[stato di internet] - security Esame dell'anno...stato di internet - security 2020: Esame dell'anno:...

[stato di internet] - security

Esame dell'anno

Sommario

Lettera del direttore

Esame dell'anno

Metodologie

Dati aggiuntivi

Riconoscimenti

2

3

15

17

21

2[stato di internet] - security 2020: Esame dell'anno: volume 6, numero 4

Abbiamo vissuto un anno che sa dell'incredibile. Se state leggendo questa lettera, vuol dire che siamo arrivati a dicembre 2020.

Proprio quando l'inchiostro iniziava ad asciugarsi su quelle prime pagine del 2020, abbiamo aperto il nostro primo rapporto in questo modo:

Nessuno avrebbe potuto prevedere quanto il mondo si sarebbe "evoluto" nei mesi successivi.

Questo rapporto di fine anno intende esaminare un anno che sembra avere più capitoli della vostra serie di libri preferita. Guardiamo ai rapporti pubblicati e non a come il COVID-19 abbia influito non solo sulla sicurezza e sul traffico Internet, ma anche sul team.

Lavorare con questo team, durante una pandemia, è stato davvero incredibile. Abbiamo avuto il vantaggio di aver già lavorato insieme da remoto, poiché il nostro team è distribuito tra il Massachusetts, l'Indiana e la Florida, quindi siamo riusciti a passare in modalità completamente remota senza problemi.

Ma ciò che rende fantastico questo team è che siamo stati davvero in grado di essere presenti l'uno per l'altro, non solo come colleghi, ma anche come persone che stavano vivendo una pandemia. Il nostro benessere psichico è diventato qualcosa di cui tutti ci preoccupavamo attivamente e chiederci come stavamo è diventata una consuetudine nei nostri incontri settimanali.

Non potevamo fingere che il mondo non stesse cambiando, quindi non l'abbiamo fatto.

Il silenzio intercorso tra una pubblicazione e l'altra la dice lunga. Il rapporto sullo stato di Internet - Security, volume 6, numero 1 (Tentativi di attacco ai servizi finanziari) è stato pubblicato nel febbraio 2020, mentre la pubblicazione dell'edizione speciale del rapporto è stata spostata a luglio 2020. L'edizione speciale doveva essere pubblicata in concomitanza con la nostra partecipazione all'evento NAB Show di aprile che, come tanti altri eventi, è stato cancellato a causa dei lockdown dovuti al COVID-19.

I rapporti "La sicurezza è un gioco di squadra" e "Fidelizzazione in vendita" sono stati pubblicati a circa un mese di distanza l'uno dall'altro. Abbiamo lavorato sodo, ci siamo migliorati ed è incredibile vedere cosa sia riuscito a fare il team quest'anno.

Grazie per continuare a leggere e a supportare il nostro rapporto sullo stato di Internet - Security. Il COVID-19 ci ha mostrato che il mondo è davvero online e, se non era online prima del 2020, lo è ora. La sicurezza in Internet è ora più vitale che mai e, chiudendo il capitolo di quest'anno, dobbiamo continuare a rimanere vigili mentre voltiamo pagina verso il 2021.

State al sicuro. Cordialmente,

Amanda Goedde Managing Editor

Lettera del direttore

Guardando al nuovo anno, il personale che si occupa della redazione del rapporto sullo stato di Internet - Security ha fatto, in realtà, un solo proposito: evolversi. Una richiesta interessante perché non siamo i soli ad evolverci. Gli autori degli attacchi hanno iniziato ad evolversi e le loro attività dannose stanno diventando di giorno in giorno più sofisticate”.


Il nostro anno è leggermente diverso rispetto al calendario. Riprendere dal punto in cui avevamo interrotto l'esame dell'anno 2019 significa analizzare gli argomenti più importanti che abbiamo trattato da ottobre 2019 a ottobre 2020.

Ottobre 2019Ottobre ci ha tenuti all'erta, con Larry Cashdollar in prima linea nell'intento di mantenere sicura la più ampia community di Internet. Il post Drupalgeddon2 di Cashdollar ci ha ricordato che non tutto è come sembra, poiché l'attacco ha eseguito un codice incorporato in un file .gif. Anche se l'integrazione di un codice in un file di immagine non è un nuovo metodo di attacco, questo tipo di attacco non è diffuso o comune. Grazie a uno degli honeypot di Cashdollar, siamo stati in grado di saperne di più e di osservare un worm SSH cryptomining.

Cosa c'è di più spaventoso di un worm SSH cryptomining? Il rapporto sullo stato di Internet - Security, volume 5, numero 5: Phishing - Baiting the Hook è stato pubblicato la vigilia di Halloween.

Novembre 2019Novembre ha inaugurato un'intensa stagione di shopping e un gruppo fittizio Cozy Bear che ha sferrato attacchi DDoS a scopo di estorsione. Diverse società hanno riferito di aver ricevuto un'e-mail con una richiesta di riscatto pari a circa 17.500 di dollari in bitcoin. Se i pagamenti non fossero stati effettuati prima della scadenza precisata dai criminali, l'e-mail riportava che il prezzo del riscatto sarebbe aumentato di 1 BTC al giorno e che sarebbe stato avviato un attacco DDoS mirato.

