Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
REPORT Il fattore umano 2021 Cybersecurity, ransomware e frodi via email nell’anno che ha cambiato il mondo proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT
Introduzione
La tragedia, lo sconvolgimento e i cambiamenti epocali del 2020 sono stati documentati innumerevoli volte.
Ma mentre le aziende in tutto il mondo compiono i primi cauti passi verso la normalità, “l’anno perduto”1
può ancora insegnarci qualcosa. Questo è particolarmente vero nell’ambito della cybersecurity.
Mentre la pandemia globale stravolgeva le routine lavorative e familiari, i criminali informatici coglievano la palla
al balzo, sfruttando ambienti di lavoro divenuti improvvisamente insoliti e approfittando di paure, incertezze
e dubbi della gente per ingannare gli utenti e compromettere le aziende. E ora, nel 2021, questi criminali
informatici spavaldi fanno leva sul loro vantaggio moltiplicando gli attacchi ransomware contro infrastrutture
e aziende di alto profilo.
E anche se la vita sembra tornare lentamente alla normalità, ma alcune tendenze dell’era della pandemia
resteranno. Molte persone lavoreranno in maniera ibrida, dividendo il proprio tempo fra l’abitazione e gli
ambienti di lavoro comuni. Gruppi distribuiti collaboreranno da aree geografiche e giurisdizioni differenti.
In questo, i cambiamenti che erano già in corso prima della pandemia nell’ambito di ecommerce, cloud
e in altre aree, non hanno fatto che accelerare.
A prescindere da come sarà il mondo post COVID, la protezione delle persone, ovunque e comunque lavorino,
sarà una sfida continua.
Nota sul report Gli argomenti di questo report Ambito
Fin dalla sua prima edizione nel Questo report approfondisce ciascuno I dati contenuti nel report attingono
2014, il report Il Fattore Umano si dei tre aspetti dei rischi legati agli utenti. al grafico sulle minacce Nexus di
fonda sul semplice presupposto che Analizza il modo in cui i tragici eventi Proofpoint, che a sua volta si avvale
sono le persone, non la tecnologia, del 2020, e il cambiamento epocale dei dati raccolti dalle implementazioni
la variabile più critica nelle minacce innescatosi, hanno trasformato il Proofpoint in tutto il mondo. Ogni
informatiche attuali. panorama delle minacce. Prende in giorno analizziamo oltre 2,2 miliardi
esame l’ecosistema delle minacce in di messaggi email, 35 miliardi di URL,
Da allora, questo concetto un tempo mutamento e le sue implicazioni per 200 milioni di allegati, 35 milioni di
controcorrente è diventato una realtà tutti noi. Infine, spiega come una difesa account cloud e altro ancora. Un totale
ampiamente riconosciuta. I criminali incentrata sulle persone può rendere gli di migliaia di miliardi di punti di dati in
informatici prendono di mira le persone. utenti più resilienti, mitigare gli attacchi tutti i canali digitali più importanti.
Sfruttano le persone. In fin dei conti, e gestire i privilegi.
essi stessi sono persone. Questo report copre il periodo
Questo report presenta le minacce 1° gennaio - 31 dicembre 2020.
Per prevenire, rilevare e rispondere rilevate, mitigate e neutralizzate durante Salvo diversa indicazione, include
efficacemente alle minacce e ai rischi il 2020 dalle implementazioni di le minacce osservate direttamente
per la conformità, i professionisti della Proofpoint nel mondo, che alimentano dalla nostra rete globale di ricercatori
sicurezza delle informazioni devono una delle più grandi e diversificate serie e legate a una campagna di attacco,
comprendere le dimensioni incentrate di dati nella cybersecurity. definita come una serie di azioni
sulle persone dei rischi legati agli intraprese da un criminale informatico
utenti: vulnerabilità, attacchi e privilegi. Ci soffermiamo ampiamente sulle per raggiungere il proprio obiettivo.
In termini pratici, si tratta di conoscere: minacce che fanno parte di una
campagna di attacco più ampia Per quanto riguarda il Capitolo 3:
• Le principali vulnerabilità degli utenti e sulla serie di azioni intraprese da un Privilegi, 300 clienti hanno condiviso
• Le modalità di attacco dei criminale informatico per raggiungere i propri allarmi relativi a Insider Threat
criminali informatici i propri obiettivi. A volte siamo in Management, permettendo di stabilire
• I rischi potenziali derivanti dalla grado di associare tali campagne le forme di abuso dei privilegi che
violazione dell’accesso con privilegi a un criminale informatico specifico, hanno destato in loro le maggiori
a dati, sistemi e altre risorse nel processo denominato attribuzione. preoccupazioni. Abbiamo confrontato
Ma per le ragioni spiegate nel Capitolo gli allarmi generati dal febbraio 2020
Le soluzioni utilizzate per affrontare
“L’arte dell’attribuzione” a pagina 27, al gennaio 2021, al culmine della
questi elementi (il fattore umano della
questo non è sempre possibile. pandemia, con quelli del periodo
cybersecurity) rappresentano i pilastri
ottobre 2019 - gennaio 2020.
fondamentali di una difesa moderna.
1
The Economist, “2020: The year that wasn’t.”(L’anno perduto), novembre 2020.
IL FATTORE UMANO 2021 | REPORT
Sommario
Principali risultati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1 Vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Utenti alla prova: le percentuali di insuccesso nelle simulazioni
di phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Percentuali di insuccesso per settore . . . . . . . . . . . . . . . . . . . . . . . . . 10
2 Attacchi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Ransomware in crescita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Stati chiave delle presidenziali americane: attacchi legati al tema
delle elezioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
COVID-19: lo sfruttamento della pandemia da parte dei criminali
informatici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Tipi di attacchi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Tecniche di attacco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Strumenti di attacco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3 Privilegi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Conclusioni e raccomandazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3
IL FATTORE UMANO 2021 | REPORT
Principali risultati
Principali risultati Più di una persona su tre fra quelle colpite
dalle campagne di attacco basate sulla
steganografia ha fatto clic su un’email
Ecco alcuni punti salienti pericolosa. È il tasso di successo più alto
fra le tecniche di attacco.
del report di quest’anno.
Il numero di clic ricevuti dagli
Oltre48 milioni di messaggi contenevano
>50X più di 50 volte superiore
attacchi CAPTCHA è
malware che poteva essere utilizzato come
punto di ingresso per attacchi ransomware. a quello dell’anno precedente.
Mentre il mondo era concentrato sulle notizie
relative al COVID-19, i criminali informatici
hanno approfittato della situazione. Sono Le campagne di attacco sferrate dal criminale
comparse più truffe legate alla pandemia di informatico TA542 (legato alla botnet Emotet)
quelle legate a qualsiasi altro evento o tema di
attualità. A un certo punto del 2020 quasi tutti sono quelle chehanno persuaso a fare clic
i criminali informatici che monitoriamo hanno il maggior numero di utenti. Il numero
utilizzato dei contenuti relativi alla pandemia. complessivo riflette la loro efficacia e il volume
complessivo di email inviate in ogni campagna.
