TRUFFE ONLINE

Spear phishing: cos’è, come funziona l’attacco e come difendersi

Negli anni si è passati da un phishing generalista a uno cucito su misura della vittima, il cosiddetto spear phishing che è diventato una minaccia sempre più subdola da cui è difficile proteggersi efficacemente. Analizziamone le caratteristiche per mitigarne i rischi

06 Dic 2021
M
Andrea Filippo Marini

Chief Business Officer Ermes Cyber Security

Il phishing è una delle minacce più attuali e temute assieme al ransomware e, come evidenziato anche dall’ultimo report “Cyber security threat trends” di Cisco Umbrella, è responsabile del 90% dei data breach, con tanto di specifica che non si tratta di un errore di digitazione. Il phishing negli ultimi anni si è rapidamente evoluto nello spear phishing, cioè mirato sulla vittima, e la pandemia ne ha ulteriormente accelerato la pericolosità: per questo è una minaccia sempre più subdola da cui è più difficile proteggersi efficacemente.

Evoluzione del phishing: lo spear phishing

Si è quindi passati da un phishing generalista, che ha nel suo cavallo di battaglia la fantomatica email del presidente del Burundi, ad un phishing cucito su misura della vittima.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Negli anni, infatti, il tasso di successo del phishing generalista è progressivamente diminuito, ma al contempo l’evoluzione delle tecnologie ha permesso ai cyber criminali un facile accesso ad una serie di dati importante, utili per costruire informazioni accurate da utilizzare per costruire un attacco di misura di sicuro successo, cosa prima molto complessa ed onerosa.

Il social engineering è il metodo con cui gli attaccanti reperiscono le informazioni per sferrare gli attacchi mirati e si è evoluto di pari passo alla tecnologia: da uno studio fisico della persona ad uno studio digitale tramite social media per arrivare alla perfetta profilazione dell’utente; questa permette di ridurre sensibilmente sia il tempo impiegato per reperire le informazioni che il relativo costo.

D’altronde, è oramai famosa la frase “quando qualcosa è gratuito, il prodotto sei tu”: questo è il principio su cui si basa il revenue model di Internet, ovvero pensiamo di accedere ai contenuti gratuitamente ma in realtà paghiamo con i nostri dati, merce preziosa che ha un valore ben più elevato dei contenuti che riceviamo.

La tematica dei servizi di tracciamento è estremamente attuale e molto spesso viene vista solo come un problema di privacy, ma in realtà è una falla di sicurezza.

Come gli attaccanti “sfruttano” il marketing

Ma come si può facilmente accedere a queste informazioni? Semplicemente sfruttando il lavoro degli altri.

Il marketing è diventato sempre più pervasivo e il valore dei dati sta crescendo esponenzialmente: Facebook nel 2013 otteneva 19 dollari l’anno per utente americano in vendite pubblicitarie, nel 2020 ben 164 dollari.

Per questo i servizi globali di profilazione (web tracker e session replay script) sono svariate decine di migliaia e, quotidianamente, ne nascono di nuovi. Gli attaccanti lo sanno bene, tant’è che ogni due anni il 29,6% di questi servizi subisce un data breach secondo una ricerca del Ponemon Institute.

I servizi di tracciamento raccolgono una enorme mole di dati che, presi singolarmente, non hanno alcuna rilevanza, ma combinati correttamente forniscono informazioni molto precise creando una perfetta identità digitale.

Tutti quanti siamo più o meno consci dei dati raccolti sui nostri interessi (pagine visitate, cronologia di navigazione, frequenza ed orari di visita, lingua utilizzata), ma spesso si sottovaluta l’enorme mole di dati “accessori” raccolti come carica della batteria, geolocalizzazione, Internet Service Provider, Timezone, Browser utilizzato con relativa versione installata.

Come preparare un attacco di spear phishing di successo

L’identità digitale sarà così sfruttata dall’attaccante per avere dettagli precisi:

  • chi attaccare, ovvero su quali interessi far leva:
  1. ricerche effettuate;
  2. pagine visitate con relativa frequenza;
  3. lingua utilizzata;
  4. ISP utilizzato;
  5. servizi utilizzati per ragioni personali;
  6. servizi utilizzati per uso professionale;
  7. profilo e ruolo lavorativo;

