Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
REPORT Il fattore umano 2021 Cybersecurity, ransomware e frodi via email nell’anno che ha cambiato il mondo proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT Introduzione La tragedia, lo sconvolgimento e i cambiamenti epocali del 2020 sono stati documentati innumerevoli volte. Ma mentre le aziende in tutto il mondo compiono i primi cauti passi verso la normalità, “l’anno perduto”1 può ancora insegnarci qualcosa. Questo è particolarmente vero nell’ambito della cybersecurity. Mentre la pandemia globale stravolgeva le routine lavorative e familiari, i criminali informatici coglievano la palla al balzo, sfruttando ambienti di lavoro divenuti improvvisamente insoliti e approfittando di paure, incertezze e dubbi della gente per ingannare gli utenti e compromettere le aziende. E ora, nel 2021, questi criminali informatici spavaldi fanno leva sul loro vantaggio moltiplicando gli attacchi ransomware contro infrastrutture e aziende di alto profilo. E anche se la vita sembra tornare lentamente alla normalità, ma alcune tendenze dell’era della pandemia resteranno. Molte persone lavoreranno in maniera ibrida, dividendo il proprio tempo fra l’abitazione e gli ambienti di lavoro comuni. Gruppi distribuiti collaboreranno da aree geografiche e giurisdizioni differenti. In questo, i cambiamenti che erano già in corso prima della pandemia nell’ambito di ecommerce, cloud e in altre aree, non hanno fatto che accelerare. A prescindere da come sarà il mondo post COVID, la protezione delle persone, ovunque e comunque lavorino, sarà una sfida continua. Nota sul report Gli argomenti di questo report Ambito Fin dalla sua prima edizione nel Questo report approfondisce ciascuno I dati contenuti nel report attingono 2014, il report Il Fattore Umano si dei tre aspetti dei rischi legati agli utenti. al grafico sulle minacce Nexus di fonda sul semplice presupposto che Analizza il modo in cui i tragici eventi Proofpoint, che a sua volta si avvale sono le persone, non la tecnologia, del 2020, e il cambiamento epocale dei dati raccolti dalle implementazioni la variabile più critica nelle minacce innescatosi, hanno trasformato il Proofpoint in tutto il mondo. Ogni informatiche attuali. panorama delle minacce. Prende in giorno analizziamo oltre 2,2 miliardi esame l’ecosistema delle minacce in di messaggi email, 35 miliardi di URL, Da allora, questo concetto un tempo mutamento e le sue implicazioni per 200 milioni di allegati, 35 milioni di controcorrente è diventato una realtà tutti noi. Infine, spiega come una difesa account cloud e altro ancora. Un totale ampiamente riconosciuta. I criminali incentrata sulle persone può rendere gli di migliaia di miliardi di punti di dati in informatici prendono di mira le persone. utenti più resilienti, mitigare gli attacchi tutti i canali digitali più importanti. Sfruttano le persone. In fin dei conti, e gestire i privilegi. essi stessi sono persone. Questo report copre il periodo Questo report presenta le minacce 1° gennaio - 31 dicembre 2020. Per prevenire, rilevare e rispondere rilevate, mitigate e neutralizzate durante Salvo diversa indicazione, include efficacemente alle minacce e ai rischi il 2020 dalle implementazioni di le minacce osservate direttamente per la conformità, i professionisti della Proofpoint nel mondo, che alimentano dalla nostra rete globale di ricercatori sicurezza delle informazioni devono una delle più grandi e diversificate serie e legate a una campagna di attacco, comprendere le dimensioni incentrate di dati nella cybersecurity. definita come una serie di azioni sulle persone dei rischi legati agli intraprese da un criminale informatico utenti: vulnerabilità, attacchi e privilegi. Ci soffermiamo ampiamente sulle per raggiungere il proprio obiettivo. In termini pratici, si tratta di conoscere: minacce che fanno parte di una campagna di attacco più ampia Per quanto riguarda il Capitolo 3: • Le principali vulnerabilità degli utenti e sulla serie di azioni intraprese da un Privilegi, 300 clienti hanno condiviso • Le modalità di attacco dei criminale informatico per raggiungere i propri allarmi relativi a Insider Threat criminali informatici i propri obiettivi. A volte siamo in Management, permettendo di stabilire • I rischi potenziali derivanti dalla grado di associare tali campagne le forme di abuso dei privilegi che violazione dell’accesso con privilegi a un criminale informatico specifico, hanno destato in loro le maggiori a dati, sistemi e altre risorse nel processo denominato attribuzione. preoccupazioni. Abbiamo confrontato Ma per le ragioni spiegate nel Capitolo gli allarmi generati dal febbraio 2020 Le soluzioni utilizzate per affrontare “L’arte dell’attribuzione” a pagina 27, al gennaio 2021, al culmine della questi elementi (il fattore umano della questo non è sempre possibile. pandemia, con quelli del periodo cybersecurity) rappresentano i pilastri ottobre 2019 - gennaio 2020. fondamentali di una difesa moderna. 1 The Economist, “2020: The year that wasn’t.”(L’anno perduto), novembre 2020.
