Il cybercrime che sfrutta la pandemia non rallenta

L'opportunismo degli aggressori che sfruttano disagi e debolezze emotive causate dalla pandemia è stato ulteriormente dimostrato a seguito dell’analisi svolta dagli F5 Labs dei log di Certificate Transparency.

Juniper Networks: ecco i trend per la sicurezza 2021

Prosegue l’ondata di cybercrime che sfrutta la pandemia, aumento del 220% degli attacchi di phishing durante l’emergenza Covid. Pubblicato il nuovo Report Phishing and Fraud 2020 degli F5 Labs: i principali obiettivi degli attacchi sono donazioni fraudolente a falsi enti di beneficenza, raccolta illecita di credenziali e diffusione di malware.

Sulla base dei dati del Security Operations Center (SOC) di F5, il numero degli incidenti di phishing nel 2020 sarebbe ogni anno destinato ad aumentare del 15%. Un risultato superato e che potrebbe ulteriormente variare a seguito della seconda ondata della pandemia.

La pandemia non ferma il cybercrime

I tre obiettivi principali degli attacchi e di phishing tramite email che sfruttano Covid-19 come esca sono stati identificati: nelle donazioni fraudolente a falsi enti di beneficenza, nella raccolta illecita di credenziali, nella diffusione di malware.

L’opportunismo degli aggressori che sfruttano disagi e debolezze emotive causate dalla pandemia è stato ulteriormente dimostrato a seguito dell’analisi svolta dagli F5 Labs dei log di Certificate Transparency (certificati digitali emessi da un’autorità di certificazione ritenuta pubblicamente attendibile).

Il cybercrime che sfrutta la pandemia non rallenta
Il cybercrimine non rallenta, anzi

Il numero di certificati che utilizzano i termini “covid” e “corona” ha raggiunto la cifra record di 14.940 a marzo 2020, con un aumento del 1.102% rispetto al mese precedente.

Il rischio di essere vittime di phishing non è mai stato così alto – ha dichiarato David Warburton, Senior Threat Evangelist degli F5 Labse i truffatori stanno usando sempre più spesso i certificati digitali con lo scopo di far passare i loro siti come autentici. Gli aggressori sfruttano l’attuale debolezza emotiva legata a una situazione che sfortunatamente continuerà ad alimentare minacce pericolose e diffuse. Purtroppo, la nostra ricerca indica che in tutto il mondo i controlli di sicurezza, l’educazione informatica e la consapevolezza degli utenti sembrano essere ancora insufficienti”.

I domini maggiormente utilizzati negli attacchi di cybercrime

Come già evidenziato nelle precedenti edizioni del report, la creatività dei truffatori quando si tratta di scegliere nomi e indirizzi dei loro siti di phishing è sempre in crescita.

Nell’anno 2020, il 52% dei siti destinati ad azioni di phishing ha utilizzato nomi e identità di brand scelti con cura per i propri indirizzi web. Utilizzando i dati di Webroot, gli F5 Labs hanno scoperto che Amazon è stato il brand più sfruttato nella seconda metà del 2020, con Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram che comparivano nella lista dei 10 marchi “impersonificati” più diffusi.

Gli F5 Labs hanno osservato, tramite il tracciamento del furto delle credenziali, come i criminali tentino di utilizzare le password rubate entro quattro ore dall’attacco di phishing e, per finalizzare l’acquisizione di codici di sicurezza di autenticazione a più fattori (MFA), alcuni attacchi si verificano addirittura in tempo reale. I criminali informatici sono diventati anche più efficienti nelle loro offerte per dirottare URL affidabili, spesso anche gratuitamente. Da soli, i siti WordPress rappresentano il 20% degli URL generici di phishing nel 2020. Nel 2017 la cifra era pari al 4,7%.

Cosa fanno i criminali durante la pandemia

Nel 2020 i criminali hanno intensificato i propri sforzi nel dissimulare i siti fraudolenti, facendoli apparire il più autentici e innocui possibile. Le statistiche del SOC di F5 hanno rilevato che la maggior parte dei siti di phishing sfrutta la crittografia, in particolare il 72% utilizza certificati HTTPS validi per ingannare le vittime. Quest’anno, il 100% delle drop zone, ovvero le destinazioni dei dati rubati dal malware, ha utilizzato la crittografia TLS (rispetto all’89% del 2019).

Minacce future

Secondo una recente ricerca di Shape Security, integrata per la prima volta con il Phishing and Fraud Report, si profilano all’orizzonte due grandi tendenze nel panorama di queste particolari minacce.

A causa del miglioramento dei controlli e delle soluzioni che analizzano il traffico bot (botnet), gli aggressori hanno iniziato a utilizzare le click farm, che comportano tentativi sistematici da parte di decine di individui di accedere da remoto a un sito web target utilizzando credenziali raccolte illecitamente; la connessione che proviene da un individuo umano che utilizza un browser web standard rende l’attività fraudolenta più difficile da rilevare.Il cybercrime che sfrutta la pandemia non rallenta

Anche un volume relativamente basso di attacchi, condotti in modo da poter essere ritenuti trascurabili, alla lunga ha un forte impatto. Shape Security ha analizzato 14 milioni di login mensili presso un’organizzazione di servizi finanziari rilevando un tasso di frode “manuale” dello 0,4%. Ciò equivale a 56.000 tentativi di accesso malevolo e i numeri associati a questo tipo di attività sono destinati ad aumentare.

I ricercatori hanno registrato un aumento del volume di proxy di phishing real-time (RTPP) in grado di sottrarre e utilizzare codici di autenticazione a più fattori (MFA). L’RTPP agisce con tecniche di “man-in-the-middle” intercettando le transazioni della vittima con un sito web reale. Poiché l’attacco avviene in tempo reale, il sito web maligno può automatizzare il processo di acquisizione e riproduzione dell’autenticazione time-based come i codici MFA, e può anche rubare e riutilizzare i cookie di sessione.

Tra i principali proxy di phishing real-time utilizzati recentemente troviamo Modlishka2 e Evilginx23. Gli F5 Labs e Shape Security prevedono un incremento dell’utilizzo dei RTPP nei prossimi mesi e continueranno a monitorarne l’andamento.

È fondamentale che ci sia una grande attenzione sulle modalità con cui gli aggressori si muovono per sfruttare i recenti trend e i disagi legati alla pandemia.

“Fino a quando le persone potranno essere manipolate psicologicamente rispetto a temi specifici, gli attacchi di phishing continueranno a sfruttarli per avere successo. Per questo i controlli di sicurezza e gli stessi browser web devono diventare più efficienti ed evidenziare a priori agli utenti quali siano i siti fraudolenti”, ha concluso Warburton. “Anche gli individui e le organizzazioni devono essere costantemente educati e aggiornati sulle tecniche di attacco più recenti utilizzate dai truffatori”.