Un nuovo report di sicurezza, ha rivelato come il gruppo di hacker “in affitto” noto come “‘Dark Basin” stia prendendo di mira migliaia di persone indirizzando loro minacce e-mail sofisticate e personalizzate. Per promuovere questi attacchi di spear phishing, il gruppo ha creato oltre 27.000 pagine Web, progettate per raccogliere le credenziali dell’utente, molto probabilmente con l’obiettivo successivo di comprometterne l’account, sottrarre informazioni sensibili o supportare pagamenti fraudolenti. Tra le migliaia di individui e organizzazioni presi di mira figurano gruppi di advocacy, giornalisti, funzionari in carica, avvocati e fondi speculativi.
I metodi utilizzati da Dark Basin sono estremamente sofisticati: le email erano indirizzate a individui di alto livello, le cui informazioni rivestivano per loro un valore elevato, e miravano a guadagnare la loro fiducia imitando brand noti e servizi di comune uso, da YouTube a DropBox o LinkedIn oppure fingendosi amici o colleghi.
Si tratta di metodi non sorprendenti: secondo i nostri dati migliaia di aziende in tutto il mondo ogni giorno sono prese di mira con email false create con un livello di raffinatezza sempre più elevato.
Ne è un esempio un attacco che abbiamo neutralizzato il mese scorso, quando un criminale informatico ha falsificato l’identità del CEO di una azienda – scrivendo nel suo stile e imitando fedelmente i suoi stessi toni ed espressioni – per inviare una email emozionale in cui invitata i dipendenti a donare un contributo di beneficenza a supporto dell’emergenza COVID-19. L’hacker si era anche preso il tempo di creare una pagina web dall’aspetto autentico, che conteneva il modulo per la donazione: tutti i proventi, ovviamente, andavano direttamente nelle sue tasche.
Ed è proprio questa metodologia di attacco, che vede un malintenzionato impersonare un collega, un capo, un dipartimento aziendale o un brand di fiducia, ad avere registrato un aumento significativo a partire dal mese di marzo. Prima della diffusione del COVID-19e dell’adozione diffusa di pratiche di lavoro a distanza, circa il 20% di tutte le e-mail dannose bloccate da Darktrace utilizzava quale forma di spoofing. Da marzo in poi, la cifra è aumentata esponenzialmente e oggi una e-mail su due contiene una qualche forma di imitazione o spoofing. Si tratta di minacce sofisticate che bypassano il gateway ogni giorno, e possono essere captate e neutralizzate solo da un sistema di cyber AI.
Il trend riflette il tasso di successo di questa tecnica che grazie al lavoro da remoto trova il suo ambiente ideale. L’anno scorso, se avessi ricevuto una mail da un collega che sembrava un po’ ‘fuori dalle righe”, mi sarebbe bastano sporgermi dalla scrivania e chiedergli se intendeva veramente inviarla, ma oggi non è più possibile ed è certo più semplice e veloce fare un clic su un collegamento che prendere il telefono e chiamare per controllare.
Queste tecniche di impersonificazione non si limitano solo agli individui, recentemente abbiamo mostrato anche diversi esempi di come website comunemente utilizzati quando si lavora da casa siano stati sfruttati per dare una sensazione di familiarità e stiamo vedendo come questa strategia si estenda progressivamente all’intera gamma delle principali aziende del software e agli strumenti a cui ci affidiamo per collaborare da remoto. Ad esempio, abbiamo bloccato molte email in cui si imitava la piattaforma Zoom, spingendo la vittima ad accettare una richiesta di “chat” proveniente da un collega.
L’utilizzo di una vasta gamma di meccanismi per comunicare a distanza negli ultimi mesi ha giocato un ruolo importante nelle mani dei criminali informatici, che improvvisamente si sono trovati davanti un panorama ricco di opportunità da esplorare.
Molte di queste email dannose oggi sono praticamente indistinguibili dalle comunicazioni autentiche e non esistono regole precise chei dipendenti possono seguire per identificarle velocemente. Un’email recentemente bloccata dal nostro sistema Antigena Email stava tentando di convincere il destinatario a collegarsi a una pagina di accesso falsa per seguire una videoconferenza Zoom. Nelle due foto qui sotto potete vedere quanto siano minime le differenze che sussistono tra il sito contraffatto e la pagina di accesso autentica di Zoom.
Anche gli strumenti di filtro delle email che confrontano le email con le blacklist tendono a non catturare questi attacchi sofisticati e ben studiati perché molte delle nuove minacce email si basano sulla creazione di domini completamente nuovi, che non compaiono in questi elenchi e, a causa dell’impostazione predefinita, le lasciano passare.
Un sistema di sicurezza della posta elettronica che si basa su una logica di rilevamento binario tradizionale fa fatica a distinguere tra una email legittima da una copia molto simile e nessuna formazione dei dipendenti può garantire la completa immunità contro attacchi di spoofing altamente convincenti. A tutto questo si aggiunge l’ubiquità delle informazioni condivise sui social network e sugli altri canali, che rende ancora più facile per gli aggressori creare email credibili.
La nota positiva è che la tecnologia basata sull’intelligenza artificiale ha avuto un enorme successo nel bloccare questo tipo di attacchi di imitazione avanzati, individuando delle sottili anomalie nelle email che gli esseri umani spesso non colgono. Comprendendo quale sia la persona che si cela dietro le comunicazioni email, la nostra soluzione Antigena Email è in grado di chiedersi se sia normale o insolito per un destinatario ricevere una determinata email o visitare un dominio sospetto, tutto questo correlando le informazioni sulla posizione geografica dove avviene il login del mittente, l’entità delle eventuali comunicazioni precedenti, la rarità e la posizione dei link e oltre 750 metriche ulteriori che consentono a questa tecnologia di rivelare i sottili