IL FATTORE UMANO 2021 | REPORT Sommario Principali risultati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1 Vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Utenti alla prova: le percentuali di insuccesso nelle simulazioni di phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Percentuali di insuccesso per settore . . . . . . . . . . . . . . . . . . . . . . . . . 10 2 Attacchi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Ransomware in crescita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Stati chiave delle presidenziali americane: attacchi legati al tema delle elezioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 COVID-19: lo sfruttamento della pandemia da parte dei criminali informatici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Tipi di attacchi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Tecniche di attacco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Strumenti di attacco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3 Privilegi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Conclusioni e raccomandazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3
IL FATTORE UMANO 2021 | REPORT Principali risultati Principali risultati Più di una persona su tre fra quelle colpite dalle campagne di attacco basate sulla steganografia ha fatto clic su un’email Ecco alcuni punti salienti pericolosa. È il tasso di successo più alto fra le tecniche di attacco. del report di quest’anno. Il numero di clic ricevuti dagli Oltre48 milioni di messaggi contenevano >50X più di 50 volte superiore attacchi CAPTCHA è malware che poteva essere utilizzato come punto di ingresso per attacchi ransomware. a quello dell’anno precedente. Mentre il mondo era concentrato sulle notizie relative al COVID-19, i criminali informatici hanno approfittato della situazione. Sono Le campagne di attacco sferrate dal criminale comparse più truffe legate alla pandemia di informatico TA542 (legato alla botnet Emotet) quelle legate a qualsiasi altro evento o tema di attualità. A un certo punto del 2020 quasi tutti sono quelle chehanno persuaso a fare clic i criminali informatici che monitoriamo hanno il maggior numero di utenti. Il numero utilizzato dei contenuti relativi alla pandemia. complessivo riflette la loro efficacia e il volume complessivo di email inviate in ogni campagna. Quasi il 10% delle email dannose correlate a questa campagna ha cercato di distribuire il malware Emotet. Prima di essere smantellata dalle forze dell’ordine nel 2021, l’infrastruttura In un mondo in cui gli utenti sono stati improvvisamente ~10% di Emotet veniva offerta a noleggio ad altri gruppi, che la utilizzavano per distribuire ransomware e altri tipi di malware. confinati in casa e il telelavoro è diventato la normalità, il punto di vista delle aziende sui rischi legati ai privilegi è cambiato. Rispetto ai livelli pre-pandemia c’è stata un’impennata nel numero di aziende che hanno 25% di tutte le campagne di Quasi il impostato degli allarmi per prevenire la perdita attacco ha nascosto il malware in file compressi, che vengono eseguiti solo dopo l’interazione con il destinatario. 25% di dati per le seguenti attività: • Utilizzo di dispositivi USB • Copia di file e cartelle di grandi dimensioni (soprattutto durante orari desueti) Il phishing delle credenziali di accesso , sia dei consumatori che delle aziende, è stato di gran • Valutazione dei servizi di lunga la forma di attacco più comune, essendo condivisione di file responsabile di quasi i due terzi di tutti i messaggi • Attività che potrebbero eludere lo ostili, più di tutti gli altri attacchi messi insieme. strumento di monitoraggio degli utenti Il phishing delle credenziali d’accesso porta alla violazione degli account, che possono essere sfruttati da altri attacchi, come il furto dei dati e la violazione dell’email aziendale (BEC, Business Email Compromise). Controlli per la prevenzione della perdita di dati e le minacce interne impostati dai Le tecniche che richiedono l’interazione del destinatario con clienti in generale: un allegato o direttamente con un attacco sono aumentate nettamente. 1. Connessione di un dispositivo USB non approvato Gli attacchi di hijacking dei thread di discussione sono aumentati 2. Copia di cartelle o file di grandi dimensioni del 18% rispetto all’anno precedente. 3. Caricamento di un file sensibile sul web 18% 10X Hijacking del thread Macro di Quelli che utilizzano i file protetti da password sono quasi quintuplicati. Il volume degli attacchi basati sulle 4. Apertura di un file di testo che potrebbe contenere delle password di discussione Excel 4.0 macro di Excel 4.0 è più che 5. Download di un file con un’estensione Attacchi decuplicato. potenzialmente dannosa 4
IL FATTORE UMANO 2021 | REPORT Struttura di questo report Così come ogni persona è unica, Nella cybersecurity, il rischio viene lo sono anche il suo valore per i criminali informatici e il rischio Vulnerabilità calcolato come segue: minacce x per i propri datori di lavoro. vulnerabilità x impatto +/- controlli I dipendenti hanno vulnerabilità, di sicurezza. abitudini digitali peculiari e punti deboli diversi. Vengono Bersagli Bersagli Il presente report osserva ciascuno attaccati in maniera “facili” latenti differenziata e con una Bersagli di questi aspetti analizzandolo con frequenza variabile. imminenti il nostro modello di rischio legato Possiedono inoltre agli utenti incentrato sulle persone differenti livelli di accesso Attacchi Privilegi privilegiato a dati, Bersagli – vulnerabilità, attacchi (minacce) sistemi e risorse. principali e privilegi (impatto) – e fornisce La combinazione di questi raccomandazioni sulle misure fattori determina il rischio da applicare per mitigarli. complessivo di un utente. • Bersagli latenti: gli utenti con privilegi Vulnerabilità Privilegi elevati, che sono anche più vulnerabili alle truffe di phishing, costituiscono delle Il livello di vulnerabilità degli utenti si valuta Per privilegi si intendono tutti gli elementi violazioni in fieri. Un utente con privilegi in base al loro comportamento digitale: potenzialmente di valore a cui le persone elevati non svolge necessariamente i loro metodi di lavoro e i loro clic. hanno accesso, tra cui dati, autorizzazioni una mansione di alto profilo. Anche finanziarie, relazioni chiave, ecc. Valutare i dipendenti degli uffici risorse umane, Molti dipendenti lavorano in remoto tale aspetto è cruciale perché riflette struttura e amministrazione meno esperti o accedono all’email aziendale tramite il potenziale guadagno dei criminali possono far cadere nelle mani sbagliate i propri dispositivi personali. Potrebbero informatici e gli eventuali danni per un livello di accesso che comporta dei servirsi dell’archiviazione di file in cloud le aziende compromesse. pericoli. Anche se non sono stati ancora e installare componenti aggiuntivi di individuati dai criminali informatici, sono terze parti nelle loro app cloud. Oppure La posizione di un utente nell’organigramma come frutti maturi in attesa di essere colti. potrebbero essere particolarmente ricettivi è naturalmente un fattore da tenere in rispetto alle tattiche di phishing delle email considerazione nella valutazione dei • Bersagli “facili” gli utenti più attaccati, degli aggressori. privilegi, ma non è