Quasi il 10% delle email dannose correlate
a questa campagna ha cercato di distribuire il
malware Emotet. Prima di essere smantellata
dalle forze dell’ordine nel 2021, l’infrastruttura In un mondo in cui gli utenti sono stati improvvisamente
~10% di Emotet veniva offerta a noleggio ad altri
gruppi, che la utilizzavano per distribuire
ransomware e altri tipi di malware.
confinati in casa e il telelavoro è diventato la normalità,
il punto di vista delle aziende sui rischi legati ai privilegi
è cambiato. Rispetto ai livelli pre-pandemia c’è stata
un’impennata nel numero di aziende che hanno
25% di tutte le campagne di
Quasi il impostato degli allarmi per prevenire la perdita
attacco ha nascosto il malware in file
compressi, che vengono eseguiti solo
dopo l’interazione con il destinatario.
25% di dati per le seguenti attività:
• Utilizzo di dispositivi USB
• Copia di file e cartelle di grandi
dimensioni (soprattutto durante
orari desueti)
Il phishing delle credenziali di accesso , sia dei
consumatori che delle aziende, è stato di gran • Valutazione dei servizi di
lunga la forma di attacco più comune, essendo condivisione di file
responsabile di quasi i due terzi di tutti i messaggi • Attività che potrebbero eludere lo
ostili, più di tutti gli altri attacchi messi insieme. strumento di monitoraggio degli utenti
Il phishing delle credenziali d’accesso porta alla
violazione degli account, che possono essere
sfruttati da altri attacchi, come il furto dei dati
e la violazione dell’email aziendale
(BEC, Business Email Compromise).
Controlli per la prevenzione della perdita
di dati e le minacce interne impostati dai
Le tecniche che richiedono
l’interazione del destinatario con clienti in generale:
un allegato o direttamente con un
attacco sono aumentate nettamente. 1. Connessione di un dispositivo USB
non approvato
Gli attacchi di hijacking dei thread
di discussione sono aumentati 2. Copia di cartelle o file di grandi dimensioni
del 18% rispetto all’anno precedente. 3. Caricamento di un file sensibile sul web
18% 10X
Hijacking del thread Macro di
Quelli che utilizzano i file protetti da
password sono quasi quintuplicati.
Il volume degli attacchi basati sulle
4. Apertura di un file di testo che potrebbe
contenere delle password
di discussione Excel 4.0
macro di Excel 4.0 è più che 5. Download di un file con un’estensione
Attacchi decuplicato. potenzialmente dannosa
4
IL FATTORE UMANO 2021 | REPORT
Struttura di questo report Così come ogni persona è unica,
Nella cybersecurity, il rischio viene
lo sono anche il suo valore per
i criminali informatici e il rischio
Vulnerabilità
calcolato come segue: minacce x per i propri datori di lavoro.
vulnerabilità x impatto +/- controlli I dipendenti hanno vulnerabilità,
di sicurezza. abitudini digitali peculiari e punti
deboli diversi. Vengono Bersagli Bersagli
Il presente report osserva ciascuno attaccati in maniera “facili” latenti
differenziata e con una Bersagli
di questi aspetti analizzandolo con
frequenza variabile. imminenti
il nostro modello di rischio legato Possiedono inoltre
agli utenti incentrato sulle persone differenti livelli di accesso Attacchi Privilegi
privilegiato a dati, Bersagli
– vulnerabilità, attacchi (minacce)
sistemi e risorse. principali
e privilegi (impatto) – e fornisce
La combinazione di questi
raccomandazioni sulle misure
fattori determina il rischio
da applicare per mitigarli. complessivo di un utente.
• Bersagli latenti: gli utenti con privilegi
Vulnerabilità Privilegi elevati, che sono anche più vulnerabili
alle truffe di phishing, costituiscono delle
Il livello di vulnerabilità degli utenti si valuta Per privilegi si intendono tutti gli elementi violazioni in fieri. Un utente con privilegi
in base al loro comportamento digitale: potenzialmente di valore a cui le persone elevati non svolge necessariamente
i loro metodi di lavoro e i loro clic. hanno accesso, tra cui dati, autorizzazioni una mansione di alto profilo. Anche
finanziarie, relazioni chiave, ecc. Valutare i dipendenti degli uffici risorse umane,
Molti dipendenti lavorano in remoto tale aspetto è cruciale perché riflette struttura e amministrazione meno esperti
o accedono all’email aziendale tramite il potenziale guadagno dei criminali possono far cadere nelle mani sbagliate
i propri dispositivi personali. Potrebbero informatici e gli eventuali danni per un livello di accesso che comporta dei
servirsi dell’archiviazione di file in cloud le aziende compromesse. pericoli. Anche se non sono stati ancora
e installare componenti aggiuntivi di
individuati dai criminali informatici, sono
terze parti nelle loro app cloud. Oppure La posizione di un utente nell’organigramma
come frutti maturi in attesa di essere colti.
potrebbero essere particolarmente ricettivi è naturalmente un fattore da tenere in
rispetto alle tattiche di phishing delle email considerazione nella valutazione dei • Bersagli “facili” gli utenti più attaccati,
degli aggressori. privilegi, ma non è l’unico, anzi spesso che sono vulnerabili alle minacce,
non è nemmeno il più importante. rappresentano delle facili conquiste per i
Per i criminali informatici, chiunque criminali informatici. La rapidità di reazione
Attacchi possa aiutarli a raggiungere il loro fine
è un obiettivo prezioso.
e risoluzione può contenere i danni per
gli utenti con privilegi bassi. Tuttavia,
la riuscita di un attacco può offrire al
Gli attacchi informatici non sono tutti uguali.
criminale informatico una base dalla quale
Anche se tutti sono potenzialmente dannosi,
alcuni sono più pericolosi, mirati o sofisticati
degli altri.
Accumulo di fattori di rischio aggredire gli utenti che hanno accesso
a dati, sistemi e risorse più preziosi.
Livelli di rischio elevati in una di queste tre • Bersagli principali: il rischio posto
Le minacce comuni diffuse, senza distinzioni, categorie sono motivo di preoccupazione dagli utenti più colpiti e con privilegi
benché più numerose di quelle avanzate, e, nella maggior parte dei casi, portano elevati può essere mitigato riducendone
sono solitamente più facili da comprendere a ulteriori livelli di sicurezza. Due o più la vulnerabilità con una formazione
e da bloccare. (Non lasciamoci trarre in livelli di rischio elevato sono indice di di sensibilizzazione alla sicurezza
inganno, però, poiché possono provocare un problema di sicurezza più urgente. e best practice digitali. Le persone di
danni altrettanto gravi). questa categoria saranno esposte a
Le seguenti quattro categorie di utenti innumerevoli attacchi. Basta che uno
Altre minacce compaiono in un numero evidenziano il modo in cui le combinazioni di essi abbia successo per causare
esiguo di attacchi ma rappresentano di vulnerabilità, attacchi e privilegi un danno duraturo all’azienda.
un problema più serio, a causa del loro influenzano il rischio complessivo. • Bersagli imminenti: gli utenti con livelli
livello di sofisticatezza o delle persone di rischio elevato per tutti e tre i fattori
che colpiscono. costituiscono un pericolo immediato
e critico e vanno perciò considerati
come una priorità di sicurezza urgente.
