Tipi di messaggi di phishing che possono ingannare la tua email

Non esiste quasi nessuna forma di criminalità informatica che sia all'altezza del phishing in termini di prevalenza e impatto globale. È in prima linea nelle campagne dannose volte a ottenere i dati di autenticazione degli utenti, a truffare organizzazioni di denaro o a diffondere virus informatici tramite e-mail pericolose.

Le recenti scoperte degli analisti della sicurezza mostrano il quadro generale. Più di 165.772 nuovi siti di phishing sono stati individuati nel primo trimestre del 2020. L'FBI afferma che la compromissione della posta elettronica aziendale (BEC) è un tipo crescente di phishing incentrato sull'azienda. Ciò fa sì che le aziende perdano ogni anno circa 5 miliardi di dollari in bonifici fraudolenti.

I criminali informatici stanno aumentando il loro genere

Queste statistiche da capogiro dimostrano l'ampiezza e la profondità del flagello. Non sorprende che numerose società di sicurezza e provider di posta elettronica stiano offrendo soluzioni che impediscono ai messaggi fraudolenti di finire nelle caselle di posta degli utenti. Le difese sempre più efficaci spingono gli operatori delle campagne di phishing a ideare nuovi metodi per aggirare i filtri tradizionali.

Bypassare i filtri e-mail è diventato tanto importante per i truffatori quanto personalizzare i messaggi canaglia la cui narrazione tira i fili giusti nelle coscienze dei destinatari. Le seguenti tecniche hanno recentemente migliorato il repertorio degli operatori di phishing in modo che le loro e-mail non sollevino segnali d'allarme e arrivino a destinazione nonostante le contromisure tradizionali.

Consigliato per te: qual è il ruolo dell'intelligenza artificiale (AI) nella sicurezza informatica?

Credenziali di Office 365 raccolte tramite Google Cloud Services

I criminali informatici ospitano sempre più spesso file esca e pagine di phishing sui servizi cloud più diffusi. Questa tattica aggiunge un ulteriore livello di affidabilità e offuscamento a una truffa, rendendone estremamente difficile il rilevamento per gli utenti attenti alla sicurezza e ai sistemi di protezione.

Una campagna recentemente portata alla luce dai ricercatori della società di sicurezza informatica Check Point dimostra quanto possa essere evasivo questo tipo di frode. Il suo elemento di richiamo è un documento PDF caricato su Google Drive. Si afferma che questo file condiviso contenga importanti informazioni commerciali. Per visualizzarlo, tuttavia, la vittima dovrebbe fare clic sul pulsante "Accedi al documento", che porta a una pagina di accesso che richiede i dettagli di autenticazione di Office 365 o un ID organizzazione. Indipendentemente dall'opzione selezionata, viene visualizzata una schermata pop-up che richiede le informazioni di accesso di Outlook dell'utente.

Non appena vengono inseriti l'indirizzo e-mail e la password, la vittima può finalmente visualizzare il file PDF. Si tratta di un legittimo rapporto di marketing rilasciato da una nota società di consulenza nel 2020. Inoltre, le pagine che compaiono nelle diverse fasi di questo attacco sono ospitate su Google Cloud Storage, quindi non ci sono quasi indizi che suggeriscano che stia accadendo qualcosa di chiaramente malvagio. .

Nel frattempo, una grave trappola eclissata dall'apparente legittimità di questo stratagemma è che i truffatori ottengono le credenziali valide di Office 365 della vittima lungo il percorso. Se nelle mani sbagliate, queste informazioni possono diventare un trampolino di lancio per efficaci truffe BEC, spionaggio industriale e propagazione di malware.

Email fuorvianti che fingono di provenire da banche fidate

In una mossa recente, i truffatori hanno generato messaggi falsi che impersonano istituzioni finanziarie popolari come Citigroup o Bank of America. L'e-mail indica all'utente di aggiornare i dettagli del proprio indirizzo e-mail facendo clic su un collegamento ipertestuale che porta a una replica del sito Web della banca. Per far sembrare la bufala realistica, i criminali utilizzano una pagina aggiuntiva che richiede la domanda di verifica della sicurezza del destinatario.