l’unico, anzi spesso che sono vulnerabili alle minacce, non è nemmeno il più importante. rappresentano delle facili conquiste per i Per i criminali informatici, chiunque criminali informatici. La rapidità di reazione Attacchi possa aiutarli a raggiungere il loro fine è un obiettivo prezioso. e risoluzione può contenere i danni per gli utenti con privilegi bassi. Tuttavia, la riuscita di un attacco può offrire al Gli attacchi informatici non sono tutti uguali. criminale informatico una base dalla quale Anche se tutti sono potenzialmente dannosi, alcuni sono più pericolosi, mirati o sofisticati degli altri. Accumulo di fattori di rischio aggredire gli utenti che hanno accesso a dati, sistemi e risorse più preziosi. Livelli di rischio elevati in una di queste tre • Bersagli principali: il rischio posto Le minacce comuni diffuse, senza distinzioni, categorie sono motivo di preoccupazione dagli utenti più colpiti e con privilegi benché più numerose di quelle avanzate, e, nella maggior parte dei casi, portano elevati può essere mitigato riducendone sono solitamente più facili da comprendere a ulteriori livelli di sicurezza. Due o più la vulnerabilità con una formazione e da bloccare. (Non lasciamoci trarre in livelli di rischio elevato sono indice di di sensibilizzazione alla sicurezza inganno, però, poiché possono provocare un problema di sicurezza più urgente. e best practice digitali. Le persone di danni altrettanto gravi). questa categoria saranno esposte a Le seguenti quattro categorie di utenti innumerevoli attacchi. Basta che uno Altre minacce compaiono in un numero evidenziano il modo in cui le combinazioni di essi abbia successo per causare esiguo di attacchi ma rappresentano di vulnerabilità, attacchi e privilegi un danno duraturo all’azienda. un problema più serio, a causa del loro influenzano il rischio complessivo. • Bersagli imminenti: gli utenti con livelli livello di sofisticatezza o delle persone di rischio elevato per tutti e tre i fattori che colpiscono. costituiscono un pericolo immediato e critico e vanno perciò considerati come una priorità di sicurezza urgente. 5
IL FATTORE UMANO 2021 | REPORT CAPITOLO 1 Vulnerabilità STEGANOGRAFIA Un altro modo di pensare alle vulnerabilità è quello di chiedersi: “Se i miei utenti venissero I criminali informatici utilizzano questa colpiti da un attacco informatico, che probabilità avrebbero di restarne vittime?” tecnica per nascondere il payload dannoso in un file apparentemente innocuo, come Alcune delle tecniche di attacco più efficaci del 2020 sono state anche quelle più mirate, una foto o un file audio. Solitamente usate in campagne che a volte comprendevano solo una manciata di email. il payload è codificato in dei bit di dati La STEGANOGRAFIA, ossia l’occultamento di codice dannoso in immagini e altri tipi di file, altrimenti inutilizzati, che gli utenti non è comparsa in pochissime campagne mirate. Nonostante ciò, la tecnica si è dimostrata vedono e che sono difficili da rilevare con molto efficace, inducendo tre destinatari su otto a fare clic*. Si tratta di un tasso di risposta gli strumenti di analisi dei file e sandbox. che farebbe invidia a qualsiasi criminale informatico, per non parlare di chi invia le email Una volta sul computer della vittima, i dati di marketing. nascosti vengono decodificati e attivati. CAPTCHA Le tecniche CAPTCHA, che usano dei testi visuali per distinguere le persone dalle macchine, Normalmente le tecniche CAPTCHA vengono hanno ottenuto un numero di clic 50 volte superiore a quello dell’anno precedente. usate come misura antifrode. Chiedendo Benché il tasso di risposta complessivo sia stato un più modesto 5%, che ancora sarebbe all’utente di eseguire un compito facile per un un notevole successo nella maggior parte delle campagne di marketing via email, molti essere umano ma difficile per una macchina, più utenti sono caduti in questa trappola rispetto al 2019. questa tecnica assicura che una persona, non un robot automatico, stia accedendo a un sito web. I criminali informatici lo usano in modo analogo, benché più inquietante. Ponendo un quesito CAPTCHA, si assicurano che il malware si trovi nel sistema di un utente reale e non in uno strumento di analisi sandbox che potrebbe osservarne l’attività illecita. Questa tecnica permette anche di determinare la posizione dell’utente (in base al suo indirizzo IP) per gli attacchi rivolti a persone di un dato paese o regione. La schermata di un codice CAPTCHA tratto da un attacco a tema COVID a maggio. Non è chiaro perché gli utenti sono risultati più vulnerabili a una di queste tecniche. Con lo stress subito nel 2020, i telelavoratori potrebbero essere stati più distratti e impegnati a livello cognitivo. Forse alcuni di loro sono stati indotti, dai nuovi controlli imposti dal telelavoro, a considerare il codice CAPTCHA come una normale verifica di sicurezza. *Nelle campagne che sono state attribuite. 6
IL FATTORE UMANO 2021 | REPORT Tecniche con il maggior numero di clic per messaggio* Variazione anno su anno (media dei clic 2020 su 2019)* La steganografia si è dimostrata molto efficace nelle poche Le tecniche CAPTCHA, che eludono gli strumenti di sicurezza campagne mirate che hanno utilizzato questa tecnica. richiedendo l’interazione umana, hanno generato nel 2020 Anche gli attacchi che hanno sfruttato la vulnerabilità un numero di clic superiore di 50 volte rispetto al 2019. CVE-2018-8174 di Windows si sono rivelati efficaci Sono state utilizzate in diverse dozzine di campagne su larga scala. e sono stati utilizzati in campagne più corpose e frequenti. Steganografia CAPTCHA CVE-2018-8174 BlackTDS Kit di exploit RIG CMSTP Elaborazione degli script XLS BlackTDS CVE-2018-8174 Java HTML Elaborazione degli script XLS Protezione con password VBS Java JavaScript Keitaro TDS 0% 10% 20% 30% 40% 0% 10% 20% 30% 40% 50% 60% 70% In ogni caso, i criminali informatici sono stati rapidi nell’approfittarsi degli utenti vulnerabili. Il criminale informatico che abbiamo soprannominato TA542, che ha prodotto il volume maggiore di attacchi del 2020, ha totalizzato 454 clic per campagna di attacco con un tasso di successo pari TA542 a circa lo 0,1%. La mancanza di efficacia è stata compensata dal Prima del suo smantellamento nel 2021, TA542 era diventato negli volume elevato di messaggi inviati (per maggiori informazioni ultimi anni uno dei gruppi di criminali informatici più prolifici, con su questo noto criminale informatico consultare il Capitolo 2: campagne su larga scala utilizzando un ceppo di malware denominato Attacchi). Un altro criminale informatico che sfrutta i volumi Emotet. Il gruppo ha preso di mira numerosi settori in tutto il mondo, elevati, TA576, ha raggiunto 568 clic per campagna con un tasso inviando centinaia di migliaia (o forse milioni) di messaggi al giorno. di successo analogo. Emotet non si limita a compromettere i sistemi che infetta, ma li Per contro, alcuni degli hacker più efficaci, quelli con i tassi di utilizza per lanciare nuovi attacchi inglobandoli in una rete di oltre un successo più elevati, sono quelli che hanno inviato il minor numero milione di macchine zombie infettate in modo analogo, denominata di messaggi. botnet. Altri criminali informatici hanno usato l’infrastruttura botnet Per esempio, il criminale informatico che indichiamo come TA407 di TA542 per attacchi di ogni genere. ha avuto in media nel 2020 un clic ogni cinque email, uno dei tassi di successo più elevati fra tutti quelli che monitoriamo. Questo TA576 criminale informatico è stato molto selettivo, inviando solo qualche Questo gruppo criminale si concentra soprattutto sugli attacchi a tema decina di email in meno di 100 campagne in tutto il 2020, ed fiscale. Nel 2020 ha lanciato solo due campagne, ma entrambe su è noto per le avanzate tecniche di social engineering che utilizza. larga scala. TA407 Conosciuto anche come Silent Librarian, Cobalt Dickens e Mabna Institute, questo gruppo di criminali informatici opera in Iran. Ha colpito varie università in Nord America ed Europa per appropriarsi della loro proprietà intellettuale. Nel 2018 le autorità statunitensi hanno incriminato nove presunti membri del gruppo per aver rubato dati del valore di 3,4 miliardi di dollari. 7
