TECNOLOGIA

Vademecum sull’andamento della minaccia informatica

La minaccia informatica avanza, si consolida e si rinnova. Ma invece di continuare a subirla, si può conoscerla meglio e imparare a reagire

Non solo in guerra e in amore “vale tutto”. Purtroppo, da diverso tempo, questa massima vale anche nel panorama della minaccia informatica, in cui gli attaccanti sfruttano qualsiasi mezzo, qualunque argomento e ogni modalità tecnologica per riuscire a violare le difese digitali e “mentali” delle vittime e dei target che hanno preso di mira.
Infatti, non solo gli strumenti informatici sono soggetti ad una continua sofisticazione, ma anche le tecniche e gli argomenti che fanno da cardine all’ingegneria sociale e che vìolano le remore e le prudenze di coloro che cadono negli attacchi di phishing.
Solo per citare gli ultimi attacchi che hanno tenuto banco nelle cronache ricordiamo: l’attacco a Twitter di luglio in cui una serie numerosa di account Twitter di alto profilo è stato coinvolto in quello che sembrava essere un attacco di ingegneria sociale a scopo di truffa sulle criptovalute; l’attacco al parlamento norvegese in settembre, con la violazione degli account di posta elettronica di diversi ministri, deputati e dipendenti; l’attacco all’ENAC, l’Ente Nazionale per l’Aviazione Civile, che sempre a settembre ha subìto l’inaccessibilità temporanea di alcune informazioni contenute nei sistemi dell’Ente e infine il più recente attacco a Luxottica che ha costretto al ritorno a casa di tutti i dipendenti per il blocco delle attività produttive presumibilmente a causa di un ransomware ma ufficialmente per un “guasto informatico”.

I mezzi utilizzati per sferrare gli attacchi sono quasi sempre avviati da attacchi di phishing che veicolano malware di varia natura, gravità e con effetti conseguenti che possono variare secondo le difese e la preparazione dei target. Alcuni Malware sono riproposti periodicamente come è successo per Joker, uno spyware e un dialer, identificato per la prima volta nel 2017, che continua d’eludere le protezioni di Google Play Store e a commettere frodi ad insaputa delle proprie vittime potendo accedere alle notifiche, leggere e inviare SMS in modo autonomo. Periodicamente questo tipo malware è stato modificato per tornare alla carica e nell’ultima versione per evitare comunicazioni verso i server C&C (Command & Control) era stato dotato di una modalità di creazione del payload e suo offuscamento all’interno di file legali con l’attivazione di tutte le funzionalità malevole dell’app scaricata dal Google play store, solo dopo il periodo di valutazione dell’utente finale e sua approvazione. Ma fra gli strumenti degli attaccanti ci sono “vecchi trucchi sempre validi” quali ad esempio le note truffe BEC (Business E-mail Compromise) che costituiscono una tipologia sofisticata di raggiro mirata ad imprese e privati con l’obiettivo di trasferire fondi dai conti bancari delle vittime ai criminali. Secondo l’Internet Crime Report 2019 dell’FBI, il totale delle perdite annuali generate dalle truffe BEC nei soli Stati Uniti ha raggiunto 1,7 miliardi di dollari. Le truffe BEC hanno anche rappresentato la metà di tutte le perdite derivanti dalle attività della criminalità informatica negli Stati Uniti nel 2019, facendo di questo tipo di attacchi la prima minaccia informatica, in termini di danni economici. Anche la minaccia interna può essere insidiosa ed avere effetti nefasti. Sul tema Marcus Fowler, Director of Strategic Threat di Darktrace che ha lavorato per la CIA riconosce come “la minaccia interna costituisca una delle insidie più significative per la sicurezza nazionale in tutto il mondo. Che si tratti di un’azione accidentale o intenzionalmente dannosa, il rischio ‘insider’ è quasi impossibile da eliminare. Non possiamo prevedere in che modo un dipendente scontento o una talpa, quando assunta, accederà di nascosto a informazioni sensibili o quali informazioni prenderà di mira”. Per la CIA questo problema ha avuto effetti visibili nel  leak Vault7 che aveva fatto trapelare la serie di documenti riservati riguardanti le capacità cibernetiche della CIA nel penetrare computer, telefoni, IoT, web browsers e app, e sarebbe il risultato di protocolli di sicurezza “lassisti” all’interno della rete dell’agenzia.