Una delle incoerenze negative è che l'e-mail scivola sotto il radar della maggior parte dei filtri, sebbene sia inviata da un indirizzo @yahoo.com. Il motivo è che i malfattori prendono di mira solo pochi dipendenti di un'azienda. Poiché le comuni soluzioni anti-phishing sono ottimizzate per un gran numero di messaggi simili o identici, potrebbero ignorare diverse e-mail sospette.

Un altro problema è che il messaggio proviene da un account di posta elettronica personale. Questo fatto ostacola il rilevamento perché gli strumenti di verifica convenzionali come Domain-based Message Authentication, Reporting & Conformance (DMARC) e Sender Policy Framework (SPF) identificano solo le e-mail che falsificano il dominio di origine.

Per finire, la pagina di phishing delle credenziali che imita il sito Web ufficiale della banca supera tutti i controlli a pieni voti. Questo perché è stato registrato di recente e quindi non è stato ancora inserito nella lista nera. Utilizza anche un certificato SSL valido. Il collegamento di phishing reindirizza gli utenti utilizzando un servizio di ricerca Yahoo legittimo. Tutte queste stranezze, combinate con un po' di pressione imposta nel testo, aumentano il tasso di successo di questa campagna.

Decomprimi un allegato e vieni infettato

Alcuni attori delle minacce nascondono un allegato dannoso in un archivio canaglia per ostacolare il rilevamento. Normalmente, un file ZIP viene fornito con un parametro "End of Central Directory" (EOCD). Indica l'elemento finale della struttura dell'archivio. Quello che fanno i criminali informatici è usare un oggetto ZIP con un valore EOCD extra all'interno. Significa che il file include un albero di archivio offuscato.

Quando viene elaborato da strumenti di decompressione che costituiscono Secure Email Gateway (SEG), l'allegato ZIP appare innocuo perché il suo componente "falsa pista" è in genere l'unico che viene esaminato. All'indomani di questo inganno, il file estratto esegue furtivamente un trojan bancario sulla macchina del destinatario.

Perso nella traduzione

Un altro stratagemma comune è ingannare i filtri e-mail incorporando testo in una lingua straniera. Alcune difese sono configurate per scansionare i messaggi in arrivo alla ricerca di materiali dubbi solo in inglese o nella lingua madre dell'utente.

Con questo in mente, i truffatori possono creare e-mail di phishing in russo e includere un suggerimento che dice "Usa il traduttore di Google". Di conseguenza, il messaggio arriva alla posta in arrivo e la vittima potrebbe rimanere agganciata dopo aver letto il testo tradotto.

Potrebbe piacerti: 17 fantastici suggerimenti per scrivere una politica di sicurezza informatica che non faccia schifo.

Modifica del codice HTML di una email

Un altro modo in cui un messaggio di phishing può sfuggire ai sistemi di protezione consiste nell'invertire le stringhe di testo nel suo codice HTML e quindi rendere le informazioni inoltrate in modo che appaiano perfettamente normali al destinatario. Poiché i contenuti del codice sorgente travisato non si sovrappongono a nessun modello di phishing noto, molto probabilmente i SEG ignoreranno il messaggio.

Un'imitazione altamente insidiosa di questa tecnica ruota attorno ai Cascading Style Sheets (CSS), uno strumento utilizzato per integrare i documenti Web con componenti di stile come la dimensione e il colore del carattere, il colore di sfondo e la spaziatura. Il gioco scorretto si riduce alla cattiva gestione dei CSS per unire script latini e arabi nel codice HTML grezzo. Questi script scorrono in direzioni opposte, rendendo più facile per i truffatori ottenere l'effetto di inversione del testo sopra menzionato. Di conseguenza, il messaggio inganna le difese pur rimanendo leggibile dall'uomo.