IL FATTORE UMANO 2021 | REPORT Per esempio, le sue campagne email usano i marchi delle università, siti web dall’aspetto professionale e le normali attività scolastiche (come il rinnovo dei prestiti bibliotecari) per indurre le vittime a rivelare le credenziali degli account. Tasso medio di clic (per campagna) Media dei clic rispetto alla media per gli hacker con il più elevato numero dei messaggi per campagna di attacchi Media dei clic rispetto alla media dei messaggi per campagna 1,5 0,25 1,2 0,2 Clic per 1.000 email 0,9 0,15 0,6 0,1 0,3 0,05 0,0 0 TA542 TA567 TA544 TA505 TA800 TA407 TA4561 TA4557 TA556 TA2718 Clic per campagna 600 500 400 Media dei clic 300 200 100 0 TA567 TA542 TA568 TA570 TA569 TA543 TA556 TA2718 TA800 TA505 8
IL FATTORE UMANO 2021 | REPORT Utenti alla prova: le percentuali di insuccesso nelle simulazioni di phishing Un altro modo di valutare la vulnerabilità è quello delle esercitazioni tramite simulazioni di attacchi di phishing. Queste simulazioni di attacchi rivelano le esche e le tattiche a cui le persone hanno le maggiori probabilità di soccombere nel mondo reale e nelle normali condizioni lavorative. Il nostro report annuale State of the Phish ha analizzato il modo in cui gli utenti hanno reagito a più di 60 milioni di email di simulazioni di attacchi di phishing nei 12 mesi del 2020. Confrontando le percentuali medie di insuccesso (le percentuali di utenti che abboccano all’esca) si vede come e dove gli utenti potrebbero essere più vulnerabili. Ecco alcuni dei principali risultati del report: Percentuali di insuccesso per tipo di modello Ciascuna email di “phishing” viene creata a partire da modelli che consentono di usare attacchi dagli stili, temi e inganni più svariati. Benché i modelli varino quanto le minacce del mondo reale, ricadono in tre categorie principali: • Phishing basato sui link (includono un URL non sicuro che reindirizza gli utenti verso malware e siti web pericolosi) • Phishing basato sull’immissione dei dati (conducono l’utente a una pagina di accesso falsificata al fine di sottrargli credenziali e dati personali) • Phishing basato sugli allegati (includono un file pericoloso) In media2 1 utente su 5 fa clic sulle email contenenti gli allegati. Si tratta della media più alta fra i tre modelli, una percentuale di insuccesso nelle simulazioni che supera gli altri due tipi messi insieme. Tipi dei modelli di phishing: Percentuali medie di insuccesso 12% 4% 20% Link Inserimento Allegato dati 2 Per evitare di assegnare un peso eccessivo alle grandi aziende, abbiamo calcolato punteggi medi per cliente anziché per singolo utente. 9
IL FATTORE UMANO 2021 | REPORT Percentuali di insuccesso per settore I settori più vulnerabili I dipartimenti interni più vulnerabili Le percentuali di insuccesso nelle simulazioni di attacchi Le percentuali di insuccesso a livello di settore in sé non sono di phishing indicano che gli utenti di alcuni settori sono più sufficienti per identificare i ruoli e i gruppi che faticano di più in vulnerabili di altri. questo senso. I criminali informatici spesso colpiscono caselle e alias email specifici. Le percentuali di insuccesso a livello di dipartimento Gli utenti dei settori di ingegneria, telecomunicazioni, offrono una visione più dettagliata sui potenziali punti deboli. estrazione mineraria e istruzione, per esempio, sono più inclini a farsi ingannare. Per contro, gli utenti dei settori alberghiero/ I dipartimenti IT, acquisti, ricerca e sviluppo, imposte fiscali, risorse tempo libero e intrattenimento/media sono più difficili da trarre umane e revisione contabile sono i meno inclini a lasciarsi trarre in inganno. in inganno dalle email che simulano degli attacchi di phishing. Servizi, manutenzione, qualità e ingegneria sono quelli con (Nota: i settori rappresentati in questo grafico includono i dati di maggiori probabilità di cadere nella trappola. almeno 15 aziende e di almeno 150.000 simulazioni di attacchi). (Nota: i settori del grafico includono i dati di almeno 15 aziende e di almeno 150.000 simulazioni di attacchi). Percentuale media di insuccesso per settore Percentuale media di insuccesso per dipartimento Hospitality/Tempo libero: 9% Percentuale media Acquisti: 7% Percentuale media di insuccesso dell’11% di insuccesso dell’11% Legale: 9% Information Technology: 8% Intrattenimento/Media: 9% Ricerca e sviluppo: 8% Automobilistico: 10% Fisco: 9% Alimenti e Bevande: 10% Risorse Umane: 9% Sanità: 10% Revisione: 10% Pubblica Amministrazione: 11% Operazioni: 10% Industria manifatturiera: 11% Servizio clienti: 10% Servizi finanziari: 11% Contabilità: 10% Servizi commerciali: 11% Magazzino: 11% Tecnologia: 11% Supply chain: 11% Edilizia: 11% Vendite: 11% Vendita al dettaglio: 11% Finanza: 11% Trasporti: 12% Servizi amministrativi: 12% Assicurazioni: 12% Sicurezza: 12% Energia/Pubblica utilità: 12% Marketing: 12% Formazione: 13% Progettazione: 13% Estrazione mineraria: 13% Qualità: 14% Telecomunicazioni: 14% Manutenzione: 15% Progettazione: 16% Strutture e servizi: 17% 0% 5% 10% 15% 20% 0% 5% 10% 15% 20% 10
IL FATTORE UMANO 2021 | REPORT CAPITOLO 2 Attacchi Ransomware in crescita Secondo le cifre del governo statunitense3, l’anno scorso gli attacchi di RANSOMWARE sono aumentati del 300%. Nella prima metà del 2021, il problema si è intensificato ulteriormente con gli attacchi contro Colonial Pipeline, JBS Foods e il sistema di sanità pubblica irlandese (HSE, Health Service Executive), a dimostrazione che gli autori di ransomware possono davvero mettere in pericolo le infrastrutture critiche in tutto il mondo. RANSOMWARE Questo tipo di malware blocca i dati delle vittime Certamente gli attacchi ransomware continuano a utilizzare il canale email, ma molte crittografandoli, poi chiede il pagamento di cose sono cambiate dal 2016, anno in cui Locky ha invaso milioni di caselle email. un riscatto per sbloccarli con una chiave Invece di essere inviato come payload virale principale in campagne di email dannose, di decrittografia. il ransomware è ora più spesso scaricato da un malware già presente in un sistema o distribuito tramite un accesso RDP (Remote Desktop Protocol) o una rete privata virtuale (VPN). Tuttavia, l’email continua a giocare un ruolo chiave in questi attacchi, in quanto è il vettore utilizzato per distribuire la maggior parte del malware della prima fase, che viene poi sfruttato per scaricare il ransomware. I criminali informatici responsabili di questi loader e trojan agiscono poi come intermediari e facilitatori per consentire agli autori degli attacchi di ransomware di utilizzare delle backdoor nei sistemi infetti in cambio di una parte dei profitti. Invece di privilegiare campagne su larga scala poco redditizie, gli autori di attacchi ransomware attualmente preferiscono operazioni di “caccia grossa”, che coinvolgono le aziende più grandi che hanno molto più da perdere e sono quindi più disposte a pagare. 3 James Rundle e David Uberti (Wall Street Journal), “How Can Companies Cope with Ransomware?” (Come possono le aziende affrontare il ransomware), maggio 2021. Messaggi dannosi da ceppi di malware associati al ransomware 3,5 3,0 2,5 2,0 Milioni 1,5 1,0 0,5 0 02/01/2020 02/02/2020 02/03/2020 02/04/2020 02/05/2020 02/06/2020 02/07/2020 02/08/2020 02/09/2020 02/10/2020 02/11/2020 02/12/2020 Emotet The Trick BazaLoader Qbot SDBbot Dridex Zloader Buer Phorpiex 11