5
IL FATTORE UMANO 2021 | REPORT
CAPITOLO 1
Vulnerabilità
STEGANOGRAFIA Un altro modo di pensare alle vulnerabilità è quello di chiedersi: “Se i miei utenti venissero
I criminali informatici utilizzano questa colpiti da un attacco informatico, che probabilità avrebbero di restarne vittime?”
tecnica per nascondere il payload dannoso
in un file apparentemente innocuo, come Alcune delle tecniche di attacco più efficaci del 2020 sono state anche quelle più mirate,
una foto o un file audio. Solitamente usate in campagne che a volte comprendevano solo una manciata di email.
il payload è codificato in dei bit di dati
La STEGANOGRAFIA, ossia l’occultamento di codice dannoso in immagini e altri tipi di file,
altrimenti inutilizzati, che gli utenti non
è comparsa in pochissime campagne mirate. Nonostante ciò, la tecnica si è dimostrata
vedono e che sono difficili da rilevare con
molto efficace, inducendo tre destinatari su otto a fare clic*. Si tratta di un tasso di risposta
gli strumenti di analisi dei file e sandbox.
che farebbe invidia a qualsiasi criminale informatico, per non parlare di chi invia le email
Una volta sul computer della vittima, i dati
di marketing.
nascosti vengono decodificati e attivati.
CAPTCHA Le tecniche CAPTCHA, che usano dei testi visuali per distinguere le persone dalle macchine,
Normalmente le tecniche CAPTCHA vengono hanno ottenuto un numero di clic 50 volte superiore a quello dell’anno precedente.
usate come misura antifrode. Chiedendo Benché il tasso di risposta complessivo sia stato un più modesto 5%, che ancora sarebbe
all’utente di eseguire un compito facile per un un notevole successo nella maggior parte delle campagne di marketing via email, molti
essere umano ma difficile per una macchina, più utenti sono caduti in questa trappola rispetto al 2019.
questa tecnica assicura che una persona,
non un robot automatico, stia accedendo
a un sito web. I criminali informatici lo usano
in modo analogo, benché più inquietante.
Ponendo un quesito CAPTCHA, si assicurano
che il malware si trovi nel sistema di un
utente reale e non in uno strumento di analisi
sandbox che potrebbe osservarne l’attività
illecita. Questa tecnica permette anche di
determinare la posizione dell’utente (in base
al suo indirizzo IP) per gli attacchi rivolti
a persone di un dato paese o regione.
La schermata di un codice CAPTCHA tratto da un attacco a tema COVID a maggio.
Non è chiaro perché gli utenti sono risultati più vulnerabili a una di queste tecniche.
Con lo stress subito nel 2020, i telelavoratori potrebbero essere stati più distratti
e impegnati a livello cognitivo. Forse alcuni di loro sono stati indotti, dai nuovi controlli
imposti dal telelavoro, a considerare il codice CAPTCHA come una normale verifica
di sicurezza.
*Nelle campagne che sono state attribuite.
6
IL FATTORE UMANO 2021 | REPORT
Tecniche con il maggior numero di clic per messaggio* Variazione anno su anno (media dei clic 2020 su 2019)*
La steganografia si è dimostrata molto efficace nelle poche Le tecniche CAPTCHA, che eludono gli strumenti di sicurezza
campagne mirate che hanno utilizzato questa tecnica. richiedendo l’interazione umana, hanno generato nel 2020
Anche gli attacchi che hanno sfruttato la vulnerabilità un numero di clic superiore di 50 volte rispetto al 2019.
CVE-2018-8174 di Windows si sono rivelati efficaci Sono state utilizzate in diverse dozzine di campagne su larga scala.
e sono stati utilizzati in campagne più corpose e frequenti.
Steganografia CAPTCHA
CVE-2018-8174 BlackTDS
Kit di exploit RIG
CMSTP
Elaborazione degli script XLS
BlackTDS
CVE-2018-8174
Java
HTML
Elaborazione degli script XLS
Protezione con password
VBS Java
JavaScript Keitaro TDS
0% 10% 20% 30% 40% 0% 10% 20% 30% 40% 50% 60% 70%
In ogni caso, i criminali informatici sono stati rapidi nell’approfittarsi
degli utenti vulnerabili.
Il criminale informatico che abbiamo soprannominato TA542, che
ha prodotto il volume maggiore di attacchi del 2020, ha totalizzato
454 clic per campagna di attacco con un tasso di successo pari
TA542 a circa lo 0,1%. La mancanza di efficacia è stata compensata dal
Prima del suo smantellamento nel 2021, TA542 era diventato negli volume elevato di messaggi inviati (per maggiori informazioni
ultimi anni uno dei gruppi di criminali informatici più prolifici, con su questo noto criminale informatico consultare il Capitolo 2:
campagne su larga scala utilizzando un ceppo di malware denominato Attacchi). Un altro criminale informatico che sfrutta i volumi
Emotet. Il gruppo ha preso di mira numerosi settori in tutto il mondo, elevati, TA576, ha raggiunto 568 clic per campagna con un tasso
inviando centinaia di migliaia (o forse milioni) di messaggi al giorno. di successo analogo.
Emotet non si limita a compromettere i sistemi che infetta, ma li Per contro, alcuni degli hacker più efficaci, quelli con i tassi di
utilizza per lanciare nuovi attacchi inglobandoli in una rete di oltre un successo più elevati, sono quelli che hanno inviato il minor numero
milione di macchine zombie infettate in modo analogo, denominata di messaggi.
botnet. Altri criminali informatici hanno usato l’infrastruttura botnet Per esempio, il criminale informatico che indichiamo come TA407
di TA542 per attacchi di ogni genere. ha avuto in media nel 2020 un clic ogni cinque email, uno dei tassi
di successo più elevati fra tutti quelli che monitoriamo. Questo
TA576 criminale informatico è stato molto selettivo, inviando solo qualche
Questo gruppo criminale si concentra soprattutto sugli attacchi a tema decina di email in meno di 100 campagne in tutto il 2020, ed
fiscale. Nel 2020 ha lanciato solo due campagne, ma entrambe su è noto per le avanzate tecniche di social engineering che utilizza.
larga scala.
TA407
Conosciuto anche come Silent Librarian, Cobalt Dickens e Mabna
Institute, questo gruppo di criminali informatici opera in Iran.
Ha colpito varie università in Nord America ed Europa per appropriarsi
della loro proprietà intellettuale. Nel 2018 le autorità statunitensi hanno
incriminato nove presunti membri del gruppo per aver rubato dati
del valore di 3,4 miliardi di dollari.
7
IL FATTORE UMANO 2021 | REPORT
Per esempio, le sue campagne email usano i marchi delle università, siti web dall’aspetto
professionale e le normali attività scolastiche (come il rinnovo dei prestiti bibliotecari) per
indurre le vittime a rivelare le credenziali degli account.
Tasso medio di clic (per campagna) Media dei clic rispetto alla media
per gli hacker con il più elevato numero dei messaggi per campagna
di attacchi
Media dei clic rispetto alla media dei messaggi per campagna
1,5 0,25
1,2 0,2
Clic per 1.000 email
0,9 0,15
0,6 0,1
0,3 0,05
0,0 0
TA542 TA567 TA544 TA505 TA800 TA407 TA4561 TA4557 TA556 TA2718
Clic per campagna
600
500
400
Media dei clic
300
200
100
0
TA567 TA542 TA568 TA570 TA569 TA543 TA556 TA2718 TA800 TA505
8
IL FATTORE UMANO 2021 | REPORT
Utenti alla prova: le percentuali di insuccesso
nelle simulazioni di phishing
Un altro modo di valutare la vulnerabilità è quello delle esercitazioni tramite simulazioni
di attacchi di phishing. Queste simulazioni di attacchi rivelano le esche e le tattiche a cui
le persone hanno le maggiori probabilità di soccombere nel mondo reale e nelle normali
condizioni lavorative.