Al termine della stagione fiscale, Or Katz ha monitorato attentamente una campagna di phishing che ha violato l'IRS (Internal Revenue Service). La campagna ha utilizzato almeno 289 domini diversi e 832 URL in 47 giorni. La stessa pagina di accesso IRS fittizia è stata utilizzata in ciascuna istanza, prendendo di mira oltre 100.000 vittime in tutto il mondo.

3

Esame dell'anno

Stato di Internet - Security: volume 5, numero 5

Phishing: Baiting the Hook Il rapporto sullo stato di Internet - Security, volume 5, numero 5: Phishing - Baiting the Hook si è concentrato

sul problema sociale nel lungo termine che influisce su ogni settore. È probabile che, se svolgete qualsiasi

tipo di attività su Internet, abbiate subito un tentativo di phishing sferrato contro uno dei vostri account. In

questo rapporto, abbiamo approfondito i tipi di phishing e alcune tendenze che abbiamo riscontrato sulla

piattaforma Akamai. Oltre il 60% dei kit di phishing monitorati da Akamai sono rimasti attivi solo per

20 giorni o meno, evidenziando il rapido ciclo di vita dei kit di phishing. L'high tech è stato il principale

settore colpito dal phishing, seguito da quello finanziario, del retail online e dei media. In questo rapporto,

abbiamo anche esaminato per la prima volta il modo con cui Akamai utilizza i propri prodotti per

proteggersi, in particolare, dagli attacchi di phishing.

https://blogs.akamai.com/sitr/2019/10/drupalgeddon2-still-used-in-attack-campaigns.htmlhttps://blogs.akamai.com//sitr/2019/10/a-cryptomining-ssh-worm.htmlhttps://blogs.akamai.com//sitr/2019/10/a-cryptomining-ssh-worm.htmlhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdfhttps://blogs.akamai.com/sitr/2019/11/fake-cozy-bear-group-making-ddos-extortion-demands.htmlhttps://blogs.akamai.com/sitr/2019/11/out-of-season-irs-phishing-campaigns.htmlhttps://blogs.akamai.com/sitr/2019/11/out-of-season-irs-phishing-campaigns.htmlhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-phishing-baiting-the-hook-report-2019.pdf


Il periodo da dicembre a gennaio è sempre pieno di opportunità. Verso la fine di dicembre 2019, abbiamo stabilito i nostri obiettivi e il piano delle pubblicazioni per il prossimo anno. Al nostro ritorno per iniziare il nuovo anno, eravamo pronti per partire.

A dicembre, Katz ci ha fornito un'analisi della Festa del Ringraziamento, spiegando come i modelli di accesso relativi alle applicazioni aziendali, quali e-mail o altre piattaforme SaaS, siano stati colpiti durante questa festività.

Mentre in tutto il mondo, si osservavano gli incendi australiani bruciare inesorabilmente più di 46 milioni di acri, si ignorava che un grave ceppo di casi di quella che si pensava fosse una polmonite, registrata la vigilia di Capodanno a Wuhan, in Cina, avrebbe davvero cambiato la traiettoria prevista per il 2020.

Dicembre 2019 - Gennaio 2020

https://blogs.akamai.com/sitr/2019/12/access-and-threat-insights-thanksgiving.htmlhttps://blogs.akamai.com/sitr/2019/12/access-and-threat-insights-thanksgiving.htmlhttps://www.nytimes.com/2020/01/21/world/australia/fires-size-climate.htmlhttps://www.nytimes.com/2020/01/21/world/australia/fires-size-climate.htmlhttps://www.uchicagomedicine.org/forefront/prevention-and-screening-articles/wuhan-coronavirus#:~:text=We%20learned%20about%20this%20particular,origins%20of%20the%20virus.https://www.uchicagomedicine.org/forefront/prevention-and-screening-articles/wuhan-coronavirus#:~:text=We%20learned%20about%20this%20particular,origins%20of%20the%20virus.



Servizi finanziari: tentativi di attacco

Il nostro primo rapporto del 2020 si è concentrato sui tentativi di attacco contro il settore dei servizi finanziari. Poiché il denaro è spesso l'obiettivo principale a cui mirano i criminali, questo rapporto ha analizzato in maniera approfondita gli attacchi alle applicazioni web, il credential stuffing e altri modi con cui i criminali stanno tentando di infiltrarsi nei servizi finanziari. L'utilizzo e l'adozione diffusa delle API hanno consentito ai criminali di automatizzare i propri attacchi. Ecco perché il volume degli attacchi di credential stuffing ha continuato a crescere anno dopo anno e perché tali attacchi rimangono un rischio continuo e costante in tutti i segmenti di mercato.

