Salta al contenuto

Temi di tendenza

Comprendere il panorama delle minacce via email

Marzia Romeo

17.08.20 5 minuti di lettura

La posta elettronica presenta molti rischi per l’utente incauto. Basta una piccola azione in risposta all’email sbagliata perché una truffa di social engineering abbia successo. Di conseguenza, potresti subire il furto delle tue credenziali o trovarti vittima di un attacco di cryptomining. Potresti anche ritrovarti improvvisamente senza una grossa somma di denaro.

Social Engineering 

Il social engineering è una forma di manipolazione e inganno cruciale per un attacco di phishing di successo. Gli attacchi di phishing riusciti dipendono in gran parte dalla capacità dell’attaccante di ingannare efficacemente il bersaglio convincendolo a fidarsi del mittente e del suo contenuto.

Il phishing viene condotto per ottenere quante più informazioni possibili sul bersaglio. Al fine di aumentare l’efficacia dell’attività di social engineering per un attacco riuscito, gli attaccanti mireranno a dimostrare una conoscenza dettagliata della persona o delle organizzazioni bersaglio con informazioni che vengono spesso raccolte tramite l’intelligence open source (OSINT).

Questa presunta credibilità si basa su due serie critiche di informazioni:

  • Conoscenza della struttura interna, dei processi e del software di un’organizzazione.
  • Conoscenza del personale di un’organizzazione.

Queste informazioni sono spesso reperibili dai materiali che l’organizzazione ha pubblicato online. Gli attaccanti sono anche in grado di raccogliere un’ampia conoscenza di un’organizzazione e del suo personale da canali pubblici come LinkedIn. Ad esempio, un tipico annuncio di lavoro comprende:

  • Processi: descrizioni dettagliate dell’attività e delle responsabilità per un ruolo specifico.
  • Struttura: informazioni su chi gestisce il dipendente e a chi riporta.
  • Software: abilità e conoscenze desiderate.

La probabilità di un attacco riuscito aumenta insieme alla quantità di informazioni che l’attaccante ha sul potenziale bersaglio.

Phishing  

Il phishing rappresenta l’intersezione tra il crimine informatico e il social engineering ed è una delle minacce più antiche su Internet. Un attacco di phishing essenzialmente colpisce una persona piuttosto che un sistema informatico.

Gli aggressori si affidano al phishing per la sua semplicità, affidabilità e potenza. I potenziali obiettivi di un attacco di phishing includono:

  • Ottenere le credenziali di login da utilizzare per ottenere l’accesso alle risorse: un account, un server, una rete o simili.
  • Ottenere informazioni sensibili come dati finanziari o personali.
  • Distribuzione di payload dannosi come ransomware, keylogger o Trojan di accesso remoto (RAT).
  • Convincere le vittime a svolgere attività contrarie al proprio interesse, come trasferire denaro o condividere dati personali.

La percentuale di tentativi di phishing è aumentata a causa della proliferazione di indirizzi email rubati, con il numero di siti di phishing unici rilevati ai massimi storici. Gli attacchi di phishing possono essere classificati in due tipi: attacchi di phishing non mirati e attacchi di spear phishing mirati.

  1. Attacchi di phishing non mirati: gli attacchi di phishing non mirati sono progettati per raggiungere il pubblico più ampio possibile. L’obiettivo principale di questo tipo di attacco è indurre i destinatari a fare click su un collegamento, aprire un allegato malevolo, divulgare informazioni sensibili o trasferire fondi. Gli attacchi non mirati spesso si basano su volumi elevati per avere successo e sono più facilmente identificati e mitigati dai filtri di sicurezza della posta elettronica. Questi filtri cercano modelli esistenti e indicatori di malizia riscontrati nella lingua, nel tipo di contenuto o nelle informazioni di registrazione del dominio.
  2. Attacchi di phishing mirati: gli attacchi di phishing mirati, d’altra parte, vengono utilizzati per prendere di mira un piccolo gruppo di utenti all’interno di una specifica organizzazione. Un attacco di phishing mirato si basa in gran parte sul social engineering. Questo tipo di attacco è molto più difficile da rilevare e fermare. Gli attaccanti creeranno l’attacco utilizzando una conoscenza approfondita degli obiettivi e del loro ambiente che spesso solo un insider dovrebbe possedere. A differenza degli attacchi di phishing non mirati, anche un numero limitato di attacchi di phishing mirati riusciti può portare a danni complessivamente molto maggiori. Il grave pericolo di attacchi di spear phishing mirati risiede nel fatto che è sufficiente un solo tentativo riuscito per compromettere un’intera organizzazione.

Malware  

La posta elettronica è ancora il vettore di accesso iniziale principale utilizzato dagli attaccanti, con il 94% del malware recapitato tramite posta elettronica.

La distribuzione di file binari malevoli era più evidente con i file .exe, Java e Flash allegati direttamente alle email per indurre gli utenti ad aprire un eseguibile.

Poiché i controlli preventivi sono diventati più avanzati, gli attaccanti stanno anche modificando le loro tattiche, tecniche e procedure di attacco per infiltrarsi nel sistema di sicurezza IT di un obiettivo. Al giorno d’oggi, è molto più probabile che il malware venga distribuito tramite allegati di documenti aziendali o URL meno sospetti che vengono comunemente inviati in comunicazioni email regolari e valide o tramite altre applicazioni.

Quasi il 50% di tutti gli allegati malevoli risulta essere documenti di Office con macro nascoste, script e altri exploit, che all’attivazione scaricheranno payload aggiuntivi, come ransomware e RAT. Il resto viene comunemente inviato tramite le app di Windows (26%) e altri file, come archivi e file .js (22%).

Ransomware 

Gli attaccanti ransomware ora prendono di mira le aziende per ricevere pagamenti più elevati invece di attaccare in massa i consumatori come facevano una volta. Hanno anche cambiato il modo in cui operano per massimizzare le loro possibilità di ricevere un riscatto.

Invece di una distribuzione immediata di ransomware o di esfiltrazione di dati dopo la violazione iniziale, gli attaccanti trascorreranno un po’ di tempo nella rete aziendale per ottenere il più ampio appoggio possibile prima di agire. Questo per garantire che il maggior numero di dati possibile venga esfiltrato e per crittografare il più possibile la rete aziendale, al fine di massimizzare le possibilità di pagamento. Tuttavia, l’obiettivo di un attacco ransomware non è sempre il guadagno economico poiché talvolta il ransomware viene utilizzato anche per coprire un compromesso.

Le conseguenze di attacchi via email malevole riusciti sono numerose. Avere un approccio multilivello è fondamentale per rafforzare le funzionalità di sicurezza di un’organizzazione e per mantenerla al sicuro da tali attacchi via email. Per maggiori informazioni sulla sicurezza della posta elettronica leggi il nostro ultimo white paper.

Marzia Romeo

17.08.20 5 minuti di lettura

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.