Il nostro report annuale State of the Phish ha analizzato il modo in cui gli utenti hanno
reagito a più di 60 milioni di email di simulazioni di attacchi di phishing nei 12 mesi
del 2020. Confrontando le percentuali medie di insuccesso (le percentuali di utenti
che abboccano all’esca) si vede come e dove gli utenti potrebbero essere più vulnerabili.
Ecco alcuni dei principali risultati del report:
Percentuali di insuccesso per tipo di modello
Ciascuna email di “phishing” viene creata a partire da modelli che consentono di usare
attacchi dagli stili, temi e inganni più svariati. Benché i modelli varino quanto le minacce
del mondo reale, ricadono in tre categorie principali:
• Phishing basato sui link (includono un URL non sicuro che reindirizza gli utenti verso
malware e siti web pericolosi)
• Phishing basato sull’immissione dei dati (conducono l’utente a una pagina di accesso
falsificata al fine di sottrargli credenziali e dati personali)
• Phishing basato sugli allegati (includono un file pericoloso)
In media2 1 utente su 5 fa clic sulle email contenenti gli allegati. Si tratta della media più
alta fra i tre modelli, una percentuale di insuccesso nelle simulazioni che supera gli altri
due tipi messi insieme.
Tipi dei modelli di phishing: Percentuali medie di insuccesso
12% 4%
20%
Link Inserimento Allegato
dati
2 Per evitare di assegnare un peso eccessivo alle grandi aziende, abbiamo calcolato punteggi medi
per cliente anziché per singolo utente.
9
IL FATTORE UMANO 2021 | REPORT
Percentuali di insuccesso per settore
I settori più vulnerabili I dipartimenti interni più vulnerabili
Le percentuali di insuccesso nelle simulazioni di attacchi Le percentuali di insuccesso a livello di settore in sé non sono
di phishing indicano che gli utenti di alcuni settori sono più sufficienti per identificare i ruoli e i gruppi che faticano di più in
vulnerabili di altri. questo senso. I criminali informatici spesso colpiscono caselle e alias
email specifici. Le percentuali di insuccesso a livello di dipartimento
Gli utenti dei settori di ingegneria, telecomunicazioni, offrono una visione più dettagliata sui potenziali punti deboli.
estrazione mineraria e istruzione, per esempio, sono più inclini
a farsi ingannare. Per contro, gli utenti dei settori alberghiero/ I dipartimenti IT, acquisti, ricerca e sviluppo, imposte fiscali, risorse
tempo libero e intrattenimento/media sono più difficili da trarre umane e revisione contabile sono i meno inclini a lasciarsi trarre
in inganno. in inganno dalle email che simulano degli attacchi di phishing.
Servizi, manutenzione, qualità e ingegneria sono quelli con
(Nota: i settori rappresentati in questo grafico includono i dati di maggiori probabilità di cadere nella trappola.
almeno 15 aziende e di almeno 150.000 simulazioni di attacchi).
(Nota: i settori del grafico includono i dati di almeno 15 aziende
e di almeno 150.000 simulazioni di attacchi).
Percentuale media di insuccesso per settore Percentuale media di insuccesso per dipartimento
Hospitality/Tempo libero: 9% Percentuale media Acquisti: 7% Percentuale media
di insuccesso dell’11% di insuccesso dell’11%
Legale: 9% Information Technology: 8%
Intrattenimento/Media: 9% Ricerca e sviluppo: 8%
Automobilistico: 10% Fisco: 9%
Alimenti e Bevande: 10% Risorse Umane: 9%
Sanità: 10% Revisione: 10%
Pubblica Amministrazione: 11% Operazioni: 10%
Industria manifatturiera: 11% Servizio clienti: 10%
Servizi finanziari: 11% Contabilità: 10%
Servizi commerciali: 11% Magazzino: 11%
Tecnologia: 11% Supply chain: 11%
Edilizia: 11% Vendite: 11%
Vendita al dettaglio: 11% Finanza: 11%
Trasporti: 12% Servizi amministrativi: 12%
Assicurazioni: 12% Sicurezza: 12%
Energia/Pubblica utilità: 12% Marketing: 12%
Formazione: 13% Progettazione: 13%
Estrazione mineraria: 13% Qualità: 14%
Telecomunicazioni: 14% Manutenzione: 15%
Progettazione: 16% Strutture e servizi: 17%
0% 5% 10% 15% 20% 0% 5% 10% 15% 20%
10IL FATTORE UMANO 2021 | REPORT
CAPITOLO 2
Attacchi
Ransomware in crescita
Secondo le cifre del governo statunitense3, l’anno scorso gli attacchi di RANSOMWARE sono
aumentati del 300%. Nella prima metà del 2021, il problema si è intensificato ulteriormente
con gli attacchi contro Colonial Pipeline, JBS Foods e il sistema di sanità pubblica
irlandese (HSE, Health Service Executive), a dimostrazione che gli autori di ransomware
possono davvero mettere in pericolo le infrastrutture critiche in tutto il mondo.
RANSOMWARE
Questo tipo di malware blocca i dati delle vittime Certamente gli attacchi ransomware continuano a utilizzare il canale email, ma molte
crittografandoli, poi chiede il pagamento di cose sono cambiate dal 2016, anno in cui Locky ha invaso milioni di caselle email.
un riscatto per sbloccarli con una chiave Invece di essere inviato come payload virale principale in campagne di email dannose,
di decrittografia. il ransomware è ora più spesso scaricato da un malware già presente in un sistema
o distribuito tramite un accesso RDP (Remote Desktop Protocol) o una rete privata virtuale
(VPN). Tuttavia, l’email continua a giocare un ruolo chiave in questi attacchi, in quanto
è il vettore utilizzato per distribuire la maggior parte del malware della prima fase, che
viene poi sfruttato per scaricare il ransomware.
I criminali informatici responsabili di questi loader e trojan agiscono poi come intermediari
e facilitatori per consentire agli autori degli attacchi di ransomware di utilizzare delle
backdoor nei sistemi infetti in cambio di una parte dei profitti. Invece di privilegiare
campagne su larga scala poco redditizie, gli autori di attacchi ransomware attualmente
preferiscono operazioni di “caccia grossa”, che coinvolgono le aziende più grandi che
hanno molto più da perdere e sono quindi più disposte a pagare.
3 James Rundle e David Uberti (Wall Street Journal), “How Can Companies Cope with Ransomware?”
(Come possono le aziende affrontare il ransomware), maggio 2021.
Messaggi dannosi da ceppi di malware associati al ransomware
3,5
3,0
2,5
2,0
Milioni
1,5
1,0
0,5
0
02/01/2020 02/02/2020 02/03/2020 02/04/2020 02/05/2020 02/06/2020 02/07/2020 02/08/2020 02/09/2020 02/10/2020 02/11/2020 02/12/2020
Emotet The Trick BazaLoader Qbot SDBbot Dridex Zloader Buer Phorpiex
11IL FATTORE UMANO 2021 | REPORT
Dato questo cambiamento di strategia, il nostro gateway email ha rilevato pochi
ransomware. Di fatto, un singolo ceppo denominato Avaddon rappresenta circa il 95%
di tutti i payload di ransomware della prima fase per l’anno 2020. Per contro, diversi
payload della prima fase, come The Trick, Dridex e Qbot, sono serviti come punto
d’ingresso per una successiva infezione di ransomware: tutti e tre sono stati utilizzati nelle
campagne più grandi in termini di volume osservate lo scorso anno. Complessivamente,
nel 2020 abbiamo identificato più di 48 milioni di messaggi contenenti malware in grado
di scaricare ransomware o altri payload secondari.
