Cos'e' il phishing - Cover Giacomo Lanzi

Cos’è il phishing? Capire e individuare attacchi di ingegneria sociale

Tempo di lettura stimato: 7 minuti

Il phishing è un tipo di attacco di ingegneria sociale spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri delle carte di credito. Si verifica quando un aggressore, mascherato da un’entità fidata, inganna una vittima ad aprire un’e-mail, un messaggio istantaneo o un messaggio di testo.

Il destinatario viene quindi indotto a cliccare su un link dannoso, che può portare all’installazione di malware, al congelamento del sistema come parte di un attacco ransomware o alla rivelazione di informazioni sensibili.

Un attacco può avere risultati devastanti. Per gli individui, questo include acquisti non autorizzati, il furto di fondi o il furto di identità.

Cos'e' il phishing - Concept

Cos’è il phishing per le aziende?

Ancora più dannoso, il phishing è anche utilizzato per guadagnare un punto d’ingresso nelle reti aziendali o governative come parte di un attacco più grande, come un evento di minaccia avanzata persistente (APT – Advanced Persistent Threat). In quest’ultimo scenario, i dipendenti vengono compromessi al fine di aggirare i perimetri di sicurezza, distribuire malware all’interno di un ambiente chiuso, o ottenere un accesso privilegiato ai dati protetti.

Un’organizzazione che soccombe a un attacco di questo tipo in genere subisce gravi perdite finanziarie, oltre a un calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda della portata, un tentativo di phishing potrebbe degenerare in un incidente di sicurezza da cui un’azienda avrà difficoltà a riprendersi.

Come si presenta un attacco phishing

Sapere cos’è il phishing spesso non basta per proteggersi. La cosa migliore da fare è lavorare sulla resilienza agli attacchi e capire come individuarli prima di caderne vittima.

Come abbiamo accennato prima, infatti, le conseguenze possono essere di proporzioni enormi. Ma, se sembra semplice da fare quando si tratta di un singolo individuo, come fare se c’è un’intera azienda da proteggere? SOD offre un servizio orientato proprio a questo: formare intere aziende al riconoscimento e mitigazione del rischio di attacchi phishing.

Attraverso un primo attacco controllato, siamo in grado di capire quali sono i punti su cui lavorare. Successivamente vengono organizzate delle proposte formative per i dipendenti. Viene loro insegnato come riconoscere le minacce prima che queste diventino problematiche. Per saperne di più, è possibili visitare la pagina del servizio.

Ma vediamo come si presenta un attacco generico.

Esempio di attacco

1. Un’email fasulla apparentemente proveniente da lamiauniversita.edu viene distribuita in massa al maggior numero possibile di membri della facoltà.

2. L’email sostiene che la password dell’utente sta per scadere. Vengono date istruzioni per andare sul link lamiauniversita.edu/rinnovo per rinnovare la loro password entro 24 ore.

Possono accadere varie cose cliccando sul link proposto.

L’utente viene reindirizzato a lamiauniversita.edurinnovo.com, una pagina fasulla che appare esattamente come la vera pagina di rinnovo, dove vengono richieste sia la password nuova che quella esistente. L’attaccante, monitorando la pagina, dirotta la password originale per – ottenere l’accesso alle aree protette della rete universitaria.

– L’utente viene inviato alla vera pagina di rinnovo della password. Tuttavia, mentre viene reindirizzato, uno script maligno si attiva in background per dirottare il cookie di sessione dell’utente. Questo si traduce in un attacco di tipo Cross Site Scripting, dando all’autore l’accesso privilegiato alla rete universitaria.

Cos'e' il phishing - Concept

Logica di un attacco

L’email phishing è un gioco di grandi numeri. Un aggressore che invia migliaia di messaggi fraudolenti può ottenere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade nella truffa.

Gli hacker si impegnano a fondo nella progettazione di messaggi per un attacco phishing imitando le email reali di un’organizzazione camuffata. Usando lo stesso fraseggio, gli stessi caratteri tipografici, gli stessi loghi e le stesse firme, i messaggi appaiono legittimi.

Inoltre, un’altra cosa a cui prestare attenzione, è che gli aggressori di solito cercano di spingere gli utenti all’azione creando un senso di urgenza. Per esempio, come mostrato in precedenza, un’email potrebbe minacciare la scadenza dell’account e mettere il destinatario in una condizione di urgenza. L’applicazione di tale pressione porta l’utente ad essere meno diligente e più incline all’errore.