Febbraio 2020

0 M

25 M

50 M

75 M

100 M

Ott 19 Nov 19 Dic 19 Gen 20 Feb 20 Mar 20 Apr 20 Mag 20 Giu 20 Lug 20 Ago 20 Sett 20 Ott 20

Att

acch

i (m

ilion

i)

Attacchi contro i servizi finanziariAttacchi totali

9 dic 201946.961.855

28 ott 201913.493.861

28 sett 202033.964.394

Attacchi giornalieri alle applicazioni web - Servizi finanziari

Ottobre 2019 - Settembre 2020

Fig. 1 - L'automazione gioca ancora un ruolo importante nella costanza degli attacchi sferrati contro il settore dei servizi finanziari

Aggiornamento di ottobre 2020: aggiornando i dati di questo rapporto, vediamo che l'automazione sta ancora contribuendo alla costanza degli attacchi contro il settore dei servizi finanziari. Come mostra il grafico aggiornato nella Figura 1, si sono registrati milioni o decine di milioni di attacchi ogni giorno. Si è verificato un forte aumento a settembre 2020 con oltre 33 milioni di attacchi alle applicazioni web, quando i criminali hanno concentrato i loro sforzi sui percorsi di attacco più comuni, tra cui SQL Injection, Local File Inclusion e Cross-Site Scripting.

https://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdf


Danny Stern ha analizzato la propria esperienza con una truffa perpetrata ai suoi danni da un'agenzia di reclutamento, condividendo alcune informazioni utili per evitare di commettere il suo stesso errore. A dire il vero, questo post è arrivato nel momento in cui il mondo stava osservando l'evoluzione del COVID-19 da epidemia a pandemia e quando l'occupazione cominciava a diventare un'incertezza per molte persone.

Marzo 2020Da dove iniziamo?

L'11 marzo, il COVID-19 è stato ufficialmente dichiarato una pandemia dall'Organizzazione Mondiale della Sanità (OMS) e il 13 marzo gli Stati Uniti hanno dichiarato lo stato di emergenza nazionale. Rapidamente, i vari stati hanno imposto un lockdown che originariamente era previsto soltanto per due settimane. Le aziende si sono fermate, le scuole sono state chiuse, la carta igienica e gli igienizzanti per le mani sono andati a ruba in tutto il globo.

Questo team era quasi alle fasi finali dell'edizione speciale del rapporto sullo stato di Internet quando è arrivata la notizia che l'evento NAB Show di aprile sarebbe stato cancellato. Abbiamo deciso di posticipare il rapporto, in gran parte perché ritenevamo che sarebbe stato poco realistico non includere i dati dell'ultimo trimestre e l'impatto causato dal COVID-19.

Con tanti grandi progetti e ricerche momentaneamente sospesi, il team ha colto questa opportunità per capire realmente come si sarebbe prefigurato quest'anno, visti i limiti lavorativi imposti dalla pandemia globale. Cosa ancora più importante, il nostro intento era di comprendere come bilanciare la ricerca, la redazione delle pubblicazioni e la nostra salute psico-fisica.

Quest'anno mi sono sentito notevolmente stressato e so di non essere l'unico. Eppure, lavorare con questo team, a volte, per me è stato l'unico sollievo in alcuni giorni. Sapere di poter contare su qualcuno o che avrei ricevuto l'aiuto richiesto in caso di necessità, mi ha certamente aiutato a mantenere il mio benessere psichico durante quest'anno".

Steve Ragan Editor

https://blogs.akamai.com/sitr/2020/02/how-i-avoided-a-recruiter-scam.htmlhttps://blogs.akamai.com/sitr/2020/02/how-i-avoided-a-recruiter-scam.htmlhttps://www.cdc.gov/nchs/data/icd/Announcement-New-ICD-code-for-coronavirus-3-18-2020.pdfhttps://www.cdc.gov/nchs/data/icd/Announcement-New-ICD-code-for-coronavirus-3-18-2020.pdf


Aprile 2020Mentre la pandemia colpiva tutto il mondo, i criminali hanno approfittato della necessità di istruzione, risorse affidabili e informazioni avvertita da parte di tutti a livello globale. Katz ha rilevato come molti criminali abbiano riciclato i kit di phishing semplicemente aggiornandoli per sfruttare la crisi sanitaria causata dal COVID-19, individuando uno specifico tentativo di phishing che ha utilizzato un quiz di tre domande per sferrare un attacco in Brasile.

"La gente ha paura ed è ossessionata dalle informazioni sulla pandemia. La paura è l'elemento chiave su cui fanno leva i criminali autori di queste truffe, che non si limitano solo al phishing", ha scritto Katz.

Anche se si è registrato un record nel numero di persone apparentemente online, Martin McKeay ha colto l'occasione per ricordarci che Internet non si è mai interrotto a causa di questo aumento di traffico. Tom Leighton, Akamai Chief Executive Officer,

ha affermato, che "dal nostro punto di vista, abbiamo registrato un aumento del traffico Internet globale pari a circa il 30% nell'ultimo mese, ossia approssimativamente un traffico decuplicato rispetto al solito, che è cresciuto come in un intero anno solo nelle ultime settimane. Questo dato non include gli eventi sportivi in streaming live, che hanno continuato a stabilire nuovi record prima del COVID-19".

Siamo riusciti a individuare una sorta di modello: quasi subito dopo la dichiarazione di misure che prevedevano un isolamento, si registrava un picco nel traffico Internet. Nel giro di una settimana, il traffico normalizzava pur mantenendo una velocità elevata, ma ad un ritmo significativamente inferiore rispetto al picco iniziale. Non abbiamo osservato questo modello a livello nazionale solo negli Stati Uniti, poiché le decisioni in merito alle misure di isolamento avvenivano a livello federale.