Il malware distribuito per l’accesso iniziale non scarica semplicemente un ceppo specifico
di ransomware. Dalle nostre osservazioni e da quelle di altri ricercatori4, le relazioni sono
molto più complesse e disparate di quanto sembri.
MALWARE RANSOMWARE
The Trick WastedLocker
Ryuk
BazaLoader
Egregor
SocGholish
Maze
IcedID
Sodinokibi
Qbot ProLock
Campioni di payload di accesso iniziale distribuiti da criminali informatici
e ransomware associati distribuiti dopo l’accesso iniziale
Se la rete di relazioni tra le organizzazioni di criminali informatici è complessa, la sequenza
di eventi in un tipico attacco ransomware via email non lo è: l’infezione iniziale con un
loader o un Trojan dei servizi bancari lascia l’azienda vulnerabile agli autori degli attacchi
ransomware che cercano obiettivi di valore elevato. Per la maggior parte delle aziende,
la prima linea di difesa contro il ransomware è rappresentata dalla protezione contro
l’infezione iniziale.
In altre parole, è necessario bloccare il loader per bloccare il ransomware.
4 Clifford Krauss (The New York Times), “How the Colonial Pipeline Became a Vital Artery for Fuel”
(Come Colonial Pipeline è diventata un’arteria vitale per l’approvvigionamento di carburante), maggio 2021.
12IL FATTORE UMANO 2021 | REPORT
Stati chiave delle presidenziali americane:
Benché i criminali
informatici non abbiano
attacchi legati al tema delle elezioni
La maggior parte dei ricercatori aveva previsto che le elezioni statunitensi del 2020
usato esche a tema avrebbero rappresentato una grande opportunità per i criminali informatici, alcuni dei
elettorale finché l’evento quali avrebbero seminato disinformazione, mentre altri avrebbero usato le elezioni come
ispirazione per il social engineering delle email.
non è entrato nel vivo
nell’autunno del 2020, Ed è proprio quanto è successo. Benché i criminali informatici non abbiano usato esche a
tema elettorale finché l’evento non è entrato nel vivo nell’autunno del 2020, per tutto l’anno
per tutto l’anno non hanno non hanno esitato a prendere di mira le aziende legate alle elezioni.
esitato a prendere di mira le
I criminali informatici spinti da motivazioni economiche e i gruppi sponsorizzati dagli stati,
aziende legate alle elezioni. hanno preso di mira le aziende legate direttamente e indirettamente alle elezioni. I loro
attacchi hanno preso di mira tutti i livelli del governo e della politica: enti locali, statali
e federali fino ai comitati di azione politica.
Le truffe a tema politico o elettorale hanno colpito numerosi settori negli Stati Uniti,
raggiungendo un picco nell’ottobre 2020 prima di calare il 3 novembre, all’indomani
delle elezioni. Tra i temi utilizzati, i seguenti:
• Lo stato di salute dell’allora presidente Donald Trump
• DNC (Comitato nazionale democratico)
• EAC (Commissione americana di assistenza elettorale)
• Iscrizione degli aventi diritto al voto
PRINCIPALI CARATTERISTICHE
• Sfrutta un argomento che suscita spesso
forti emozioni.
• Imita il dominio email dell’EAC.
• Utilizza il sigillo presidenziale degli Stati Uniti
per dare un tocco di autorevolezza.
• Include un URL pericoloso, camuffato da sito
web di iscrizione.
Email truffaldina che si spaccia per la commissione di assistenza elettorale.
13IL FATTORE UMANO 2021 | REPORT
Sfruttamento dei thread di discussione
Una campagna ha preso di mira i funzionari responsabili della gestione delle elezioni
e della pianificazione delle infrastrutture elettorali. I criminali informatici hanno usato
il metodo di HIJACKING DEL THREAD DI DISCUSSIONE.
HIJACKING DEL THREAD DI DISCUSSIONE
Dopo aver preso il controllo dell’account Alcune campagne di malware, come EMOTET, e alcuni attacchi di URSNIF, si inseriscono
email di un utente, il criminale informatico automaticamente nei thread di discussione esistenti. La tecnica funziona nel modo seguente.
può fare ciò che vuole con la casella email
1. Il malware analizza le email di una casella inbox compromessa.
della vittima. Con un tale controllo,
l’autore dell’attacco può rispondere alle 2. Quando identifica la dicitura “re:” nell’oggetto di un messaggio email, invia agli altri utenti
conversazioni passate e in corso iniettando nel thread di discussione un messaggio che sembra provenire dall’utente compromesso.
un’email dannosa. Poiché i destinatari 3. Dato che l’email proviene apparentemente da qualcuno di cui gli altri partecipanti si
conoscono il mittente e si fidano e, fidano, e con il quale interagiscono, i destinatari hanno maggiori probabilità di cadere
soprattutto, hanno interagito attivamente nella trappola.
con la persona, questa tecnica può essere
molto efficace.
Alcuni ceppi di malware sono ora in grado
di automatizzare l’hijacking del thread di
Campagna “Proud Boys”
discussione per applicare il social Un’insolita campagna di minacce via email incentrata sulle elezioni è stata presumibilmente
engineering su vasta scala. lanciata dal violento gruppo di odio ed estrema destra Proud Boys contro gli elettori
democratici della Florida.
EMOTET
Prima che ne venisse smantellata Messaggi con oggetto “Vote for Trump or else!” (Vota per Trump altrimenti...)
l’infrastruttura nel 2021, Emotet era il minacciavano un atto di violenza nel caso in cui il destinatario non avesse obbedito.
malware più distribuito nel mondo. È stato Le email contenevano un collegamento a un video tipico dei Proud Boys che ritraeva
uno dei primi gruppi a passare dalla sua una persona nell’atto di compilare l’iscrizione al registro degli elettori e la scheda del voto
funzione primaria, ovvero il furto delle per procura relative ai cittadini dell’Alaska. Questa campagna era in netto contrasto con
credenziali bancarie, alla funzione di la tipica attività delle minacce informatiche legata alle elezioni, date le minacce minacce
intermediario di accesso per altri criminali palesi e l’incitamento alla violenza fisica.
informatici, come quelli che distribuiscono
Dridex e Qbot. Anche se i membri del gruppo Proud Boys sono noti per gli attacchi violenti contro la
sinistra, le autorità e le società di sicurezza affermano che le email provenivano in realtà
URSNIF
da criminali informatici al soldo dell’Iran.
Ursnif è un trojan dei servizi bancari
ampiamente utilizzato. Si è evoluto dal
ceppo di malware Gozi, il cui codice
sorgente fu divulgato nel 2015. Ursnif
è la più nota fra le varianti di Gozi,
che includono Dreambot, ISFB e Papras.
14IL FATTORE UMANO 2021 | REPORT
La febbre elettorale contagia anche Emotet
Anche Emotet, che è all’origine della più grande campagna di minacce dell’anno in
termini di volume, ha utilizzato esche legate alle elezioni a partire dall’ottobre 2020. TA542,
il collettivo alle spalle di Emotet, ha intrapreso varie attività legate alle elezioni tra cui:
• Furto dell’identità del DNC
• Incoraggiamento a fare volontariato durante la campagna elettorale
• Supporto alle organizzazioni politiche
(Per maggiori informazioni su Emotet, consultare la sezione “L’identikit dei principali
gruppi di criminali informatici” a pagina 27).