Infine, i link all’interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio scritto male o sottodomini extra. Nell’esempio precedente, l’URL lamiauniverista.edu/rinnovo è stato cambiato in lamiauniversita.edurinnovo.com. Le somiglianze tra i due indirizzi offrono l’impressione di un collegamento sicuro, rendendo il destinatario meno consapevole che un attacco è in corso.

Cos’è lo spear phishing

Cos'e' il phishing - Spear phishing

Lo spear phishing prende di mira una specifica persona o impresa, al contrario degli utenti casuali. È una versione più approfondita del phishing che richiede una conoscenza speciale di un’organizzazione, compresa la sua struttura di potere.

Un attacco potrebbe svolgersi nel seguente modo:

– Un hacker ricerca i nomi dei dipendenti all’interno del dipartimento di marketing di un’organizzazione e ottiene l’accesso alle ultime fatture dei progetti.
Fingendosi il direttore del marketing, l’aggressore invia un’email a un project manager del dipartimento utilizzando un oggetto che dice: Fattura aggiornata per le campagne Q3. Il testo, lo stile e il logo incluso duplicano il modello di email standard dell’organizzazione.
– Un link nell’e-mail reindirizza a un documento interno protetto da password, che è in realtà una versione falsificata di una fattura rubata.
– Al direttore marketing viene richiesto di effettuare il login per visualizzare il documento. L’attaccante ruba le sue credenziali, ottenendo l’accesso completo alle aree sensibili all’interno della rete dell’organizzazione.

Fornendo all’attaccante credenziali di accesso valide, lo spear phishing è un metodo efficace per eseguire la prima fase di un attacco di tipo ransomware.

Cos’è il whale phishing

Il whale phishing, o whaling, è una forma di spear phishing che mira ai pesci molto grossi: CEO o altri obiettivi di alto valore. Molte di queste truffe prendono di mira i membri del consiglio di amministrazione di un’azienda, che sono considerati particolarmente vulnerabili. Infatti, essi hanno una grande autorità all’interno dell’azienda, ma poiché non sono dipendenti a tempo pieno, spesso usano indirizzi email personali per la corrispondenza relativa al business, che non ha le protezioni offerte dalle email aziendali.

Raccogliere abbastanza informazioni per ingannare un obiettivo di alto valore potrebbe richiedere tempo, ma può avere un ritorno sorprendentemente alto. Nel 2008, i criminali informatici hanno preso di mira i CEO aziendali con e-mail che sostenevano di avere allegati i mandati di comparizione dell’FBI. In realtà, hanno installato keylogger sui computer dei dirigenti. Il tasso di successo dei truffatori è stato del 10%, catturando quasi 2.000 vittime.

Come difendersi

La protezione contro un attacco phishing richiede l’adozione di misure sia da parte degli utenti che delle imprese.

Per gli utenti, la vigilanza è la chiave. Un messaggio contraffatto spesso contiene errori sottili che espongono la sua vera natura. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come visto nell’esempio dell’URL precedente. Gli utenti dovrebbero domandarsi quale sia il motivo per cui stanno ricevendo una certa e-mail.

Cos'e' il phishing - Difesa

Per le imprese, una serie di misure possono essere prese per mitigare sia il phishing che gli attacchi di spear phishing:

L’autenticazione a due fattori (2FA) è il metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni sensibili. La 2FA si basa sul fatto che gli utenti abbiano due cose: qualcosa che conoscono, come una password e un nome utente, e qualcosa che hanno con sé, come il loro smartphone. Anche quando i dipendenti vengono compromessi, 2FA impedisce l’uso delle loro credenziali compromesse, poiché queste da sole non sono sufficienti per entrare.

Oltre all’uso di 2FA, le aziende dovrebbero applicare rigorose politiche di gestione delle password. Per esempio, ai dipendenti dovrebbe essere richiesto di cambiare frequentemente le loro password e di non essere autorizzati a riutilizzare una password per più applicazioni.

Infine, le campagne educative possono anche aiutare a diminuire la minaccia di attacchi di phishing facendo rispettare pratiche sicure, come non cliccare su link esterni alle email. A questo proposito vorrei ricordare il servizio di phishing etico di SOD, che ha proprio l’intento di testare l’azienda e organizzare formazioni mirate per mitigare i rischi.

Non è sufficiente sapere cos’è il phishing, è necessario anche saperlo riconoscere.