IL FATTORE UMANO 2021 | REPORT Dato questo cambiamento di strategia, il nostro gateway email ha rilevato pochi ransomware. Di fatto, un singolo ceppo denominato Avaddon rappresenta circa il 95% di tutti i payload di ransomware della prima fase per l’anno 2020. Per contro, diversi payload della prima fase, come The Trick, Dridex e Qbot, sono serviti come punto d’ingresso per una successiva infezione di ransomware: tutti e tre sono stati utilizzati nelle campagne più grandi in termini di volume osservate lo scorso anno. Complessivamente, nel 2020 abbiamo identificato più di 48 milioni di messaggi contenenti malware in grado di scaricare ransomware o altri payload secondari. Il malware distribuito per l’accesso iniziale non scarica semplicemente un ceppo specifico di ransomware. Dalle nostre osservazioni e da quelle di altri ricercatori4, le relazioni sono molto più complesse e disparate di quanto sembri. MALWARE RANSOMWARE The Trick WastedLocker Ryuk BazaLoader Egregor SocGholish Maze IcedID Sodinokibi Qbot ProLock Campioni di payload di accesso iniziale distribuiti da criminali informatici e ransomware associati distribuiti dopo l’accesso iniziale Se la rete di relazioni tra le organizzazioni di criminali informatici è complessa, la sequenza di eventi in un tipico attacco ransomware via email non lo è: l’infezione iniziale con un loader o un Trojan dei servizi bancari lascia l’azienda vulnerabile agli autori degli attacchi ransomware che cercano obiettivi di valore elevato. Per la maggior parte delle aziende, la prima linea di difesa contro il ransomware è rappresentata dalla protezione contro l’infezione iniziale. In altre parole, è necessario bloccare il loader per bloccare il ransomware. 4 Clifford Krauss (The New York Times), “How the Colonial Pipeline Became a Vital Artery for Fuel” (Come Colonial Pipeline è diventata un’arteria vitale per l’approvvigionamento di carburante), maggio 2021. 12
IL FATTORE UMANO 2021 | REPORT Stati chiave delle presidenziali americane: Benché i criminali informatici non abbiano attacchi legati al tema delle elezioni La maggior parte dei ricercatori aveva previsto che le elezioni statunitensi del 2020 usato esche a tema avrebbero rappresentato una grande opportunità per i criminali informatici, alcuni dei elettorale finché l’evento quali avrebbero seminato disinformazione, mentre altri avrebbero usato le elezioni come ispirazione per il social engineering delle email. non è entrato nel vivo nell’autunno del 2020, Ed è proprio quanto è successo. Benché i criminali informatici non abbiano usato esche a tema elettorale finché l’evento non è entrato nel vivo nell’autunno del 2020, per tutto l’anno per tutto l’anno non hanno non hanno esitato a prendere di mira le aziende legate alle elezioni. esitato a prendere di mira le I criminali informatici spinti da motivazioni economiche e i gruppi sponsorizzati dagli stati, aziende legate alle elezioni. hanno preso di mira le aziende legate direttamente e indirettamente alle elezioni. I loro attacchi hanno preso di mira tutti i livelli del governo e della politica: enti locali, statali e federali fino ai comitati di azione politica. Le truffe a tema politico o elettorale hanno colpito numerosi settori negli Stati Uniti, raggiungendo un picco nell’ottobre 2020 prima di calare il 3 novembre, all’indomani delle elezioni. Tra i temi utilizzati, i seguenti: • Lo stato di salute dell’allora presidente Donald Trump • DNC (Comitato nazionale democratico) • EAC (Commissione americana di assistenza elettorale) • Iscrizione degli aventi diritto al voto PRINCIPALI CARATTERISTICHE • Sfrutta un argomento che suscita spesso forti emozioni. • Imita il dominio email dell’EAC. • Utilizza il sigillo presidenziale degli Stati Uniti per dare un tocco di autorevolezza. • Include un URL pericoloso, camuffato da sito web di iscrizione. Email truffaldina che si spaccia per la commissione di assistenza elettorale. 13
IL FATTORE UMANO 2021 | REPORT Sfruttamento dei thread di discussione Una campagna ha preso di mira i funzionari responsabili della gestione delle elezioni e della pianificazione delle infrastrutture elettorali. I criminali informatici hanno usato il metodo di HIJACKING DEL THREAD DI DISCUSSIONE. HIJACKING DEL THREAD DI DISCUSSIONE Dopo aver preso il controllo dell’account Alcune campagne di malware, come EMOTET, e alcuni attacchi di URSNIF, si inseriscono email di un utente, il criminale informatico automaticamente nei thread di discussione esistenti. La tecnica funziona nel modo seguente. può fare ciò che vuole con la casella email 1. Il malware analizza le email di una casella inbox compromessa. della vittima. Con un tale controllo, l’autore dell’attacco può rispondere alle 2. Quando identifica la dicitura “re:” nell’oggetto di un messaggio email, invia agli altri utenti conversazioni passate e in corso iniettando nel thread di discussione un messaggio che sembra provenire dall’utente compromesso. un’email dannosa. Poiché i destinatari 3. Dato che l’email proviene apparentemente da qualcuno di cui gli altri partecipanti si conoscono il mittente e si fidano e, fidano, e con il quale interagiscono, i destinatari hanno maggiori probabilità di cadere soprattutto, hanno interagito attivamente nella trappola. con la persona, questa tecnica può essere molto efficace. Alcuni ceppi di malware sono ora in grado di automatizzare l’hijacking del thread di Campagna “Proud Boys” discussione per applicare il social Un’insolita campagna di minacce via email incentrata sulle elezioni è stata presumibilmente engineering su vasta scala. lanciata dal violento gruppo di odio ed estrema destra Proud Boys contro gli elettori democratici della Florida. EMOTET Prima che ne venisse smantellata Messaggi con oggetto “Vote for Trump or else!” (Vota per Trump altrimenti...) l’infrastruttura nel 2021, Emotet era il minacciavano un atto di violenza nel caso in cui il destinatario non avesse obbedito. malware più distribuito nel mondo. È stato Le email contenevano un collegamento a un video tipico dei Proud Boys che ritraeva uno dei primi gruppi a passare dalla sua una persona nell’atto di compilare l’iscrizione al registro degli elettori e la scheda del voto funzione primaria, ovvero il furto delle per procura relative ai cittadini dell’Alaska. Questa campagna era in netto contrasto con credenziali bancarie, alla funzione di la tipica attività delle minacce informatiche legata alle elezioni, date le minacce minacce intermediario di accesso per altri criminali palesi e l’incitamento alla violenza fisica. informatici, come quelli che distribuiscono Dridex e Qbot. Anche se i membri del gruppo Proud Boys sono noti per gli attacchi violenti contro la sinistra, le autorità e le società di sicurezza affermano che le email provenivano in realtà URSNIF da criminali informatici al soldo dell’Iran. Ursnif è un trojan dei servizi bancari ampiamente utilizzato. Si è evoluto dal ceppo di malware Gozi, il cui codice sorgente fu divulgato nel 2015. Ursnif è la più nota fra le varianti di Gozi, che includono Dreambot, ISFB e Papras. 14