Un attacco di Emotet che sfrutta le elezioni.
Emotet non ha colpito persone o aziende specifiche coinvolte nella procedura elettorale,
ma ha sfruttato l’interesse per le elezioni e gli eventi correlati per creare esche che
potessero interessare una vasta platea in diversi settori.
MALWARE COMUNE
Per malware comune si intendono gli
COVID-19: lo sfruttamento della pandemia da
strumenti più diffusi, a disposizione di tutti
e utilizzati da numerosi criminali informatici. parte dei criminali informatici
Benché questo tipo di malware sia noto
Il COVID-19 ha stravolto le routine lavorative e familiari della maggior parte di tutti noi.
e facilmente bloccato dagli strumenti di
In questo nuovo ambiente sconosciuto è fondamentale stabilire in che modo gli utenti
sicurezza, i criminali informatici lo usano
vengono attaccati e, se possibile, chi c’è dietro gli attacchi.
spesso in modo ingegnoso e in campagne
su larga scala. Questo malware può quindi I criminali informatici sfruttano continuamente l’attualità per creare le loro email
essere tanto dannoso quanto le minacce fraudolente, ma il 2020 è stato forse il primo caso in cui tutti gli hacker hanno puntato
più avanzate e mirate. contemporaneamente sulle stesse tematiche. Mentre l’attenzione del mondo era totalmente
MINACCE PERSISTENTI AVANZATE (APT) assorbita dalle notizie sulla pandemia, l’ecosistema delle minacce informatiche nella sua
Questo tipo di minacce viene usato totalità si muoveva in parallelo verso gli stessi contenuti tematici.
generalmente nello spionaggio per conto di
Dagli spammer agli utilizzatori del MALWARE COMUNE, dai criminali informatici su vasta
uno stato, benché nella categoria ricadano
scala fino alle MINACCE PERSISTENTI AVANZATE (APT), praticamente tutti hanno abbracciato
anche i criminali informatici più sofisticati.
il COVID-19 come contenuto preferito per il social engineering. Abbiamo identificato quasi
Questi attacchi sono solitamente finalizzati
250 milioni di messaggi mirati associati al COVID-19 e altri miliardi da campagne di spam
al furto di proprietà intellettuale o denaro
e attacchi più generali.
oppure puntano a interrompere
o danneggiare dati e sistemi.
15Sfruttamento di La pandemia di COVID-19 è un perfetto esempio di come i criminali informatici adattano le loro tattiche in tempo reale per speculare sulla paura,
i dubbi e le insicurezze delle vittime.
una crisi sanitaria Qui di seguito una linea temporale delle principali tappe fondamentali della crisi sanitaria mondiale e la risposta dei criminali informatici.
7 marzo
19 gennaio I cittadini statunitensi
vengono colpiti da email
Gli attacchi rivolti
che sembrano provenire
contro gli utenti in
dall’azienda "Mobility Aprile
Giappone sfruttano il
Research Inc" in cui si chiede
Attacchi degni di nota
tema COVID-19 per I cittadini statunitensi ricevono
ai destinatari un aiuto per
indurre i destinatari email di phishing, provenienti
trovare una cura per il
ad aprire documenti all’apparenza dal “Federal
coronavirus partecipando a 19 gennaio 2021
Microsoft Word Reserve System”, con un link a
10 febbraio un progetto Folding@Thome.
infetti. Le email un sito web dall’aspetto ufficiale Le email che prendono di
L’email imita il progetto
fanno parte di Email a tema che richiede ai destinatari di mira le persone negli Stati
Folding@Home legittimo,
una campagna inserire le credenziali bancarie Uniti e in Canada promettono
COVID-19 inviate a che utilizza i cicli di calcolo
più ampia che per effettuare i pagamenti dosi di vaccino Pfizer-
obiettivi in Giappone. di riserva sui computer degli
distribuisce il ceppo sollecitati. Il sito è stato BioNTech ai destinatari che,
utenti per la ricerca medica.
di malware Emotet. Le email inviate ai impostato per sottrarre le una volta fatto clic sull'URL,
Invece di utilizzare l’app reale
destinatari in Italia, credenziali dalle principali vengono indirizzati su una
Folding@Home per aiutare
duramente colpita, banche statunitensi. pagina di autenticazione
la ricerca sul COVID-19,
promettono aggiornamenti Microsoft 365 fasulla,
i destinatari che fanno clic
sulla pandemia. Le email progettata per rubare le loro
sull’URL ricevono il malware
includono un allegato credenziali di accesso.
RedLine, che ruba le
Microsoft Word che
credenziali di accesso
contiene un URL che
e scarica altro malware.
porta a una pagina
di phishing di furto
delle credenziali.
Volume delle email dannose legate alla pandemia
GENNAIO FEBBRAIO MARZO APRILE MAGGIO GIUGNO LUGLIO AGOSTO SETTEMBRE OTTOBRE NOVEMBRE DICEMBRE GENNAIO
9 3 6 11 1 22 7 8 2 16 11
L'Organizzazione Gli Stati Uniti dichiarano 21 passeggeri di una nave I primi assegni di Il Remdesivir Il dipartimento della salute Si arenano le discussioni L’università di Oxford Il presidente degli Stati La Food and Drug L’FDA approva il
Mondiale della l’emergenza sanitaria da crociera della California sostegno vengono riceve dall’FDA dei cittadini (U.S. Health sul secondo pacchetto e AstraZeneca bloccano Uniti e la first lady Administration (FDA) vaccino COVID-19
Sanità (OMS) pubblica. risultano positivi al test. depositati nei conti l’autorizzazione per and Human Services- di aiuti. la terza fase di positivi al COVID-19; degli Stati Uniti di Pfizer-BioNTech
annuncia una bancari dei beneficiari l’uso di emergenza. HHS) e il Dipartimento sperimentazione del Trump entra in ospedale. promette di velocizzare per l’uso di emergenza.
misteriosa
polmonite da
25 11 statunitensi. della Difesa annunciano
un accordo con Pfizer
loro vaccino per una
sospetta reazione
l’approvazione dei
vaccini Pfizer e Moderna
coronavirus a
Il CDC afferma che L’OMS dichiara lo stato di e BioNTech per la avversa su un
12 per l’uso di emergenza. 14
Tappe fondamentali della pandemia
il COVID-19 si sta pandemia per COVID-19.
Wuhan, in Cina. consegna di 100 milioni partecipante. Sandra Lindsay,
trasformando Johnson & Johnson
20
in pandemia.
13 28 di dosi dei loro vaccini
COVID-19.
fermano la terza fase un’infermiera di terapia
Tre aeroporti - JFK Gli Stati Uniti dichiarano Le morti per COVID-19
negli Stati Uniti
21 di sperimentazione del
loro vaccino dopo un
intensiva, è la prima
cittadina statunitense
l’emergenza nazionale per Inizia la terza fase malore inspiegabile di a essere vaccinata.
27
a New York, San superano la soglia
il COVID-19, sbloccando di sperimentazione uno dei partecipanti.
Francisco e Los
Angeles - iniziano miliardi di dollari di aiuti di 100.000.
Inizia la terza fase di
per il vaccino 18
lo screening per
il coronavirus dei
federali. Entra in vigore
il divieto di viaggio per
sperimentazione per
il vaccino Moderna.