Useful links:

Link utili:

Phishing

Mitre Att&ck

Ransomware a doppia estorsione

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • BACKDOOR.WIN32.DUMADOR.C / Remote Stack Buffer Overflow (SEH) Aprile 19, 2024
    Posted by malvuln on Apr 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/6cc630843cabf23621375830df474bc5.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Dumador.c Vulnerability: Remote Stack Buffer Overflow (SEH) Description: The malware runs an FTP server on TCP port 10000. Third-party adversaries who can reach the server can send a specially […]
  • SEC Consult SA-20240418-0 :: Broken authorization in Dreamehome app Aprile 19, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Apr 19SEC Consult Vulnerability Lab Security Advisory < 20240418-0 > ======================================================================= title: Broken authorization product: Dreamehome app vulnerable version:
  • MindManager 23 - full disclosure Aprile 19, 2024
    Posted by Pawel Karwowski via Fulldisclosure on Apr 19Resending! Thank you for your efforts. GitHub - pawlokk/mindmanager-poc: public disclosure Affected application: MindManager23_setup.exe Platform: Windows Issue: Local Privilege Escalation via MSI installer Repair Mode (EXE hijacking race condition) Discovered and reported by: Pawel Karwowski and Julian Horoszkiewicz (Eviden Red Team) Proposed mitigation:...
  • CVE-2024-31705 Aprile 14, 2024
    Posted by V3locidad on Apr 14CVE ID: CVE-2024-31705 Title : RCE to Shell Commands" Plugin / GLPI Shell Command Management Interface Affected Product : GLPI - 10.X.X and last version Description: An issue in Infotel Conseil GLPI v.10.X.X and after allows a remote attacker to execute arbitrary code via the insufficient validation of user-supplied input. […]
  • SEC Consult SA-20240411-0 :: Database Passwords in Server Response in Amazon AWS Glue Aprile 14, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Apr 14SEC Consult Vulnerability Lab Security Advisory < 20240411-0 > ======================================================================= title: Database Passwords in Server Response product: Amazon AWS Glue vulnerable version: until 2024-02-23 fixed version: as of 2024-02-23 CVE number: - impact: medium homepage: https://aws.amazon.com/glue/ found:...
  • [KIS-2024-03] Invision Community <= 4.7.16 (toolbar.php) Remote Code Execution Vulnerability Aprile 11, 2024
    Posted by Egidio Romano on Apr 10------------------------------------------------------------------------------ Invision Community
  • [KIS-2024-02] Invision Community <= 4.7.15 (store.php) SQL Injection Vulnerability Aprile 11, 2024
    Posted by Egidio Romano on Apr 10-------------------------------------------------------------------- Invision Community
  • Multiple Issues in concretecmsv9.2.7 Aprile 11, 2024
    Posted by Andrey Stoykov on Apr 10# Exploit Title: Multiple Web Flaws in concretecmsv9.2.7 # Date: 4/2024 # Exploit Author: Andrey Stoykov # Version: 9.2.7 # Tested on: Ubuntu 22.04 # Blog: http://msecureltd.blogspot.com Verbose Error Message - Stack Trace: 1. Directly browse to edit profile page 2. Error should come up with verbose stack trace […]
  • OXAS-ADV-2024-0001: OX App Suite Security Advisory Aprile 11, 2024
    Posted by Martin Heiland via Fulldisclosure on Apr 10Dear subscribers, We&apos;re sharing our latest advisory with you and like to thank everyone who contributed in finding and solving those vulnerabilities. Feel free to join our bug bounty programs for OX App Suite, Dovecot and PowerDNS at YesWeHack. This advisory has also been published at https://documentation.open-xchange.com/appsuite/security/advisories/html/2024/oxas-adv-2024-0001.html. […]
  • Trojan.Win32.Razy.abc / Insecure Permissions (In memory IPC) Aprile 11, 2024
    Posted by malvuln on Apr 10Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/0eb4a9089d3f7cf431d6547db3b9484d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Razy.abc Vulnerability: Insecure Permissions (In memory IPC) Family: Razy Type: PE32 MD5: 0eb4a9089d3f7cf431d6547db3b9484d SHA256: 3d82fee314e7febb8307ccf8a7396b6dd53c7d979a74aa56f3c4a6d0702fd098 Vuln ID: MVID-2024-0678...

Customers

Newsletter

{subscription_form_2}