Come accade per tutti i più grandi eventi e trend, i cybercriminali puntano anche sui periodi di feste per ingannare gli utenti e convincerli ad aprire link e allegati pericolosi, installare malware, ottenere denaro e sfruttarli per compiere azioni pericolose. Che si tratti di messaggi di frode via email con la richiesta di acquistare finte gift card o di dirottare la carta di credito su siti compromessi, le festività offrono una grande varietà di occasioni per colpire aziende e privati.
I ricercatori Proofpoint hanno rilevato in particolare un incremento di attività business email compromise (BEC) legate a gift card, esche dal tema festivo contenute in messaggi pericolosi o collegate allo shopping, ad esempio per lo scorso “Black Friday”, e incrementi del traffico malware destinato ai point of sale (POS).
Gift Card fittizie e truffe BEC legate alle donazioni
La frode via email, nota come BEC, continua a evolversi perché gli autori di minacce rendono le proprie tecniche ancora più raffinate e scoprono nuovi mezzi per rubare denaro alle aziende. L’FBI ha di recente pubblicato un avviso sull’aumento degli attacchi in stile BEC, nei quali i cyber criminali richiedevano l’acquisto di gift card a supporto di iniziative o eventi aziendali. Nonostante questa tecnica emergente sia stata utilizzata per il momento solo in una piccola quantità di email fraudolente, è stata rilevata una rapida crescita trimestre su trimestre delle frodi legate alle gift card e, in molti casi, alle donazioni. Questa tipologia di truffa nel primo trimestre 2018 non era mai stata utilizzata, nel secondo ha raggiunto l’1%, ed è più che raddoppiata nel Q3.
Figura 1: Percentuale di frodi via email che utilizzano gift card o donazioni nei primi tre trimestri 2018
Anche la percentuale delle aziende colpite da questa tipologia di frode è cresciuta nel corso dell’anno.
Figura 2: Percentuale di aziende che hanno subìto frodi legate a gift card o donazioni nei primi tre trimestri 2018.
I cinque oggetti più utilizzati in queste email sono stati:
- itunes gift card
- gift cards
- donation (gift cards)
- amazon gift cards
- gift card
I cybercriminali hanno attaccato aziende di ogni dimensione appartenenti a tutti i settori. Non è stato riscontrato un legame tra le caratteristiche di un’organizzazione e la possibilità di essere colpita da questo tipo di truffa.
Malware per point-of-sale (POS)
Generalmente si assiste a un incremento dell’attività dei malware per i POS in corrispondenza del Black Friday e dello shopping natalizio, periodi dell’anno caratterizzati da molti acquisti e, di conseguenza, da infinite transazioni tramite carta di credito tra novembre e dicembre. Sfruttare i malware per POS, anche solo su numero ridotto di terminali, permette agli aggressori di recuperare i dati di carta di credito, per utilizzarli poi in transazioni fraudolente. L’ampia adozione di chip e tecnologia PIN ha ridotto l’efficacia di alcuni malware POS, ma transazioni senza carta di credito sono ancora possibili. Inoltre, è stato scoperto un nuovo malware in grado di calcolare i codici di autenticazione per le carte dotate di chip per utilizzarli in operazioni fraudolente.
Nel 2018, l’attività di questa tipologia di malware è stata costante, con FindPOS che resta la variante più comune, mentre MagikPOS ha avuto un picco a inizio novembre che suggerisce preparativi potenziali per il periodo festivo.
Figura 3: Attività 2018 dei malware POS rilevata dai sensori IDS di Proofpoint
Frodi tramite supporto social media fittizio o ”angler phishing”
Le piattaforme social sono sufficientemente preparate da eliminare in modo automatico i commenti spam, ma i sofisticati autori di minacce continuano a sfruttare i canali social per attaccare gli utenti. Le frodi tramite supporto social media fasullo o “angler phishing” avvengono quando i cybercriminali cercano di inserirsi in conversazioni legittime tra aziende e utenti. Il Black Friday ha rappresentato un’occasione ricca di scambi su offerte e disponibilità dei prodotti. Questa tecnica è aumentata del 486% rispetto allo scorso anno, gli utenti dovrebbero essere certi di interagire realmente con un brand legittimo e da un account verificato. Inoltre, dovrebbero essere più attenti alle minacce, in quanto gli aggressori stanno approfittando in modo massiccio di Facebook Messenger come mezzo per diffondere malware da domini controllati o compromessi.