Johnson & Johnson.
15 L’FDA approva il
vaccino Moderna per
i cittadini non statunitensi I casi negli Stati Uniti
viaggiatori in arrivo. l’uso di emergenza.
in arrivo dall'Europa.
29 aumentano ancora
con 60.000 nuovi casi
21 19 Una sperimentazione
del National Institutes of
di COVID-19 segnalati,
numero che non 29
Il CDC (Centers for La California emette la Health (NIH) mostra alcuni veniva raggiunto Viene distribuita la
Disease Control)
prima ordinanza statale in primi risultati promettenti dall’inizio di agosto. seconda tornata di
conferma il
cui si chiede ai cittadini per il farmaco Remdesivir. assegni di sostegno
primo caso di
coronavirus
di restare a casa.
23 negli Stati Uniti.
negli Stati Uniti.
26 Con decisioni separate,
AstraZeneca e Johnson
31 Il Congresso degli Stati
Uniti approva il CARES
& Johnson riprendono
le sperimentazioni sui
L’OMS dichiara Act, che stanzia
l’emergenza rispettivi vaccini.
2,3 trilioni di dollari per
sanitaria globale. ospedali, piccole aziende
e governi locali e statali.
Viene convertito in legge
il giorno successivo.
16 17IL FATTORE UMANO 2021 | REPORT
La pandemia COVID-19 rappresenta la più grande crisi sanitaria pubblica degli ultimi
100 anni. La rapida diffusione del virus nel mondo ha forzato le aziende di tutti i tipi ad
adattarsi. Le aziende hanno rapidamente adottato nuove policy e tecnologie per garantire
la sicurezza dei lavoratori e la sopravvivenza dell’impresa.
Ma altrettanto rapidamente si sono adattati anche i criminali informatici. La paura
VETTORE DI INFEZIONE e l’incertezza create dalla situazione sanitaria ed economica, abbinate al rapido passaggio
Un vettore di infezione è il canale di al telelavoro, hanno creato le condizioni ideali per una maggiore efficacia degli attacchi
distribuzione dell’attacco. L’email è il vettore informatici. A partire da metà marzo 2020, circa l’80% di tutte le minacce monitorate
di infezione preferito dalla maggior parte giornalmente utilizzava temi legati al COVID-19.
degli attacchi informatici più recenti.
I VETTORI DELLE INFEZIONI, i PAYLOAD e il volume aggregato dei messaggi in questione sono
PAYLOAD rimasti fondamentalmente invariati. I criminali informatici hanno continuato a inviare le
Il payload (“carico virale”) è il malware che stesse campagne di phishing e malware in quantità e ad intervalli consueti. Una cosa però
il criminale informatico intende infiltrare nel è cambiata: la forza lavoro e le normali attività professionali sono state completamente
sistema della vittima. Non ha niente a che fare sconvolte. Questo ha portato a una superficie d’attacco più vasta e, di conseguenza,
con il codice dannoso usato come punto tassi di infezione più alti.
di accesso iniziale nel sistema, alle tecniche
di distribuzione o al social engineering che
induce le persone a scaricarlo e attivarlo. Il risveglio primaverile
Nelle prime fasi della pandemia, le truffe cercavano di provocare una reazione emotiva.
Molte proponevano aggiornamenti sulle modifiche alle policy aziendali, alle normative del
governo o alle regole per stare al sicuro. Per esempio, alcuni criminali informatici si sono
spacciati per l’Organizzazione Mondiale della Sanità, promettendo informazioni sul virus.
PRINCIPALI CARATTERISTICHE
• Utilizza un dominio email simile a quello vero,
per sembrare una comunicazione proveniente
dall’OMS.
• Il nome dell’allegato richiama il tema
dell’email.
• Offre delle informazioni basilari sul COVID-19
per dare legittimità al messaggio.
• Utilizza il logo dell’OMS per mascherare
ulteriormente la sua provenienza.
Email di phishing che si spaccia per l’OMS.
18IL FATTORE UMANO 2021 | REPORT
Il profumo dei soldi
Mentre i governi iniziavano a discutere le misure di sostegno per evitare il collasso
economico, gli attacchi cominciavano a sfruttare l’idea dei pagamenti in contanti
a persone e imprese.
PRINCIPALI CARATTERISTICHE
• Utilizza lo spoofing del nome visualizzato
e una riga dell’oggetto per attirare l’attenzione
del destinatario con la promessa di un
aiuto economico.
• Include una scadenza per trasmettere
un senso di urgenza.
• Il nome dell’allegato ricorda il tema Email di phishing che promette un sussidio economico legato al COVID-19.
dell’aiuto economico.
Le regole d’oro
Poi, mentre i governi emettevano nuovi decreti e linee guida, il contenuto delle esche
si è concentrato sulle misure da seguire.
PRINCIPALI CARATTERISTICHE
• Crea un senso di urgenza e pericolo in modo
che i lettori agiscano d’istinto.
• Imita il dominio email dell’OMS.
• Il nome dell’allegato rinforza il senso di paura
e pericolo.
• Utilizza il logo dell’OMS per sembrare ufficiale.
• Fornisce informazioni reali sul COVID-19
per rafforzare l’apparente autorevolezza
dell’email.
Email di phishing che si spaccia per una comunicazione dell’OMS
per spiegare le misure da rispettare per combattere il COVID-19.
19IL FATTORE UMANO 2021 | REPORT
L’espansione parallele della pandemia e delle tattiche impiegate
La diffusione della pandemia è arrivata a colpire pressoché tutti e ogni aspetto della vita
quotidiana. Le esche utilizzate dai criminali informatici sono diventate sempre più varie
e sofisticate. Gli attacchi hanno tentato di ingannare le vittime con avvisi di consegna
della spesa, previsioni sulle terapie anti-COVID-19 e notizie sulla perdita dei posti di lavoro,
tutto rigorosamente falso.
PRINCIPALI CARATTERISTICHE
• Imita il dominio email di EMS, la casa
farmaceutica più grande del Brasile.
• Utilizza un argomento d’attualità e carico di
emotività per attirare l’attenzione del lettore.
• Esorta il destinatario ad agire velocemente
per far entrare in corto circuito il processo
cognitivo decisionale.
• Include un allegato pericoloso camuffato
da normale modulo commerciale.
Email di phishing che promette informazioni sulle terapie contro il COVID-19.
Anno nuovo, stessi temi
Nel 2021 la pandemia e la reazione globale sono migliorate. Eppure, i criminali informatici
continuano a usare i temi legati al COVID-19, come hanno fatto di recente con false email
di conferma degli appuntamenti per il vaccino.
Qualunque cosa ci riservi il 2021, è probabile che il COVID-19 continuerà a essere un tema
molto utilizzato ed efficace negli attacchi.
PRINCIPALI CARATTERISTICHE
• Utilizza lo spoofing del nome visualizzato
per sembrare un’email proveniente dal CDC.
• Il file HTML allegato è in realtà un sito per
il phishing delle credenziali di accesso.
• Promette un rapido accesso a una risorsa
limitata in quel momento (in questo caso,
il vaccino contro il COVID-19).
• Utilizza il logo del CDC per mascherare
ulteriormente la sua provenienza.
Email di phishing per il furto delle credenziali che afferma di provenire
dal Centro per il Controllo delle Malattie.