IL FATTORE UMANO 2021 | REPORT La febbre elettorale contagia anche Emotet Anche Emotet, che è all’origine della più grande campagna di minacce dell’anno in termini di volume, ha utilizzato esche legate alle elezioni a partire dall’ottobre 2020. TA542, il collettivo alle spalle di Emotet, ha intrapreso varie attività legate alle elezioni tra cui: • Furto dell’identità del DNC • Incoraggiamento a fare volontariato durante la campagna elettorale • Supporto alle organizzazioni politiche (Per maggiori informazioni su Emotet, consultare la sezione “L’identikit dei principali gruppi di criminali informatici” a pagina 27). Un attacco di Emotet che sfrutta le elezioni. Emotet non ha colpito persone o aziende specifiche coinvolte nella procedura elettorale, ma ha sfruttato l’interesse per le elezioni e gli eventi correlati per creare esche che potessero interessare una vasta platea in diversi settori. MALWARE COMUNE Per malware comune si intendono gli COVID-19: lo sfruttamento della pandemia da strumenti più diffusi, a disposizione di tutti e utilizzati da numerosi criminali informatici. parte dei criminali informatici Benché questo tipo di malware sia noto Il COVID-19 ha stravolto le routine lavorative e familiari della maggior parte di tutti noi. e facilmente bloccato dagli strumenti di In questo nuovo ambiente sconosciuto è fondamentale stabilire in che modo gli utenti sicurezza, i criminali informatici lo usano vengono attaccati e, se possibile, chi c’è dietro gli attacchi. spesso in modo ingegnoso e in campagne su larga scala. Questo malware può quindi I criminali informatici sfruttano continuamente l’attualità per creare le loro email essere tanto dannoso quanto le minacce fraudolente, ma il 2020 è stato forse il primo caso in cui tutti gli hacker hanno puntato più avanzate e mirate. contemporaneamente sulle stesse tematiche. Mentre l’attenzione del mondo era totalmente MINACCE PERSISTENTI AVANZATE (APT) assorbita dalle notizie sulla pandemia, l’ecosistema delle minacce informatiche nella sua Questo tipo di minacce viene usato totalità si muoveva in parallelo verso gli stessi contenuti tematici. generalmente nello spionaggio per conto di Dagli spammer agli utilizzatori del MALWARE COMUNE, dai criminali informatici su vasta uno stato, benché nella categoria ricadano scala fino alle MINACCE PERSISTENTI AVANZATE (APT), praticamente tutti hanno abbracciato anche i criminali informatici più sofisticati. il COVID-19 come contenuto preferito per il social engineering. Abbiamo identificato quasi Questi attacchi sono solitamente finalizzati 250 milioni di messaggi mirati associati al COVID-19 e altri miliardi da campagne di spam al furto di proprietà intellettuale o denaro e attacchi più generali. oppure puntano a interrompere o danneggiare dati e sistemi. 15
Sfruttamento di La pandemia di COVID-19 è un perfetto esempio di come i criminali informatici adattano le loro tattiche in tempo reale per speculare sulla paura, i dubbi e le insicurezze delle vittime. una crisi sanitaria Qui di seguito una linea temporale delle principali tappe fondamentali della crisi sanitaria mondiale e la risposta dei criminali informatici. 7 marzo 19 gennaio I cittadini statunitensi vengono colpiti da email Gli attacchi rivolti che sembrano provenire contro gli utenti in dall’azienda "Mobility Aprile Giappone sfruttano il Research Inc" in cui si chiede Attacchi degni di nota tema COVID-19 per I cittadini statunitensi ricevono ai destinatari un aiuto per indurre i destinatari email di phishing, provenienti trovare una cura per il ad aprire documenti all’apparenza dal “Federal coronavirus partecipando a 19 gennaio 2021 Microsoft Word Reserve System”, con un link a 10 febbraio un progetto Folding@Thome. infetti. Le email un sito web dall’aspetto ufficiale Le email che prendono di L’email imita il progetto fanno parte di Email a tema che richiede ai destinatari di mira le persone negli Stati Folding@Home legittimo, una campagna inserire le credenziali bancarie Uniti e in Canada promettono COVID-19 inviate a che utilizza i cicli di calcolo più ampia che per effettuare i pagamenti dosi di vaccino Pfizer- obiettivi in Giappone. di riserva sui computer degli distribuisce il ceppo sollecitati. Il sito è stato BioNTech ai destinatari che, utenti per la ricerca medica. di malware Emotet. Le email inviate ai impostato per sottrarre le una volta fatto clic sull'URL, Invece di utilizzare l’app reale destinatari in Italia, credenziali dalle principali vengono indirizzati su una Folding@Home per aiutare duramente colpita, banche statunitensi. pagina di autenticazione la ricerca sul COVID-19, promettono aggiornamenti Microsoft 365 fasulla, i destinatari che fanno clic sulla pandemia. Le email progettata per rubare le loro sull’URL ricevono il malware includono un allegato credenziali di accesso. RedLine, che ruba le Microsoft Word che credenziali di accesso contiene un URL che e scarica altro malware. porta a una pagina di phishing di furto delle credenziali. Volume delle email dannose legate alla pandemia GENNAIO FEBBRAIO MARZO APRILE MAGGIO GIUGNO LUGLIO AGOSTO SETTEMBRE OTTOBRE NOVEMBRE DICEMBRE GENNAIO 9 3 6 11 1 22 7 8 2 16 11 L'Organizzazione Gli Stati Uniti dichiarano 21 passeggeri di una nave I primi assegni di Il Remdesivir Il dipartimento della salute Si arenano le discussioni L’università di Oxford Il presidente degli Stati La Food and Drug L’FDA approva il Mondiale della l’emergenza sanitaria da crociera della California sostegno vengono riceve dall’FDA dei cittadini (U.S. Health sul secondo pacchetto e AstraZeneca bloccano Uniti e la first lady Administration (FDA) vaccino COVID-19 Sanità (OMS) pubblica. risultano positivi al test. depositati nei conti l’autorizzazione per and Human Services- di aiuti. la terza fase di positivi al COVID-19; degli Stati Uniti di Pfizer-BioNTech annuncia una bancari dei beneficiari l’uso di emergenza. HHS) e il Dipartimento sperimentazione del Trump entra in ospedale. promette di velocizzare per l’uso di emergenza. misteriosa polmonite da 25 11 statunitensi. della Difesa annunciano un accordo con Pfizer loro vaccino per una sospetta reazione l’approvazione dei vaccini Pfizer e Moderna coronavirus a Il CDC afferma che L’OMS dichiara lo stato di e BioNTech per la avversa su un 12 per l’uso di emergenza. 14 Tappe fondamentali della pandemia il COVID-19 si sta pandemia per COVID-19. Wuhan, in Cina. consegna di 100 milioni partecipante. Sandra Lindsay, trasformando Johnson & Johnson 20 in pandemia. 