Messaggi spam legati al Black Friday
Lo spam in sé non è pericoloso. È progettato generalmente per convincere gli utenti a fare clic su una serie di pagine affiliate che potrebbero essere collegate alla email spam. Molti messaggi legati al Black Friday hanno tratto vantaggio dal desiderio degli utenti di approfittare di offerte interessanti, creando esche attraenti. Questi messaggi potrebbero sfruttare brand compromessi e email con oggetti allettanti per convincere gli utenti ad aprirli. Spesso sono accompagnati da pagine piene di pubblicità, siti potenziali di phishing, contenuti pericolosi, offerte per prodotti contraffatti e molto altro.
Attacchi malware “festivi”
Tutte le feste e i più grandi eventi offrono l’occasione per creare esche attrattive e attacchi a tema. Gli autori che diffondono regolarmente il Trojan bancario Emotet, ad esempio, hanno inviato un’ondata di email spam legate a Giorno del Ringraziamento, Black Friday e Cyber Monday nelle ultime due settimane. Allegati e link supponevano di essere biglietti di auguri, e-card e buoni sconto rubati da Amazon contenenti codici pericolosi che installavano Emotet.
Figura 4: Esempio di messaggio di una campagna del 19 novembre che utilizzava una e-card del Giorno del Ringraziamento con un allegato pericoloso per distribuire Emotet.
Figura 5: Finto messaggio a tema Black Friday che utilizza il brand Amazon rubato, tramite lo spoofing del mittente e un link per il download di macro pericolose.
Out of office – cosa ci aspetta al nostro ritorno?
L’anno scorso, i ricercatori di Proofpoint hanno individuato una imponente campagna di attacchi distribuita il Giorno del Ringraziamento dagli autori delle campagne Dridex e Locky, noti come TA505. Questa attività ha portato all’installazione del ransomware Scarab per chi ha aperto i documenti allegati e abilitato i contenuti. Ciò è stato insolito, poiché gli autori esperti di minacce tendono a non inviare campagne durante le festività, preferendo i giorni lavorativi. Tuttavia, sono state rilevate campagne simili durante le vacanze di Natale, che hanno sfidato ancora una volta le teorie convenzionali.
Quest’anno, chi ha distribuito Emotet ha realizzato tre vaste campagne in occasione del Giorno del Ringraziamento, del Black Friday e nel successivo weekend, tornando alla normalità nei giorni settimanali il 26 novembre con le esche del Cyber Monday illustrate in precedenza. TA505 ha realizzato una campagna anche quest’anno sul Black Friday, così come altri autori hanno distribuito stealer di informazioni, RAT e Trojan bancari. Ad attendere aziende non protette e utenti desiderosi di controllare la posta, una varietà di messaggi pericolosi dedicati a offerte fasulle per il Black Friday e il Cyber Monday.
Conclusioni
Sebbene le vacanze in generale aumentino le attività dei cybercriminali che desiderano trarre vantaggio dal “fattore umano” – come la curiosità e la fallibilità invece delle vulnerabilità tecnologiche – la stagione delle vacanze del 2018 è accompagnata anche da nuove minacce. Le frodi via email con gift card sono decollate appena in tempo per le vacanze, mentre un numero maggiore di criminali affermati distribuisce malware nelle festività, in precedenza relativamente tranquille. Gli utenti dovrebbero aspettarsi un continuo incremento di questi trend via email e sui social durante le feste. Come sempre, un controllo completo delle email e livelli di protezione adeguati sono fondamentali per evitare le minacce “di stagione”. Come spesso accade, se le offerte sembrano troppo belle per essere vere o non è possibile verificare la legittimità dell’email e il marketing sui social media di marchi conosciuti, è consigliabile non aprire link e file.