20IL FATTORE UMANO 2021 | REPORT
Tipi di attacchi
Il PHISHING DELLE CREDENZIALI DI ACCESSO, che prenda di mira gli individui o le aziende,
è stato di gran lunga la forma di attacco più comune, superando tutte le altre messe
insieme. Più della metà di tutte le minacce via email del 2020 erano tentativi di phishing
PHISHING DELLE CREDENZIALI delle credenziali.
DI ACCESSO
Il phishing delle credenziali di accesso Il furto di nomi utente e password può infatti portare a una vasta gamma di attività
consiste nell’indurre qualcuno a fornire criminali, dalla frode finanziaria allo spionaggio informatico.
i propri dati di accesso a un account, in modo
che i criminali informatici possano accedere Altri tipi di attacco includono quelli che prendono di mira i sistemi finanziari, scaricano
a conti correnti, dati personali, account altro malware, trasformano i sistemi infettati in botnet e rubano informazioni sensibili.
aziendali e molto altro. Benché il phishing
delle credenziali possa usare diverse tecniche
di social engineering, normalmente sfrutta
l’email. Il criminale informatico si finge un
BEC
marchio rispettabile o per una persona Un altro tipo di frode via email, la VIOLAZIONE DELL’EMAIL AZIENDALE (BEC, Business Email
appartenente all’azienda della vittima e invia Compromise), è una delle minacce che arrecano i maggiori danni economici a imprese di
un’email che include un collegamento oppure tutte le dimensioni e di tutti i settori. Queste truffe sono costate ad aziende e individui circa
una pagina di accesso fasulla. Quando 1,8 miliardi di dollari nel solo 2020, secondo l’Internet Crime Complaint Center (IC3) dell’FBI.
l’utente fornisce il suo nome utente e la Si tratta del 44% di tutte le perdite ascrivibili ai reati informatici, un importo superiore alle
password, il criminale informatico usa tali perdite attribuibili alla maggior parte degli altri tipi di crimini informatici5.
informazioni per assumere il controllo Per identificare gli attacchi BEC, Proofpoint adotta un approccio incentrato sulle persone,
dell’account. che consiste in un framework a tre livelli:
VIOLAZIONI DELL’EMAIL AZIENDALE • Identità: la persona o l’azienda di cui i criminali informatici assumono l’identità
In questo tipo di attacco, il criminale • Inganno: le tecniche utilizzate
informatico si finge un collega, un dirigente
o un fornitore fidato, utilizzando diverse • Tema: la categoria a cui appartiene il tentativo di frode
tecniche per il furto di identità. Il mittente L’inganno ricade tipicamente in due categorie: furto dell’identità o violazione. Definiamo
potrebbe chiedere al destinatario di il furto di identità come un attacco nel quale il criminale informatico altera una o più
effettuare un bonifico, eseguire un intestazioni dei messaggi per nasconderne l’origine. La violazione è un attacco nel quale
pagamento, dirottare uno stipendio, il criminale informatico ottiene l’accesso a una casella di posta legittima.
cambiare le coordinate bancarie o divulgare
informazioni sensibili.
Gli attacchi BEC sono difficili da rilevare
perché non si avvalgono di malware né di
URL dannosi che potrebbero essere analizzati
e identificati dalle tradizionali difese
informatiche. Si affidano invece al furto
d’identità e altre tecniche di social engineering
per indurre le persone ad agire per conto
5 FBI. “2020 Internet Crime Report” (Report sui reati di Internet), marzo 2021.
dell’hacker.
Tipi di attacco per volume di messaggi (2020)
Il phishing delle credenziali dei consumatori e delle aziende Variazione (2020 su 2019)
è risultato il tipo di attacco di gran lunga più comune.
Phishing delle credenziali (aziende) Phishing delle credenziali dei consumatori
Phishing delle credenziali (consumatori) Phishing delle credenziali aziendali
Trojan bancario
Backdoor
Downloader (Programma di download)
Keylogger
Botnet
Stato del malware APT
Ladro di informazioni
Trojan bancario
Altro
0 50 100 150 200 0 200 400 600 800 1000 1200
Milioni 21IL FATTORE UMANO 2021 | REPORT
Il nostro framework pone molta enfasi sui temi perché forniscono informazioni di
intelligence fruibili, come i vari tipi di frodi commesse, ad esempio la frode delle fatture,
l’appropriazione indebita degli stipendi e l’estorsione.
Per avere successo, le truffe BEC si affidano al social engineering. Possono utilizzare diverse
tattiche, come il nome visualizzato, il tono o gli allegati di un’email per rendere il messaggio
più credibile.
In uno dei tentativi di frode più complessi che abbiamo osservato nel 2020, un gruppo
di criminali informatici denominato TA2520 ha usato il social engineering in diverse
campagne. Spacciandosi spesso per un alto dirigente tramite lo spoofing del nome
visualizzato, ordinava ai destinatari di effettuare un bonifico destinato a una falsa
transazione per l’acquisizione di una società.
Questi tentativi hanno coinvolto somme superiori a 1 milione di dollari, spesso integrando
notizie di attualità, come le restrizioni dovute al COVID-19 o la vaccinazione come stimolo
per accelerare la ripresa economica.
Un altro collettivo degno di nota specializzato in attacchi BEC nel 2020 è stato il
gruppo TA2519, che ha lanciato degli attacchi a più fasi. Nella prima fase, il collettivo
si è concentrato su un’esca legata al COVID-19 per inviare un malware che rubava le
credenziali della vittima. Nella seconda fase, TA2519 ha usato le credenziali sottratte
per assumere il controllo dell’account della vittima e usarlo per estorcere denaro a una
seconda vittima, un attacco noto come “frode delle fatture dei fornitori”.
Una fattura falsa può provenire da chiunque, come un collega o uno sconosciuto, ma gli
attacchi di maggior successo sono quelli che sfruttano le relazioni con i fornitori, ossia
qualsiasi individuo o azienda che venda prodotti o servizi. Tali attacchi possono essere
costosi per le aziende, con somme comprese fra le decine di migliaia e diversi milioni
di dollari.
Suddivisione delle campagne
Tecniche di attacco
Un’email dannosa può contenere più tecniche, I criminali informatici utilizzano un’ampia gamma di tecniche per eludere i controlli di
come il social engineering volto a convincere sicurezza, indurre le vittime ad attivare l’attacco e infettare i sistemi presi di mira, ma un
l'utente a scaricare e aprire elemento comune è il social engineering.
un allegato compromesso.
Per indurre il destinatario ad agire usano righe dell’oggetto accattivanti, appelli convincenti
e il giusto grado di specificità per indurre il destinatario a rispondere. Come spiegato
in COVID-19: lo sfruttamento della pandemia da parte dei criminali informatici,
a pagina 15, la pandemia è stata il tema più popolare del 2020.
Ecco alcune tendenze dell’anno degne di nota.
Percentuale
della campagna
File eseguibili compressi
Quasi un attacco su quattro ha usato file eseguibili compressi per occultare il malware.
Affinché l’attacco funzioni, la vittima deve interagire con un allegato dannoso, come una
presentazione PowerPoint o un foglio Excel, per l’esecuzione del payload. Poiché l’attacco
viene eseguito solo quando una persona sblocca il file, è un modo efficace per eludere
Social Engineering WMI
il rilevamento automatico del malware.
Eseguibile compresso Macro XL4
Macro VBA Office Altro
PowerShell
22Puoi anche leggere