13 28 di dosi dei loro vaccini COVID-19. fermano la terza fase un’infermiera di terapia Tre aeroporti - JFK Gli Stati Uniti dichiarano Le morti per COVID-19 negli Stati Uniti 21 di sperimentazione del loro vaccino dopo un intensiva, è la prima cittadina statunitense l’emergenza nazionale per Inizia la terza fase malore inspiegabile di a essere vaccinata. 27 a New York, San superano la soglia il COVID-19, sbloccando di sperimentazione uno dei partecipanti. Francisco e Los Angeles - iniziano miliardi di dollari di aiuti di 100.000. Inizia la terza fase di per il vaccino 18 lo screening per il coronavirus dei federali. Entra in vigore il divieto di viaggio per sperimentazione per il vaccino Moderna. Johnson & Johnson. 15 L’FDA approva il vaccino Moderna per i cittadini non statunitensi I casi negli Stati Uniti viaggiatori in arrivo. l’uso di emergenza. in arrivo dall'Europa. 29 aumentano ancora con 60.000 nuovi casi 21 19 Una sperimentazione del National Institutes of di COVID-19 segnalati, numero che non 29 Il CDC (Centers for La California emette la Health (NIH) mostra alcuni veniva raggiunto Viene distribuita la Disease Control) prima ordinanza statale in primi risultati promettenti dall’inizio di agosto. seconda tornata di conferma il cui si chiede ai cittadini per il farmaco Remdesivir. assegni di sostegno primo caso di coronavirus di restare a casa. 23 negli Stati Uniti. negli Stati Uniti. 26 Con decisioni separate, AstraZeneca e Johnson 31 Il Congresso degli Stati Uniti approva il CARES & Johnson riprendono le sperimentazioni sui L’OMS dichiara Act, che stanzia l’emergenza rispettivi vaccini. 2,3 trilioni di dollari per sanitaria globale. ospedali, piccole aziende e governi locali e statali. Viene convertito in legge il giorno successivo. 16 17
IL FATTORE UMANO 2021 | REPORT La pandemia COVID-19 rappresenta la più grande crisi sanitaria pubblica degli ultimi 100 anni. La rapida diffusione del virus nel mondo ha forzato le aziende di tutti i tipi ad adattarsi. Le aziende hanno rapidamente adottato nuove policy e tecnologie per garantire la sicurezza dei lavoratori e la sopravvivenza dell’impresa. Ma altrettanto rapidamente si sono adattati anche i criminali informatici. La paura VETTORE DI INFEZIONE e l’incertezza create dalla situazione sanitaria ed economica, abbinate al rapido passaggio Un vettore di infezione è il canale di al telelavoro, hanno creato le condizioni ideali per una maggiore efficacia degli attacchi distribuzione dell’attacco. L’email è il vettore informatici. A partire da metà marzo 2020, circa l’80% di tutte le minacce monitorate di infezione preferito dalla maggior parte giornalmente utilizzava temi legati al COVID-19. degli attacchi informatici più recenti. I VETTORI DELLE INFEZIONI, i PAYLOAD e il volume aggregato dei messaggi in questione sono PAYLOAD rimasti fondamentalmente invariati. I criminali informatici hanno continuato a inviare le Il payload (“carico virale”) è il malware che stesse campagne di phishing e malware in quantità e ad intervalli consueti. Una cosa però il criminale informatico intende infiltrare nel è cambiata: la forza lavoro e le normali attività professionali sono state completamente sistema della vittima. Non ha niente a che fare sconvolte. Questo ha portato a una superficie d’attacco più vasta e, di conseguenza, con il codice dannoso usato come punto tassi di infezione più alti. di accesso iniziale nel sistema, alle tecniche di distribuzione o al social engineering che induce le persone a scaricarlo e attivarlo. Il risveglio primaverile Nelle prime fasi della pandemia, le truffe cercavano di provocare una reazione emotiva. Molte proponevano aggiornamenti sulle modifiche alle policy aziendali, alle normative del governo o alle regole per stare al sicuro. Per esempio, alcuni criminali informatici si sono spacciati per l’Organizzazione Mondiale della Sanità, promettendo informazioni sul virus. PRINCIPALI CARATTERISTICHE • Utilizza un dominio email simile a quello vero, per sembrare una comunicazione proveniente dall’OMS. • Il nome dell’allegato richiama il tema dell’email. • Offre delle informazioni basilari sul COVID-19 per dare legittimità al messaggio. • Utilizza il logo dell’OMS per mascherare ulteriormente la sua provenienza. Email di phishing che si spaccia per l’OMS. 18
IL FATTORE UMANO 2021 | REPORT Il profumo dei soldi Mentre i governi iniziavano a discutere le misure di sostegno per evitare il collasso economico, gli attacchi cominciavano a sfruttare l’idea dei pagamenti in contanti a persone e imprese. PRINCIPALI CARATTERISTICHE • Utilizza lo spoofing del nome visualizzato e una riga dell’oggetto per attirare l’attenzione del destinatario con la promessa di un aiuto economico. • Include una scadenza per trasmettere un senso di urgenza. • Il nome dell’allegato ricorda il tema Email di phishing che promette un sussidio economico legato al COVID-19. dell’aiuto economico. Le regole d’oro Poi, mentre i governi emettevano nuovi decreti e linee guida, il contenuto delle esche si è concentrato sulle misure da seguire. PRINCIPALI CARATTERISTICHE • Crea un senso di urgenza e pericolo in modo che i lettori agiscano d’istinto. • Imita il dominio email dell’OMS. • Il nome dell’allegato rinforza il senso di paura e pericolo. • Utilizza il logo dell’OMS per sembrare ufficiale. • Fornisce informazioni reali sul COVID-19 per rafforzare l’apparente autorevolezza dell’email. Email di phishing che si spaccia per una comunicazione dell’OMS per spiegare le misure da rispettare per combattere il COVID-19. 19
IL FATTORE UMANO 2021 | REPORT L’espansione parallele della pandemia e delle tattiche impiegate La diffusione della pandemia è arrivata a colpire pressoché tutti e ogni aspetto della vita quotidiana. Le esche utilizzate dai criminali informatici sono diventate sempre più varie e sofisticate. Gli attacchi hanno tentato di ingannare le vittime con avvisi di consegna della spesa, previsioni sulle terapie anti-COVID-19 e notizie sulla perdita dei posti di lavoro, tutto rigorosamente falso. PRINCIPALI CARATTERISTICHE • Imita il dominio email di EMS, la casa farmaceutica più grande del Brasile. • Utilizza un argomento d’attualità e carico di emotività per attirare l’attenzione del lettore. • Esorta il destinatario ad agire velocemente per far entrare in corto circuito il processo cognitivo decisionale. • Include un allegato pericoloso camuffato da normale modulo commerciale. Email di phishing che promette informazioni sulle terapie contro il COVID-19. Anno nuovo, stessi temi Nel 2021 la pandemia e la reazione globale sono migliorate. Eppure, i criminali informatici continuano a usare i temi legati al COVID-19, come hanno fatto di recente con false email di conferma degli appuntamenti per il vaccino. Qualunque cosa ci riservi il 2021, è probabile che il COVID-19 continuerà a essere un tema molto utilizzato ed efficace negli attacchi. PRINCIPALI CARATTERISTICHE • Utilizza lo spoofing del nome visualizzato per sembrare un’email proveniente dal CDC. • Il file HTML allegato è in realtà un sito per il phishing delle credenziali di accesso. • Promette un rapido accesso a una risorsa limitata in quel momento (in questo caso, il vaccino contro il COVID-19). • Utilizza il logo del CDC per mascherare ulteriormente la sua provenienza. Email di phishing per il furto delle credenziali che afferma di provenire dal Centro per il Controllo delle Malattie. 20