Campagne di Phishing

Si stima che il phishing sia il punto di partenza di più del 90% di tutti i tentati attacchi informatici, inoltre il 2019 Data Breach Investigations report di Verizon ha mostrato che quasi un terzo (32%) delle violazioni dei dati riuscite coinvolge un’attività di phishing., Sempre dal report emerge come il phishing fosse presente nel 78% degli attacchi di cyber-spionaggio e nell’installazione e utilizzo di backdoor verso le reti.

Gli attacchi di phishing hanno successo perché sono progettati con tecniche di ingegneria sociale e perché inducono a ragionare in fretta in preda ad ansia o a preoccupazione od altre emozioni suscitate dal testo. Infatti le tecniche linguistiche e i testi delle mail di phishing sono state progressivamente ottimizzate ma concorre al loro successo anche l’evidenza emersa da un recente studio secondo cui spesso non si riesca a riconoscere il rischio quando si valutano le proprie azioni, mentre su quelle degli altri sembra risultare più semplice. Fra le tante campagne si è andato affermando progressivamente Il “brand phishing” che si verifica quando l’aggressore imita un sito web ufficiale di un brand noto utilizzando un dominio o un URL quasi identici all’originale e, di solito, anche una pagina web molto simile al sito reale. Nella moltitudine di campagne di phishing che popolano il Cyberspazio, il “Q2 Brand Phishing Report ha tracciato i maggiori marchi commerciali più spesso usati per veicolare mail ingannatorie ed indurre le persone a condividere credenziali, informazioni personali o necessarie per i pagamenti. Il report fornisce esempi specifici di exploit di phishing di Apple iCloud e PayPal ma fra tutti, Google (13%), Amazon (13%) e WhatsApp (9%) sono i tre brand più imitati a livello globale. Facebook al quarto posto, è invece il brand più imitato su mobile. Attualmente il phishing via e-mail rappresenta quasi un quarto (24%) di tutti gli attacchi di phishing mentre per il futuro il report prevede un aumento del phishing via e-mail.

Anche il tema della pandemia e del COVID19 è stato utilizzato per campagne di phishing. La più recente sulle informazioni riguardanti i vaccini. L’obiettivo è quello di ingannare i destinatari e indurli a scaricare dei file Windows, Word ed Excel dannosi, attraverso cui gli hacker cercano di ottenere nomi utente e password direttamente dai computer delle vittime. Il metodo di attacco principale è la posta elettronica, che solo negli ultimi 30 giorni ha costituito l’82% di tutti i vettori di attacco per i file dannosi.

Infine, ultimo ma non meno importante la tendenza di effettuare attacchi di phishing, mediante servizi di cloud storage che sono utilizzati per ospitare proprio pagine di phishing. In questi casi sono i servizi di Google Cloud o Microsoft Azure ad essere maggiormente colpiti.

Evidenze sulle minacce informatiche

Negli ultimi mesi la minaccia ha avuto principalmente il volto dei Trojan veicolati mediante raffiche di campagne che fin da maggio hanno diffuso i malware Ursnif e Dridex e il RAT Agent Tesla, una sorta di keylogger che ruba informazioni dalla tastiera e mediante screenshot del video della vittima e capace di esfiltrare le credenziali di software installati sul PC. Le classifiche sulla minaccia  durante il periodo estivo di luglio e agosto hanno visto ancora protagonisti i trojan, ma questa volta si tratta rispettivamente dei malware Emotet e Qbot. Emotet che ha avuto massima diffusione a luglio è un trojan avanzato, autopropagante e modulare, utilizzato come distributore per altre minacce. Qbot è stato identificato nel 2008 e da allora si è evoluto continuamente fino ad utilizzare sofisticate tecniche ransomware e di furto di credenziali. La versione finale identificata ad agosto può può abilitare transazioni bancarie non autorizzate, consentendo all’impostore di connettersi al computer della vittima e possiede un modulo specializzato di raccolta delle e-mail che estrae i thread dal client Outlook della vittima e li carica su un server remoto esterno. (Fonte Check Point Software technologies). Anche il tema della pandemia e del COVID19 è stato utilizzato per campagne di attacco (soprattutto di phishing come sopraccitato) tese a veicolare malware. Questo emerge chiaramente dai dati del report “Cyber Attack Trends: 2020 Mid-Year” che offre una panoramica dettagliata delle minacce informatiche nel periodo gennaio e giugno 2020 evidenziando le principali tecniche utilizzate dagli hacker per attaccare le aziende. In particolare, lo studio riporta l’aumento del numero di attacchi legati al COVID19 passando da poco meno di 5.000 a settimana registrati a febbraio, ad oltre 200.000 a settimana alla fine di aprile. Naturalmente con il successivo allentamento del lockdown i criminali informatici hanno intensificato anche le loro attività non legate al COVID-19 tanto che è stato evidenziato un aumento del 34% censito a fine giugno, per tutti i tipi di cyber-attacchi su scala mondiale. I maggiori sono stati relativi ad: attacchi a duplice estorsione in cui in cui gli aggressori estraggono grandi quantità di dati prima di cifrarli in modo da farli trapelare se le vittime si rifiutassero di pagare il riscatto (da cui la doppia  pressione); attacchi con nuovi vettori di infezione tramite raggiro delle protezioni negli store ufficiali e mediante sfruttamento del sistema di Mobile Device Management di una grande azienda internazionale; attacchi generalizzati ad organizzazioni sanitarie e umanitarie per colpire coloro che cercavano notizie mediche e di prevenzione; attacchi in ambito Cloud che durante la pandemia è stato adottato in modo frettoloso ed emergenziale e quindi senza le dovute attenzioni alle configurazioni di default. Infine, si è affermato l’uso dell’infrastruttura cloud da parte dei criminali digitali per archiviare workload dannosi per gli attacchi malware;