Fig. 2 - Dati aggiornati tratti dal post del blog di McKeay, fino a fine settembre 2020

Traffico quotidiano: Italia Marzo 2020 - Settembre 2020

https://blogs.akamai.com/sitr/2020/04/threat-actors-recycling-phishing-kits-in-new-coronavirus-covid-19-campaigns.htmlhttps://blogs.akamai.com/sitr/2020/04/threat-actors-recycling-phishing-kits-in-new-coronavirus-covid-19-campaigns.htmlhttps://blogs.akamai.com/sitr/2020/04/brazil-targeted-by-phishing-scam-harnessing-covid-19-fears.htmlhttps://blogs.akamai.com/sitr/2020/04/brazil-targeted-by-phishing-scam-harnessing-covid-19-fears.htmlhttps://blogs.akamai.com/sitr/2020/04/the-building-wave-of-internet-traffic.htmlhttps://blogs.akamai.com/sitr/2020/04/the-building-wave-of-internet-traffic.html


Fig. 3 - Dati aggiornati tratti dal post del blog di McKeay, fino a settembre 2020

Aggiornamento di ottobre 2020: come mostrato nelle Figure 2 e 3, la nuova normalità per il volume di traffico è rimasta uguale per tutto l'anno, in quanto le organizzazioni a livello globale sono passate alla disponibilità e all'accesso remoto. Si sono verificati alcuni picchi, ma per lo più il traffico è rimasto esattamente ai livelli previsti.

Su altri fronti, Larry Cashdollar ci ha illustrato una breve storia sulle immagini Docker con radice, mentre Elisa Gangemi ci ha ricordato che nella ricerca non esiste il fallimento, ma solo opportunità di apprendimento.

Traffico quotidiano: Polonia Marzo 2020 - Settembre 2020

Io avevo dei progetti. Voi avevate dei progetti. Tutti avevamo dei progetti per il 2020. Essere in grado di adattarsi alle mutevoli circostanze è una qualità importante, indipendentemente dalle attività svolte. Tuttavia, quest'anno abbiamo dovuto ruotare la nostra manopola di adattamento al massimo livello. Poi abbiamo provato a sforzarci un po' di più e abbiamo scoperto che possiamo adattarci molto di più".

Martin McKeay Editorial Director

https://blogs.akamai.com/sitr/2020/04/a-brief-history-of-a-rootable-docker-image.htmlhttps://blogs.akamai.com/sitr/2020/04/a-brief-history-of-a-rootable-docker-image.htmlhttps://blogs.akamai.com/sitr/2020/04/research-failures-arent-failings.htmlhttps://blogs.akamai.com/sitr/2020/04/research-failures-arent-failings.html


Maggio 2020

Qual è stata una delle prime cose portate alla ribalta a maggio? "Calabroni assassini". Fortunatamente, non è un argomento di cui ci siamo dovuti occupare.

Pochi giorni dopo che i "calabroni assassini" hanno conquistato le prime pagine dei giornali, Steve Ragan ha approfondito il modo con cui i criminali hanno usato il tempo libero a disposizione durante l'isolamento per "dare una rinfrescata" ai loro attacchi di credential stuffing.

...lo smart working è diventato la norma. Contemporaneamente, l'accesso remoto alle applicazioni e ai servizi ha iniziato a guadagnare slancio, poiché un numero sempre maggiore di persone ha iniziato a usare abitualmente Internet. Tuttavia, molti di coloro che utilizzavano i propri servizi basati sul web, applicazioni o giochi preferiti hanno scelto di "compromettere" la loro sicurezza a vantaggio di un maggior livello di facilità d'uso e accesso, creando una superficie di attacco di cui i criminali non hanno perso tempo a trarre vantaggio”.

Il credential stuffing rappresenta uno dei nostri interessi principali da oltre un anno perché è un problema che colpisce ogni organizzazione, indipendentemente dalle sue dimensioni. La

migliore difesa? L'utilizzo di un gestore di password e la scelta di password univoche. Si tratta di uno dei pochi casi in cui il riciclaggio non è consigliabile.

McKeay è anche intervenuto in merito alla 13° iterazione del rapporto delle indagini sulle violazioni dei dati di Verizon a cui Akamai ha avuto l'opportunità di contribuire negli ultimi cinque anni. Collaborare e fornire dati sono operazioni che risultano "vincenti" per tutti poiché ampliano il nostro campo di vista, permettendoci di capire se le tendenze da noi osservate sono comuni anche per altri fornitori.

Giugno 2020Quando il mondo ha iniziato cautamente a riaprire i battenti, il team ha escogitato un piano attuabile per il resto dell'anno.

Cashdollar ha anche rilevato che un malware chiamato Stealthworker, in grado di colpire i sistemi Windows e Linux, era stato installato in uno dei suoi honeypot. "Scritto in Golang, una volta infettato un sistema, viene usato dai criminali per sondare altri obiettivi nel tentativo di diffondere e continuare ad eseguire attacchi di forza bruta. Stealthworker è in grado di eseguire attacchi di questo tipo contro una serie di comuni piattaforme e servizi web, tra cui cPanel/WHM, WordPress, Drupal, Joomla, OpenCart, Magento, MySQL, PostgreSQL, Brixt, SSH e FTP", ha scritto Cashdollar prima di analizzare in profondità i risultati delle sue ricerche.

