Continua l’appuntamento con Threat Spotlight, la rubrica mensile del blog di Barracuda Networks che ha l’obiettivo di presentare una minaccia al mese, esaminandola in profondità e fornire consigli su quali azioni intraprendere nel caso di attacco.
Questo mese parliamo di Spear Phishing sui mutui.
L’acquisto di una casa è decisamente una delle spese più importanti per tutti; quando si pensa alla quantità di tempo e di impegno necessari per individuare la casa giusta, accordarsi sul prezzo e arrivare alla firma, è normale che alla fine si tiri un profondo respiro di sollievo. Ma poniamo che qualcosa ci impedisca di provare questo sollievo, perché un cybercriminale ha interferito con il processo versando il bonifico sul suo conto invece che su quello del venditore. Uno scenario che può avere conseguenze drammatiche sulle finanze del compratore, che finirebbe col perdere la casa, un mucchio di soldi, informazioni personali e molto altro.
Purtroppo, questo è uno scenario reale e, con la crescente diffusione dello spear phishing, persone, aziende e brand devono stare continuamente all’erta. Barracuda ha preso in esame un recente tentativo di attacco compiuto proprio nelle fasi finali di un contratto di mutuo mirato a convincere il compratore a bonificare una somma ingente sul conto sbagliato.
La minaccia
Spear phishing sui mutui: il criminale tenta di interferire con la chiusura del mutuo e riesce quasi a incamerare una forte somma di denaro, tentativo sventato dalla scaltrezza dell’utente.
I dettagli
Tutto sembrava andare secondo i piani. Al compratore restava da effettuare alcune operazioni dell’ultimo minuto e avrebbe ottenuto le chiavi della sua nuova casa. Tra le operazioni da fare, il bonifico al venditore per firmare l’atto. Però, il giorno in cui doveva effettuare il bonifico, il compratore riceve una mail dalla società che aveva erogato il mutuo la quale dice di avere un nuovo conto corrente e di seguire le istruzioni contenute nell’allegato.
Si tratta di un messaggio curioso che dovrebbe destare qualche sospetto nel compratore, soprattutto perché si chiede di fare il bonifico in modo diverso rispetto alla procedura. D’altro canto, sono molte le prove che lo scam legato ai mutui continui ad arricchire i cybercriminali ed è quindi necessario che chiunque acquisti una casa sia consapevole del rischio.
Fortunatamente, in questo caso il compratore si è insospettito e ha immediatamente chiamato il suo referente per avere conferma della modifica prima di procedere. A parte la stranezza del messaggio, quando il compratore ha osservato meglio l’indirizzo del mittente si è reso conto che il dominio non coincideva con quello del suo referente. Il criminale aveva “camuffato” il dominio affinché assomigliasse a quello reale. Un metodo semplice per verificare la corrispondenza del dominio consiste nel far scorrere il cursore del mouse sull’indirizzo del mittente mostrando il vero indirizzo del mittente.
Oltre al dominio truccato, il criminale aveva allegato un documento chiedendo al cliente di seguire le istruzioni lì contenute per effettuare il bonifico. In aggiunta alla stranezza del messaggio, c’è sempre il rischio legato all’apertura di un allegato. Per quanto il criminale stia chiaramente cercando di convincere il compratore a trasferire del denaro, un allegato come questo potrebbe essere vettore di altre attività pericolose, come il ransomware o altri tipi di malware. Nel dubbio, meglio evitare sempre di aprire gli allegati.
In questo tentativo di truffa, il compratore si è comportato nella maniera corretta per evitare la catastrofe. E’ stato abbastanza scaltro da insospettirsi per la richiesta, verificare il dominio di posta e quindi contattare il suo agente per avere la certezza che il messaggio fosse in effetti un tentativo di truffa. Ma ciò che lo ha soprattutto allarmato di fronte a questa situazione è stata la reazione della finanziaria, che si è limitata a dire di essere a conoscenza del fatto che era un problema diffuso senza mostrarsi interessata ad approfondire la questione.
In questo caso, la vittima non ha abboccato all’amo. Tuttavia, episodi analoghi vengono riportati con una certa frequenza e non sempre le vittime designate sono state così fortunate.
Riassumendo, le tecniche usate in questo attacco sono:
Spear phishing: il criminale cerca di convincere il destinatario a versare del denaro.
Falsa identità: il criminale finge di essere il referente del compratore.
Travestimento: Il criminale usa un indirizzo email simile a quello legittimo.
Contromisure
Sebbene il tentativo appena descritto sia stato vanificato dall’istinto del compratore, ci sono alcune contromisure, al di là dell’essere consapevoli dell’esistenza di questo genere di rischi, che possono aiutare ad evitarli. La formazione è una, perché se l’utente è consapevole di ciò a cui deve prestare attenzione è molto meno probabile che cada vittima di un attacco o che si lasci andare a qualche forma di interazione con i criminali. Adottare un approccio proattivo, non solo con la formazione degli utenti, ma anche con l’uso di adeguate tecnologie di sicurezza IT, permette di ridurre significativamente le possibilità di successo di un attacco. Una delle ragioni per cui lo spear phishing continua a essere favorito dai criminali è che i tradizionali gateway per la protezione delle mail spesso non riescono a individuare questi attacchi di social engineering altamente personalizzati.
Oltre alla formazione degli utenti Barracuda raccomanda un approccio basato su molteplici livelli di sicurezza che potrebbero comprendere:
Protezione delle mail: che dovrebbe includere funzioni quali Advanced Threat Protection, protezione dei link e protezione antiphishing in grado di bloccare le attività pericolose prima ancora che raggiungano l’utente.
Intelligenza artificiale per la difesa in tempo reale da spear phishing e cyberfrodi: Barracuda Sentinel è disponibile come servizio cloud e si compone di tre potenti livelli: un motore di intelligenza artificiale che blocca i tentativi di contatto tramite false identità e gli attacchi spear phishing in tempo reale; visibilità sulla veridicità dei domini per mezzo dell’autenticazione DMARC per la protezione dalla imitazione di domini legittimi e dall’uso improprio di un brand; formazione antifrode con attacchi simulati destinati alle persone più a rischio all’interno dell’organizzazione.
Infine, per sapere se un’azienda azienda è stata vittima di un attacco spear phishing è possibile provare gratuitamente per 30 giorni Barracuda Email Threat Scanner, uno strumento che analizza tutti gli account Office 365 per individuare i rischi di phishing e advanced persistent threat.