A settembre, sono stati invece individuati attacchi di “information disclosure” in aumento contro gli istituti scolastici e di ricerca sia in Europa, America e Asia, per sfruttare il momento di rientro a scuola. In Europa il comparto Education è attaccato con un aumento del 24%, in media circa 793 rispetto ai mesi precedenti. In Asia si registra un +21% con una media di 1598 attacchi (dai 1322 precedenti), ma il paese con il maggior numero di eventi di questo tipo sono gli U.S. in cui si registra un + 30%, per una media di 608 attacchi rispetto ai mesi precedenti. (Fonte Check Point Software technologies). Quando le lezioni si svolgono da remoto, gli istituti scolastici sono soprattutto soggetti a Zoombombing (disturbo della lezione con scritte e immagini), ma solitamente ad affliggere il comparto education ci sono Ransomware, Cyberbullismo, e campagne di phishing veicolate mediante domini fake a tema “back to school” per infettare un sempre maggior numero di vittime interessate alla ripresa scolastica.

Fight back

Contro le diverse tipologie di phishing si raccomanda di:

  1. Verificare se il sito sia web autentico servendosi di Google per ricercare il retailer desiderato e selezionare il link del sito direttamente dalla pagina dei risultati di Google.
  2. Diffidare di offerte “speciali” o imperdibili opportunità.
  3. Prestare attenzione ai domini fittizi simulati, agli errori di ortografia nelle e-mail o nei siti web e ai mittenti sconosciuti.
  4. Non aprire file da mittenti sconosciuti o verificare mediante altro canale di comunicazione che il mittente davvero abbia inviato quell’allegato.
  5. Non riutilizzare le password tra le diverse applicazioni e gli account.
  6. Controllare l’indirizzo e-mail completo su qualsiasi messaggio e fare attenzione ai link che possono contenere errori di ortografia
  7. Non fornire credenziali di accesso o informazioni personali in risposta a un testo o a un’e-mail
  8. Utilizzare l’autenticazione a due fattori per verificare qualsiasi modifica delle informazioni sensibili come quelle per l’accesso agli account
  9. Monitorare regolarmente i conti finanziari
  10. Mantenere aggiornati tutti i software e i sistemi personali e aziendali

Per quanto riguarda le minacce e gli incidenti di sicurezza, fra le diverse indicazioni emanate dai vari organi come l’ENISA in Europa, l’ultimo arrivato è il Report emesso dal CERT USA divulgato dal 24 Settembre e contenente alcune pratiche tecniche per la remediation di attacchi e di attività malevole. Queste indicazioni sono frutto dello sforzo di ricerca e collaborazione da parte delle autorità di sicurezza informatica di cinque nazioni: Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti. Il Testo evidenzia gli approcci tecnici per scoprire attività dannose e include passaggi di mitigazione secondo le migliori pratiche. Lo scopo del Report è migliorare la risposta agli incidenti tra i partner e gli amministratori di rete oltre a essere usato come playbook per le indagini sugli incidenti.

Back to top button