Entrare a far parte di un nuovo team durante una pandemia globale avrebbe potuto aumentare i livelli di stress, ma entrare a far parte di QUESTO team, per fortuna, ha avuto l'effetto contrario. Sono stato accolto calorosamente, mi è stata data l'opportunità di prendermi cura di me stesso e della mia famiglia e ho già imparato molto in pochi mesi. Non vedo l'ora di vedere cosa mi riserverà il prossimo anno!"

Chelsea Tuttle Data Scientist

https://www.nytimes.com/2020/05/02/us/asian-giant-hornet-washington.htmlhttps://blogs.akamai.com/sitr/2020/05/credential-stuffing-attacks-during-the-covid-19-pandemic.htmlhttps://blogs.akamai.com/sitr/2020/05/credential-stuffing-attacks-during-the-covid-19-pandemic.htmlhttps://blogs.akamai.com/sitr/2020/05/contributing-to-the-verizon-data-breach-investigation-report.htmlhttps://blogs.akamai.com/sitr/2020/05/contributing-to-the-verizon-data-breach-investigation-report.htmlhttps://blogs.akamai.com/sitr/2020/06/stealthworker-golang-based-brute-force-malware-still-an-active-threat.htmlhttps://blogs.akamai.com/sitr/2020/06/stealthworker-golang-based-brute-force-malware-still-an-active-threat.html



Credential stuffing e media

Dopo un ritardo di tre mesi nella pubblicazione e la necessità di una riscrittura, l'edizione speciale del rapporto

sullo stato di Internet, Credential stuffing e media, ha finalmente visto la luce. Questo rapporto è come una

capsula del tempo: il rapporto originale è rimasto pressoché intatto. Tuttavia, abbiamo esaminato e aggiunto

importanti aggiornamenti ai dati in modo da riflettere l'uso attuale di Internet e le minacce che vengono

osservate.

Luglio 2020

0 M

100 M

200 M

300 M


Tent

ativ

i di a

cces

so d

anno

si (m

ilion

i)

8 mag 202054.345.569 18 lug 2020

40.622.983

Accessi ai mediaAccessi totali

Tentativi di abuso di credenziali quotidiani - Settore dei media


Fig. 4 - Attacchi di credential stuffing aggiornati contro il segmento verticale dei media fino a settembre 2020

Aggiornamento di ottobre 2020: tecnicamente, la Figura 4 rappresenta la seconda serie di aggiornamenti per questo rapporto. Come visto in precedenza, possiamo notare un flusso costante di attacchi sferrati contro il settore dei contenuti multimediali video, che aumentano verso la fine del secondo trimestre e continuano fino alla fine del terzo trimestre. Sono previsti picchi e cali poiché i criminali hanno continuato a sfornare i propri elenchi di credenziali.

Verso la fine di agosto 2020, ha chiuso uno dei più grandi marketplace della darknet (Empire). La causa di questa chiusura rimane sconosciuta, ma i venditori si sono sparpagliati in altri marketplace, provocando un calo negli attacchi di credential stuffing all'inizio di settembre. La ripresa degli attacchi può essere collegata al flusso di elenchi di credenziali gratuiti, che sono stati utilizzati per ristabilire la reputazione e la legittimità tra i criminali. Al momento della stesura di questo rapporto, il numero di attacchi di credential stuffing sferrati contro il settore dei media, in particolar modo per il controllo degli account, è rimasto costante con decine di milioni di attacchi al giorno.

https://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-credential-stuffing-in-the-media-industry-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-credential-stuffing-in-the-media-industry-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-credential-stuffing-in-the-media-industry-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-credential-stuffing-in-the-media-industry-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-credential-stuffing-in-the-media-industry-report-2020.pdf


Il credential stuffing, come accennato in precedenza, è un problema per tutte le aziende, indipendentemente dal settore. Tuttavia, è da considerare come un promemoria per assicurarci di mantenere univoche tutte le nostre password!

Le password riciclate non sono l'unica minaccia che abbiamo osservato a luglio. Katz ha riesaminato i "dimenticati" attacchi di phishing basati sul quiz costituito da tre domande. Questi attacchi si basano sulla compilazione di questi quiz da parte degli utenti in cambio di un "premio", che spesso ha come risultato il furto di informazioni personali.

Nell'ambito di questa indagine, Katz ha monitorato 1.161 siti web host di kit di strumenti di phishing tra luglio 2019 e maggio 2020, che hanno preso di mira 130 brand con più di 5 milioni di vittime.

Agosto 2020Per tutto il mese di agosto, il team SIRT (Security Intelligence Response Team) di Akamai ha monitorato gli attacchi DDoS seguiti da richieste di riscatto e sferrati da criminali che affermavano di far parte dell'Armada Collective e di Fancy Bear.

Vi suona familiare? Dovrebbe perché sembra il remake di una vecchia sceneggiatura con nuovi attori. Il contatto iniziale inizia con un'e-mail minacciosa, in cui si avverte di un imminente attacco DDoS che verrà sferrato contro l'azienda a meno che non venga pagato un riscatto in bitcoin. La formulazione delle lettere scritte a scopo di estorsione è molto simile alle lettere pubblicate sui media durante le campagne passate e all'ultima campagna di attacchi DDoS sferrati a scopo di estorsione registrata da Akamai nel novembre 2019.