Abuso di account SharePoint compromessi

Alcune bande di phishing sfruttano gli account SharePoint compromessi per mettere in atto le loro truffe. La logica malvagia dipende dal fatto che i SEG si fidano dei domini associati alla rispettabile piattaforma collaborativa di Microsoft. Il collegamento nel corpo del messaggio di posta elettronica porta a un sito di SharePoint. Quindi, i sistemi di sicurezza lo trattano come benigno e ignorano il messaggio.

Il trucco è che i criminali riutilizzano la pagina di destinazione per visualizzare un documento OneNote losco. Questo, a sua volta, reindirizza a una pagina di phishing delle credenziali camuffata come modulo di accesso di OneDrive for Business. I dettagli di autenticazione inseriti dall'utente ignaro vengono immediatamente inviati al server dei truffatori.

Dai una spinta alla tua consapevolezza del phishing per stare al sicuro

I filtri di posta elettronica valgono senza dubbio il loro sale. Eliminano la maggior parte dei messaggi imprecisi lanciati nella tua casella di posta. Tuttavia, la lezione che dovresti imparare dagli attacchi del mondo reale sopra descritti è che affidarsi incondizionatamente a questi sistemi è un'attività rischiosa.

"Dovresti fare i compiti e seguire alcuni suggerimenti extra per migliorare la tua igiene personale anti-phishing." – in una recente intervista menzionata da Andrew Gitt, senior tech specialist, co-fondatore e capo della ricerca presso VPNBrains.

Andrew fornisce anche le seguenti raccomandazioni nella sua intervista:

• Astenersi dal fare clic sui collegamenti che arrivano nelle e-mail.
• Non aprire allegati ricevuti da estranei.
• Prima di digitare il nome utente e la password in una pagina di accesso, accertarsi che si tratti di HTTPS anziché HTTP.
• Se un'e-mail sembra legittima e decidi di correre il rischio di fare clic su un collegamento incorporato, controlla prima l'URL per errori di battitura e altri omaggi.
• Leggi attentamente le e-mail in arrivo e controlla il loro testo per errori di ortografia, grammatica e punteggiatura. Se noti tali errori, molto probabilmente il messaggio è una truffa.
• Ignora e cancella le email che ti spingono a fare qualcosa. Ad esempio, i phisher spesso impongono una sorta di scadenza per far commettere errori. Non innamorarti di questi trucchi.
• Fai attenzione alle e-mail il cui contenuto si discosta dalla norma in termini di mansioni lavorative quotidiane.
• Se ricevi un messaggio da un senior manager che richiede un bonifico bancario, ricontrollalo contattando la persona al telefono o di persona. È probabile che tu abbia a che fare con un impostore che si è impossessato dell'account e-mail del collega.
• Fai attenzione a quali informazioni condividi sui social network. Gli attori malintenzionati sono abili nel condurre intelligence open source (OSINT), quindi potrebbero rivolgere contro di te i tuoi dati personali pubblicamente disponibili.
• Se sei un dirigente, assicurati di istituire un programma di formazione sulla sensibilizzazione al phishing per i tuoi dipendenti.
• Abilita un firewall e installa un efficace software di sicurezza online con una funzione anti-phishing integrata.

Potrebbe piacerti anche: Come proteggere il tuo PC da attacchi informatici, tracciamento e malware?

Parole finali

Ogni volta che i cappelli bianchi escogitano un nuovo meccanismo di prevenzione, i criminali informatici fanno del loro meglio per superarli in astuzia. Una tendenza di sicurezza emergente e molto promettente in questo senso è quella di impiegare l'intelligenza artificiale e l'apprendimento automatico per identificare i tentativi di phishing. Si spera che questo approccio manterrà le difese un passo avanti rispetto ai vettori di attacco, indipendentemente da quanto siano sofisticati.

Per ora, la cosa migliore che puoi fare è restare vigile e sfruttare al massimo i tradizionali strumenti anti-phishing che nella maggior parte dei casi fanno miracoli.