  • come attaccare, ovvero quali vulnerabilità andare a sfruttare:
  1. IP privati esposti, che danno all’esterno una mappa dell’azienda e possono essere sfruttati per architettare eventuali movimenti laterali una volta che il primo attacco è atterrato a destinazione;
  2. sistemi operativi;
  3. browser utilizzati e relative versioni, che danno visibilità su quelle che sono le vulnerabilità da sfruttare come ad esempio un dispositivo con Windows 7, che non è più supportato e non riceve più fix di sicurezza od una versione di Chrome non aggiornata;
  • quando attaccare, ovvero qual è il momento più propizio per mettere a terra l’attacco:
  1. incrociando dati come carica della batteria, geolocalizzazione e timezone è possibile risalire alle abitudini degli utenti. Questo perché solitamente la batteria è in fase di scarica quando una persona è in viaggio, mentre è in carica o al 100% quando una persona è a casa o a lavoro; seguendo una persona per più tempo, si riesce a capire quali siano le sedi di casa e di lavoro, e, incrociando questo dato con l’IP pubblico e l’ISP esposto, si riesce a capire quando solitamente una persona utilizza il PC di lavoro da casa senza entrare in VPN, quindi senza passare dal muro di protezione aziendale.

Il fenomeno è altamente pervasivo: dai dati aggregati di Ermes Research Lab emerge che la maggioranza dei siti contatta svariate decine di servizi di tracciamento, con picchi di oltre 300 richieste per sito ed oltre il 90% degli utenti di un’azienda viene costantemente profilato.

Esempio di attacco di spear phishing “natalizio”

Pensiamo ad un genitore che ha avuto una giornata impegnativa ed ha appena messo a nanna i bambini, trovando così finalmente l’unico momento in cui può cercare i regali che i suoi figli hanno inserito nella letterina a Babbo Natale.

Avendo un PC a uso promiscuo lo apre per informarsi su Internet su prezzi e caratteristiche dei regali, soffermandosi in particolare su alcuni titoli di libri ed una particolare macchina radiocomandata.

Se non tutti, molti di noi immaginano che durante la ricerca questi interessi vengano esposti ai servizi di tracciamento, ma pochi sanno o collegano che le informazioni raccolte non sono solo gli interessi commerciali, ma anche informazioni relative al software installato (come, ad esempio, Windows 7 con Chrome non aggiornato) e alle abitudini (come, ad esempio, venerdì sera come momento in cui solitamente l’utente utilizza il PC di lavoro da casa senza entrare in VPN).

Entrando in possesso di queste informazioni, quindi, un cybercriminale potrebbe decidere di attaccare lo sventurato genitore il venerdì sera, ad esempio utilizzando il meccanismo delle micro-aste online per far comparire su una pagina legittima un banner con una falsa offerta relativa ai libri per bambini cercati.

Cliccando sull’offerta si aprirà una pagina che, sfruttando le vulnerabilità del browser non aggiornato, potrà uscire dalla sandbox ed installare un ransomware sul sistema operativo: questa tipologia di attacco si chiama malvertising ed è il secondo veicolo di diffusione di ransomware.

Oppure potrebbe arrivare un’e-mail da un falso Amazon che, facendo leva sul senso di urgenza, chiederà all’utente di ordinare la macchina radiocomandata prima che scadano le scorte: ci saranno alte probabilità che il genitore abbocchi e clicchi così il famigerato link, che lo farà atterrare su una falsa pagina di Amazon, portando quest’ultimo a cedere inconsapevolmente informazioni sensibili come password e numero di carta di credito.

Da recenti studi, inoltre, emerge come oltre due utenti su tre utilizzino il medesimo pattern per tutte le password: nella maggioranza dei casi, quindi, cedendo ad entità malevole credenziali di servizi consumer si compromettono anche le credenziali professionali.

Rendersi trasparenti e invisibili ai servizi di tracciamento

L’unica maniera per mitigare i rischi e la crescita dello spear phishing è quello di rendere l’utente trasparente a questi servizi durante la navigazione, evitando l’effetto Pollicino, ovvero che lasci briciole sul suo percorso durante la navigazione.

Il totale anonimato passa dalla protezione dell’utente durante la navigazione, sia da PC che da dispositivi mobili, mediante soluzioni in grado di analizzare i comportamenti delle singole connessioni, sia via browser che via app, per evitare che dal dispositivo fuoriesca qualsiasi informazione verso servizi web esterni all’azienda, se non solo quelle che l’azienda decide di far fuoriuscire: ad esempio, solo le richieste di connessione verso le CDN (Content Delivery Network), bloccando invece tutte quelle rivolte a servizi terzi di tracciamento.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4