Quest'anno mi ha veramente dimostrato che il team di cui fai parte è davvero importante. Far parte di un team costituito da membri molto intelligenti che lavorano duramente è fantastico. Ma far parte di un team costituito da membri molto intelligenti che lavorano duramente e che tengono al benessere psico-fisico degli altri fa davvero la differenza".

Amanda Goedde Managing Editor

https://blogs.akamai.com/sitr/2020/08/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail.htmlhttps://blogs.akamai.com/sitr/2020/08/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail.htmlhttps://blogs.akamai.com/sitr/2019/11/fake-cozy-bear-group-making-ddos-extortion-demands.htmlhttps://blogs.akamai.com/sitr/2019/11/fake-cozy-bear-group-making-ddos-extortion-demands.html



Gaming - La sicurezza è un gioco di squadra

Dopo lungo tempo, a settembre è stato pubblicato il rapporto sullo stato di Internet - Security, numero 6,

volume 2: Gaming - La sicurezza è un gioco di squadra. Questo rapporto era diverso dai rapporti precedenti in

quanto redatto per i giocatori e gli utenti esterni al settore della sicurezza. Abbiamo collaborato con la società

di eventi digitali DreamHack per creare un sondaggio in grado di farci ottenere informazioni sulle opinioni

dei giocatori riguardo allo stato attuale della sicurezza nei giochi. Sebbene i sondaggi non siano il tipo di dati

che di solito trattiamo nei rapporti, volevamo comprendere come i giocatori immaginano la sicurezza e in che

modo ciò si collega al tipo di attacchi che le società di gaming subiscono quotidianamente.

I giocatori sono gli elementi più vulnerabili e più colpiti nel settore del gaming. L'elemento umano è sempre

il più difficile da controllare e proteggere, quindi questa rivelazione non sorprende. Più della metà dei

giocatori abituali ha affermato di aver subito violazioni dei propri account, ma solo un quinto ha affermato di

essere preoccupato per questo tipo di eventi.

Settembre 2020

0 M

100 M

200 M

300 M


Tent

ativ

i di a

cces

so d

anno

si (m

ilion

i)

Accessi al settore gamingAccessi totali

7 ottobre 201985.846.516

11 apr 202076.497.876 4 lug 2020

54.959.055

Tentativi di abuso di credenziali quotidiani - Settore gaming


Fig. 5 - Aggiornamento ai tentativi di abuso di credenziali quotidiani contro il settore del gaming fino a settembre 2020

https://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-gaming-you-cant-solo-security-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-gaming-you-cant-solo-security-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-gaming-you-cant-solo-security-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-gaming-you-cant-solo-security-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-gaming-you-cant-solo-security-report-2020.pdf


Aggiornamento di ottobre 2020: il settore del gaming ha riscontrato modelli di attacco simili a quelli del settore dei contenuti multimediali video, poiché gli attacchi hanno raggiunto il picco a luglio (55 milioni), ma hanno subito un drastico calo quando Empire è finito offline. Gli attacchi sono riportati nella Figura 5.

Il crollo del mercato della darknet ha colpito duramente i criminali concentrati principalmente sulle credenziali di gioco, poiché hanno dovuto affannarsi per trovare un nuovo posto in cui poter scaricare i dati raccolti. Tuttavia, una volta ristabiliti verso l'inizio di settembre, hanno iniziato a raccogliere dati sia dai giochi che dalle piattaforme in modo generale o mirato. Questo cambiamento ha causato un picco degli attacchi, che ha continuato ad aumentare in ottobre quando i criminali si sono concentrati sulle festività natalizie, che hanno visto un afflusso di nuove piattaforme e giochi.

Poiché molti membri del team sono essi stessi giocatori, il rapporto sullo stato di Internet è risultato un utile approfondimento di un mondo ben noto a molti di noi, soprattutto nel momento in cui noi, come tanti altri utenti in tutto il mondo, ci siamo rivolti ai giochi per ricreare quel senso di cameratismo e appartenenza allo stesso gruppo che ci ha fatto sentire vicini nei periodi di isolamento imposti dal COVID-19.

Ottobre 2020La sapete l'ultima? l "calabroni assassini" sono tornati e i ricercatori sono riusciti a catturarne alcuni esemplari nello stato di Washington.

È stato anche il mese nazionale della sensibilizzazione nei confronti della cybersicurezza: i nostri ricercatori e i membri del team addetto alla sicurezza delle informazioni hanno colto l'occasione per approfondire alcuni aspetti di questo settore che hanno un impatto su tutti noi.

Con un balzo indietro di 20 anni, Cashdollar ci ha raccontato il suo primo CVE, descrivendo cosa è cambiato da allora e cosa è rimasto invariato.

