanan.com/resources/zwasp-

microsoft-office-365-phishing-vulnerability

18) Rapporto sulle tendenze delle attività di phishing del gruppo di lavoro anti-phishing. http://docs.apwg.org/reports/apwg_trends_report_q3_2018.pdf

19) Attacchi di phishing contro Facebook/Google tramite Google Traduttore di Larry Cashdollar. https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-

google-via-google-translate.html

20) Rapporti sulle tendenze delle attività di phishing del gruppo di lavoro anti-phishing. http://docs.apwg.org/reports/apwg_trends_report_q3_2018.pdf

21) https://www.bleepingcomputer.com/news/security/business-email-compromise-attacks-see-almost-500-percent-increase/

22) Rapporto sul crimine su Internet 2018 del Federal Bureau of Investigation, International Crime Compliant Center. https://www.ic3.gov/media/annualreport/2018_

IC3Report.pdf

23) Cosa sono i kit di phishing? Analisi dei componenti web di attacchi di phishing di Steve Ragan, CSO. https://www.csoonline.com/article/3290417/csos-guide-to-

phishing-and-phishing-kits.html

24) Ricerca interna Akamai

25) Phishing tramite i quiz: uno scam, 78 varianti di Or Katz, Akamai. https://blogs.akamai.com/sitr/2018/12/quiz-phishing-one-scam-78-variations.html

26) Rapporto trimestrale sulla valutazione del rischio nella sicurezza delle e-mail, Mimecast, marzo 2019. https://www.mimecast.com/globalassets/documents/whitepapers/

esra-white-paper-march-2019-v3.pdf

27) https://www.idg.com/tools-for-marketers/2018-u-s-state-of-cybercrime/