L'ANALISI TECNICA

E-mail, principale vettore di attacco: analisi e soluzioni per una corretta igiene cibernetica

Il vettore e-mail continua ad essere uno dei più utilizzati dai criminal hacker per diffondere malware di ogni genere. È dunque importate saper individuare i principali indicatori di allarme e prendere le giuste precauzioni al fine di adottare una corretta cyber hygiene

09 Apr 2020
R
Marco Ramilli

Founder & CEO di Yoroi


Da numerosi anni il vettore e-mail è uno dei principali strumenti utilizzati per condurre un attacco informatico verso aziende e privati cittadini. In accordo al cyber security report redatto da Yoroi nel 2019, i messaggi di posta elettronica sono stati utilizzati per diffondere malware per un 89% delle volte con un incremento di più del 20% rispetto all’anno precedente.

Risulta quindi interessante analizzare come il vettore e-mail si sia evoluto nel corso di questo ultimo anno.

L’email, principale vettore di attacco: i portatori di malware

La figura sottostante mostra la percentuale di portatori di malware. Come si nota, i due principali portatori appartengono alla famiglia Microsoft Office. Il 35% dei casi sono stati file della tipologia Word ad infettare il sistema attaccato, mentre nel 34% dei casi il compito è stato affidato a file appartenenti alla tipologia Excel.

E-mail principale vettore di attacco: la distribuzione dei portatori di malware.

Mentre file di tipologia PE (Portable Executable) ovvero i comuni file “eseguibili” sono stati individuati in una percentuale trascurabile (~1%), continuano a persistere file di tipologia PDF (5%) e file archivio come per esempio: ZipArchive (6%), RAR (3%), 7zip (~1%) e Java Archive (~1%).

I file di tipo PE, grazie all’implementazione di regole di blocco a livello di e-mail server, hanno subito una drastica riduzione del 95% rispetto al 2016, dimostrando come l’adozione di regole di generale igiene cibernetica possano influenzare il comportamento degli utilizzatori proteggendoli dalle minacce provenienti da quella configurazione di attacco.

Contrariamente non è stato possibile adottare le medesime precauzioni su file appartenenti al dominio “office” in quanto l’utilizzo di file come: .docx, .xlsx, pptx, è ampiamente diffuso su scala globale e la loro rimozione, migrando ad un sistema totalmente cloud (fileless), risulta essere troppo complessa e dispendiosa dal punto di vista di processo.

Per questo motivo i principali portatori di malware restano e resteranno ancora per qualche tempo file di tipo Office che includono codice macro e templates, ovvero da un lato la possibilità di automatizzare alcune funzionalità all’interno del documento (macro) e dall’altro lato la possibilità di utilizzare temi grafici e di layout presenti su server centralizzati (templates).

L’email, principale vettore di attacco: indicatori di allarme

Un interessante elemento da analizzare al fine di comprendere il principale vettore di attacco è la correlazione tra le singole e-mail. Per esempio, risulta essere di rilievo il raggruppamento (o clusterizzazione) di alcuni elementi presenti nel vettore di attacco come per esempio: il “soggetto della mail” e il “nome del file” portatore di malware per individuare se vi siano delle correlazioni tra di essi.

WHITEPAPER
Una guida pratica alla modernizzazione del sistema EDI
Cloud
Dematerializzazione

La seguente immagine mostra l’aggregazione a cluster basato su somiglianza di termini. Al centro dei cerchi di colore rosso sono presenti i soggetti delle e-mail fraudolente e i nomi dei file portatori di malware, le linee di colore azzurro rappresentano la somiglianza tra le varie parole. Tanto maggiore è la somiglianza tra i due termini tanto più breve è la linea che li separa.

In questa ottica si creano degli aggregati di termini simili a nuvole azzurre. Risulta quindi evidente che vi sono delle relazioni tra numerose e-mail fraudolente.

Clusterizzazione di nomi di file e di soggetti e-mail.

Dalla precedente figura non è necessario leggere il contenuto dei termini ma è interessante osservare le aggregazioni in gruppi che ne sono derivate.

È possibile notare che i gruppi seguono alcuni schemi persuasivi ben definiti come per esempio:

  • Ordini e Fatture. Questa tematica di persuasione è spesso utilizzata per indurre la vittima ad aprire file relativi alle attività contabili e finanziarie e/o alla manifestazione di un nuovo ordine da processare.
  • Problemi di spedizioni e/o ritiro merci. Tale tematica viene utilizzata per indurre la vittima a cliccare su un link malevolo sfruttando finte spedizioni o la necessità di ritirare della merce non recapitata.
  • Tassazione e moduli relativi alla dichiarazione dei redditi (F24). Specialmente durante il periodo fiscale relativo alla dichiarazione dei redditi, correlati alla nazionalità di appartenenza, un attaccante sfrutta la finta richiesta da parte di un ente governativo per indurre la vittima ad aprire un file allegato alla e-mail.
  • Curriculum Vitae. Usualmente rivolto ad amministrazioni e/o responsabili del personale, un attaccante sfrutta l’invio di un file Office con all’interno un CV appositamente realizzato per compromettere il sistema vittima.
  • Messaggi urgenti. Sfruttando l’urgenza di un messaggio con l’ausilio di altre tecniche, come per esempio la richiesta di un’azione entro una determinata ora, oppure la simulazione del nome del mittente (amministratore delegato oppure direttore finanza), l’attaccante induce la vittima ad aprire un documento e/o a realizzare una determinata azione (bonifico bancario, invio di documenti, rilascio di informazioni).

L’individuazione di questi gruppi tematici dovrebbe allarmare ogni utente che riceve e-mail con tali indicatori.

Le precauzioni da adottare

In altre parole, se si ricevono e-mail tematizzate come messaggi di emergenza o relativi a tassazioni provenienti da enti non conosciuti o da e-mail non governative o ancora messaggi provenienti da corrieri ed infine invio inaspettato di curriculum, è necessario porre la giusta attenzione.

Se si individuano allegati da e-mail aventi tali indicatori è possibile usufruire di sandbox pubbliche per richiedere un parere sull’allegato. Per esempio, si può caricare l’allegato su Yomi (servizio gratuito) e attendere l’esito dell’analisi. Se l’analisi ha un punteggio elevato non è consigliabile aprire l’allegato ricevuto, mentre se il punteggio risulta essere basso la probabilità che sia un portatore di malware risulta essere inferiore.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3