Un altro membro del team ha scritto una lettera aperta ai propri genitori, spiegando perché è così importante utilizzare password complesse e conservarle in un luogo sicuro (ricordate che riciclare le password non è una grande idea). Nick Caron ha illustrato come mantenere la sicurezza in casa in soli tre passaggi. Hieu Vuong ha condiviso con noi come suo fratello sia quasi caduto vittima di un tentativo di phishing sul COVID-19, ricordandoci anche quali sono i posti migliori per ottenere informazioni. Eric Kobrin ci ha, inoltre, ricordato che gli zombie non esistono solo nei film dell'orrore, ma possono anche essere i vostri dispositivi IoT una volta finito il loro periodo di fulgore.


Fidelizzazione in vendita - Frodi nei settori retail e hospitality

Continuando con il tema del credential stuffing e dello sfruttamento delle informazioni personali, questo rapporto approfondisce il modo con cui i programmi di fidelizzazione di questi settori sono diventati obiettivi per i criminali alla ricerca di guadagni rapidi e facili.

https://www.theguardian.com/environment/2020/oct/23/murder-hornet-us-first-nest-found-washington-statehttps://www.theguardian.com/environment/2020/oct/23/murder-hornet-us-first-nest-found-washington-statehttps://blogs.akamai.com/sitr/2020/10/music-to-hack-to-my-first-cve-and-20-years-of-vulnerability-research.htmlhttps://blogs.akamai.com/sitr/2020/10/the-talk-keeping-my-parental-units-safe.htmlhttps://blogs.akamai.com/sitr/2020/10/the-talk-keeping-my-parental-units-safe.htmlhttps://blogs.akamai.com/sitr/2020/10/protecting-your-home-3-steps-at-a-time.htmlhttps://blogs.akamai.com/sitr/2020/10/protecting-your-home-3-steps-at-a-time.htmlhttps://blogs.akamai.com/sitr/2020/10/covid-19-related-phishing-a-personal-viewpoint.htmlhttps://blogs.akamai.com/sitr/2020/10/exploring-the-iot-afterlife.htmlhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdfhttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdf


Guardare avantiÈ stato un anno terribile, per tutti, in ogni singolo settore.

Se quest'anno ci ha insegnato qualcosa, è che tutti possiamo convivere con l'incertezza per un breve periodo. Tuttavia, sono i team e le persone con cui si interagisce quotidianamente che possono aiutare a ritrovare un minimo di certezza.

Quindi, mentre ci accingiamo a lasciarci alle spalle il 2020, prendiamoci un attimo per fare il punto della situazione in cui ci troviamo. Quest'anno ci ha insegnato tantissimo, non solo su come i criminali stiano sfruttando la paura e l'incertezza della gente per creare più caos, ma anche su come un mondo remoto e digitale potrebbe e può funzionare.

Abbiamo imparato molto quando scuole, aziende e persone hanno iniziato a passare dalla modalità in presenza alla modalità a distanza. Abbiamo ridefinito completamente i nostri confini, poiché le case sono ora anche uffici, scuole, centri di attività e molto altro.

Stiamo imparando tutti insieme.

Ma ci sono un paio di insegnamenti che abbiamo appreso da quest'anno: lavatevi le mani... e non riutilizzate le password.

"Non sai mai cosa puoi fare finché non ci provi", così dice il proverbio. Nessuno poteva immaginare che saremmo riusciti a pubblicare decine di post sul blog e più numeri del nostro rapporto, il tutto durante una pandemia globale".

Martin McKeay Editorial Director


Note generaliI dati utilizzati per tutte le sezioni erano limitati allo stesso periodo di 12 mesi: dal 1° ottobre 2019 al 30 settembre 2020. La maggior parte di questo rapporto è stato tratto direttamente dai rapporti precedenti di quest'anno, quindi non esitate a consultare i singoli rapporti per informazioni dettagliate su come è stato redatto ogni rapporto.

Attacchi alle applicazioni webQuesti dati descrivono gli avvisi a livello di applicazione generati da Kona Site Defender e Web Application Protector. I prodotti attivano questi avvisi quando rilevano un payload dannoso all'interno di una richiesta a un sito web o un'applicazione protetta.

Gli avvisi non indicano una compromissione riuscita. Sebbene questi prodotti consentano un alto livello di personalizzazione, i dati qui presentati sono stati raccolti senza prendere in considerazione le configurazioni personalizzate delle proprietà protette.

I dati sono stati presi da Cloud Security Intelligence (CSI), uno strumento interno per lo storage e l'analisi degli eventi di sicurezza rilevati sull'Akamai Intelligent Edge Platform. Questa è una rete di circa 300.000 server in 4.000 sedi su 1.400 reti in 135 paesi. I nostri team addetti alla sicurezza utilizzano questi dati, misurati in petabyte al mese, per effettuare ricerche sugli attacchi, segnalare comportamenti dannosi e includere ulteriore intelligence nelle soluzioni Akamai.

Metodologie


Abuso di credenzialiI tentativi di abuso di credenziali sono stati identificati come tentativi di accesso non riusciti ad account che utilizzano un indirizzo e-mail come nome utente. Utilizziamo due algoritmi per distinguere tra tentativi di abuso e utenti reali che non riescono a digitare. Il primo algoritmo è una semplice regola volumetrica che conta il numero di tentativi non riusciti a un indirizzo specifico. Questo metodo differisce da ciò che una singola organizzazione potrebbe essere in grado di rilevare perché Akamai mette in correlazione dati provenienti da centinaia di organizzazioni.