IL FATTORE UMANO 2021 | REPORT Tipi di attacchi Il PHISHING DELLE CREDENZIALI DI ACCESSO, che prenda di mira gli individui o le aziende, è stato di gran lunga la forma di attacco più comune, superando tutte le altre messe insieme. Più della metà di tutte le minacce via email del 2020 erano tentativi di phishing PHISHING DELLE CREDENZIALI delle credenziali. DI ACCESSO Il phishing delle credenziali di accesso Il furto di nomi utente e password può infatti portare a una vasta gamma di attività consiste nell’indurre qualcuno a fornire criminali, dalla frode finanziaria allo spionaggio informatico. i propri dati di accesso a un account, in modo che i criminali informatici possano accedere Altri tipi di attacco includono quelli che prendono di mira i sistemi finanziari, scaricano a conti correnti, dati personali, account altro malware, trasformano i sistemi infettati in botnet e rubano informazioni sensibili. aziendali e molto altro. Benché il phishing delle credenziali possa usare diverse tecniche di social engineering, normalmente sfrutta l’email. Il criminale informatico si finge un BEC marchio rispettabile o per una persona Un altro tipo di frode via email, la VIOLAZIONE DELL’EMAIL AZIENDALE (BEC, Business Email appartenente all’azienda della vittima e invia Compromise), è una delle minacce che arrecano i maggiori danni economici a imprese di un’email che include un collegamento oppure tutte le dimensioni e di tutti i settori. Queste truffe sono costate ad aziende e individui circa una pagina di accesso fasulla. Quando 1,8 miliardi di dollari nel solo 2020, secondo l’Internet Crime Complaint Center (IC3) dell’FBI. l’utente fornisce il suo nome utente e la Si tratta del 44% di tutte le perdite ascrivibili ai reati informatici, un importo superiore alle password, il criminale informatico usa tali perdite attribuibili alla maggior parte degli altri tipi di crimini informatici5. informazioni per assumere il controllo Per identificare gli attacchi BEC, Proofpoint adotta un approccio incentrato sulle persone, dell’account. che consiste in un framework a tre livelli: VIOLAZIONI DELL’EMAIL AZIENDALE • Identità: la persona o l’azienda di cui i criminali informatici assumono l’identità In questo tipo di attacco, il criminale • Inganno: le tecniche utilizzate informatico si finge un collega, un dirigente o un fornitore fidato, utilizzando diverse • Tema: la categoria a cui appartiene il tentativo di frode tecniche per il furto di identità. Il mittente L’inganno ricade tipicamente in due categorie: furto dell’identità o violazione. Definiamo potrebbe chiedere al destinatario di il furto di identità come un attacco nel quale il criminale informatico altera una o più effettuare un bonifico, eseguire un intestazioni dei messaggi per nasconderne l’origine. La violazione è un attacco nel quale pagamento, dirottare uno stipendio, il criminale informatico ottiene l’accesso a una casella di posta legittima. cambiare le coordinate bancarie o divulgare informazioni sensibili. Gli attacchi BEC sono difficili da rilevare perché non si avvalgono di malware né di URL dannosi che potrebbero essere analizzati e identificati dalle tradizionali difese informatiche. Si affidano invece al furto d’identità e altre tecniche di social engineering per indurre le persone ad agire per conto 5 FBI. “2020 Internet Crime Report” (Report sui reati di Internet), marzo 2021. dell’hacker. Tipi di attacco per volume di messaggi (2020) Il phishing delle credenziali dei consumatori e delle aziende Variazione (2020 su 2019) è risultato il tipo di attacco di gran lunga più comune. Phishing delle credenziali (aziende) Phishing delle credenziali dei consumatori Phishing delle credenziali (consumatori) Phishing delle credenziali aziendali Trojan bancario Backdoor Downloader (Programma di download) Keylogger Botnet Stato del malware APT Ladro di informazioni Trojan bancario Altro 0 50 100 150 200 0 200 400 600 800 1000 1200 Milioni 21
IL FATTORE UMANO 2021 | REPORT Il nostro framework pone molta enfasi sui temi perché forniscono informazioni di intelligence fruibili, come i vari tipi di frodi commesse, ad esempio la frode delle fatture, l’appropriazione indebita degli stipendi e l’estorsione. Per avere successo, le truffe BEC si affidano al social engineering. Possono utilizzare diverse tattiche, come il nome visualizzato, il tono o gli allegati di un’email per rendere il messaggio più credibile. In uno dei tentativi di frode più complessi che abbiamo osservato nel 2020, un gruppo di criminali informatici denominato TA2520 ha usato il social engineering in diverse campagne. Spacciandosi spesso per un alto dirigente tramite lo spoofing del nome visualizzato, ordinava ai destinatari di effettuare un bonifico destinato a una falsa transazione per l’acquisizione di una società. Questi tentativi hanno coinvolto somme superiori a 1 milione di dollari, spesso integrando notizie di attualità, come le restrizioni dovute al COVID-19 o la vaccinazione come stimolo per accelerare la ripresa economica. Un altro collettivo degno di nota specializzato in attacchi BEC nel 2020 è stato il gruppo TA2519, che ha lanciato degli attacchi a più fasi. Nella prima fase, il collettivo si è concentrato su un’esca legata al COVID-19 per inviare un malware che rubava le credenziali della vittima. Nella seconda fase, TA2519 ha usato le credenziali sottratte per assumere il controllo dell’account della vittima e usarlo per estorcere denaro a una seconda vittima, un attacco noto come “frode delle fatture dei fornitori”. Una fattura falsa può provenire da chiunque, come un collega o uno sconosciuto, ma gli attacchi di maggior successo sono quelli che sfruttano le relazioni con i fornitori, ossia qualsiasi individuo o azienda che venda prodotti o servizi. Tali attacchi possono essere costosi per le aziende, con somme comprese fra le decine di migliaia e diversi milioni di dollari. Suddivisione delle campagne Tecniche di attacco Un’email dannosa può contenere più tecniche, I criminali informatici utilizzano un’ampia gamma di tecniche per eludere i controlli di come il social engineering volto a convincere sicurezza, indurre le vittime ad attivare l’attacco e infettare i sistemi presi di mira, ma un l'utente a scaricare e aprire elemento comune è il social engineering. un allegato compromesso. Per indurre il destinatario ad agire usano righe dell’oggetto accattivanti, appelli convincenti e il giusto grado di specificità per indurre il destinatario a rispondere. Come spiegato in COVID-19: lo sfruttamento della pandemia da parte dei criminali informatici, a pagina 15, la pandemia è stata il tema più popolare del 2020. Ecco alcune tendenze dell’anno degne di nota. Percentuale della campagna File eseguibili compressi Quasi un attacco su quattro ha usato file eseguibili compressi per occultare il malware. Affinché l’attacco funzioni, la vittima deve interagire con un allegato dannoso, come una presentazione PowerPoint o un foglio Excel, per l’esecuzione del payload. Poiché l’attacco viene eseguito solo quando una persona sblocca il file, è un modo efficace per eludere Social Engineering WMI il rilevamento automatico del malware. Eseguibile compresso Macro XL4 Macro VBA Office Altro PowerShell 22
Puoi anche leggere