Il secondo algoritmo utilizza i dati provenienti dai nostri servizi di rilevamento dei bot per identificare un abuso di credenziali da botnet e strumenti noti. Una botnet ben configurata può evitare il rilevamento volumetrico distribuendo il suo traffico su numerosi obiettivi, usando un gran numero di sistemi durante la sua operazione di scansione, o distribuendo il traffico nel tempo, solo per menzionare alcuni esempi di elusione.

Anche questi dati sono stati presi dal repository di CSI.

DDoSProlexic Routed difende le organizzazioni dagli attacchi DDoS reindirizzando il traffico di rete tramite gli scrubbing center di Akamai e consentendo solo il traffico pulito. Gli esperti del SOC (Security Operations Center) di Akamai personalizzano i controlli di mitigazione proattivi per rilevare e bloccare immediatamente gli attacchi ed eseguono analisi del traffico rimanente in tempo reale per determinare ulteriori misure di mitigazione, in base alle necessità.

Gli eventi di attacco DDoS vengono rilevati dal SOC o dalla stessa organizzazione mirata, a seconda del modello di implementazione scelto, "always-on" o "on-demand", ma il SOC registra i dati per tutti gli attacchi mitigati. In modo simile al traffico delle applicazioni web, l'origine è determinata dall'origine del traffico IP prima della rete di Akamai.


Dati aggiuntivi

100 M

200 M

300 M


15 giu 2020 229.552.603

31 lug 2020 248.238.296

Accessi al settore commercialeAccessi totali

Tent

ativ

i di a

cces

so d

anno

si (m

ilion

i)

Tentativi di abuso di credenziali quotidiani - Settore commerciale



0 M

100 M

200 M

300 M

Tent

ativ

i di a

cces

so d

anno

si (m

ilion

i)

Accessi ai servizi finanziariAccessi totali


09 feb 2020 44.919.500

14 mag 202047.698.955 27 sett 2020

36.501.722

Tentativi di abuso di credenziali quotidiani - Servizi finanziari


100 M

200 M

300 M


Tent

ativ

i di a

cces

so d

anno

si (m

ilion

i)

8 mag 2020334.204.497

17 ago 2020365.181.101

Media di 7 giorniAccessi giornalieri

Tentativi di abuso di credenziali quotidiani



0 M

25 M

50 M

75 M


Att

acch

i (m

ilion

i)

Attacchi contro il settore commercialeAttacchi totali

16 nov 201917.118.283

1° giu 201425.290.368

15 ago 202033.349.919

100 M

Attacchi giornalieri alle applicazioni web - Settore commerciale


0 M

25 M

50 M

75 M

100 M


Att

acch

i (m

ilion

i)

Attacchi contro il settore gamingAttacchi totali

11 lug 202014.631.618

Attacchi giornalieri alle applicazioni web - Gaming



0 M

25 M

50 M

75 M


Att

acch

i (m

ilion

i)

Attacchi contro il settore dei mediaAttacchi totali

20 ago 20205.150.760

100 M

Attacchi giornalieri alle applicazioni web - Media


0 M

25 M

50 M

75 M

100 M


9 dic 201994.982.919

15 ago 202043.337.230

28 sett 202053.635.51117 ott 2019

50.341.758

Att

acch

i (m

ilion

i)

Media di 7 giorniAttacchi giornalieri

Attacchi giornalieri alle applicazioni web


Collaboratori del rapporto sullo stato di Internet - Security

MarketingGeorgina Morales Hampe

Project Management, Creative

Murali Venukumar

Program Management, Marketing

Riconoscimenti

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com o blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 12/20.

21

Responsabili editorialiMartin McKeay

Editorial Director

Amanda Goedde

Senior Technical Writer, Managing Editor

Steve Ragan

Senior Technical Writer, Editor

Chelsea Tuttle

Data Scientist

Altri rapporti sullo stato di Internet - SecurityLeggete le edizioni precedenti e date un'occhiata ai prossimi rapporti sullo stato di Internet - security:

akamai.com/soti

Altre informazioni sulla ricerca delle minacce AkamaiRestate aggiornati con le ultime analisi dell'intelligence sulle minacce, rapporti sulla sicurezza e ricerche

sulla cybersicurezza: akamai.com/threatresearch

Accesso ai dati dal rapportoPotete visualizzare i grafici e i diagrammi citati in questo rapporto in versioni di alta qualità. L'utilizzo e

la consultazione di queste immagini sono forniti a scopo gratuito, purché Akamai venga debitamente

citata come fonte e venga conservato il logo dell'azienda: akamai.com/sotidata
https://www.akamai.com/it/it/https://blogs.akamai.com/it/https://twitter.com/AkamaiItaliahttps://www.akamai.com/it/it/locations.jsphttps://www.akamai.com/it/it/resources/our-thinking/state-of-the-internet-report/https://www.akamai.com/it/it/what-we-do/threat-research.jsphttps://www.akamai.com/it/it/multimedia/documents/state-of-the-internet/2020-soti-issue4-charts-and-graphs.zip

[stato di internet] - security Esame dell'anno...stato di internet - security 2020: Esame dell'anno:...

Documents

Transcript of [stato di internet] - security Esame dell'anno...stato di internet - security 2020: Esame dell'anno:...