Cos'e' il phishing - Cover Giacomo Lanzi

Cos’è il phishing? Capire e individuare attacchi di ingegneria sociale

Tempo di lettura stimato: 7 minuti

Il phishing è un tipo di attacco di ingegneria sociale spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri delle carte di credito. Si verifica quando un aggressore, mascherato da un’entità fidata, inganna una vittima ad aprire un’e-mail, un messaggio istantaneo o un messaggio di testo.

Il destinatario viene quindi indotto a cliccare su un link dannoso, che può portare all’installazione di malware, al congelamento del sistema come parte di un attacco ransomware o alla rivelazione di informazioni sensibili.

Un attacco può avere risultati devastanti. Per gli individui, questo include acquisti non autorizzati, il furto di fondi o il furto di identità.

Cos'e' il phishing - Concept

Cos’è il phishing per le aziende?

Ancora più dannoso, il phishing è anche utilizzato per guadagnare un punto d’ingresso nelle reti aziendali o governative come parte di un attacco più grande, come un evento di minaccia avanzata persistente (APT – Advanced Persistent Threat). In quest’ultimo scenario, i dipendenti vengono compromessi al fine di aggirare i perimetri di sicurezza, distribuire malware all’interno di un ambiente chiuso, o ottenere un accesso privilegiato ai dati protetti.

Un’organizzazione che soccombe a un attacco di questo tipo in genere subisce gravi perdite finanziarie, oltre a un calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda della portata, un tentativo di phishing potrebbe degenerare in un incidente di sicurezza da cui un’azienda avrà difficoltà a riprendersi.

Come si presenta un attacco phishing

Sapere cos’è il phishing spesso non basta per proteggersi. La cosa migliore da fare è lavorare sulla resilienza agli attacchi e capire come individuarli prima di caderne vittima.

Come abbiamo accennato prima, infatti, le conseguenze possono essere di proporzioni enormi. Ma, se sembra semplice da fare quando si tratta di un singolo individuo, come fare se c’è un’intera azienda da proteggere? SOD offre un servizio orientato proprio a questo: formare intere aziende al riconoscimento e mitigazione del rischio di attacchi phishing.

Attraverso un primo attacco controllato, siamo in grado di capire quali sono i punti su cui lavorare. Successivamente vengono organizzate delle proposte formative per i dipendenti. Viene loro insegnato come riconoscere le minacce prima che queste diventino problematiche. Per saperne di più, è possibili visitare la pagina del servizio.

Ma vediamo come si presenta un attacco generico.

Esempio di attacco

1. Un’email fasulla apparentemente proveniente da lamiauniversita.edu viene distribuita in massa al maggior numero possibile di membri della facoltà.

2. L’email sostiene che la password dell’utente sta per scadere. Vengono date istruzioni per andare sul link lamiauniversita.edu/rinnovo per rinnovare la loro password entro 24 ore.

Possono accadere varie cose cliccando sul link proposto.

L’utente viene reindirizzato a lamiauniversita.edurinnovo.com, una pagina fasulla che appare esattamente come la vera pagina di rinnovo, dove vengono richieste sia la password nuova che quella esistente. L’attaccante, monitorando la pagina, dirotta la password originale per – ottenere l’accesso alle aree protette della rete universitaria.

– L’utente viene inviato alla vera pagina di rinnovo della password. Tuttavia, mentre viene reindirizzato, uno script maligno si attiva in background per dirottare il cookie di sessione dell’utente. Questo si traduce in un attacco di tipo Cross Site Scripting, dando all’autore l’accesso privilegiato alla rete universitaria.

Cos'e' il phishing - Concept

Logica di un attacco

L’email phishing è un gioco di grandi numeri. Un aggressore che invia migliaia di messaggi fraudolenti può ottenere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade nella truffa.

Gli hacker si impegnano a fondo nella progettazione di messaggi per un attacco phishing imitando le email reali di un’organizzazione camuffata. Usando lo stesso fraseggio, gli stessi caratteri tipografici, gli stessi loghi e le stesse firme, i messaggi appaiono legittimi.

Inoltre, un’altra cosa a cui prestare attenzione, è che gli aggressori di solito cercano di spingere gli utenti all’azione creando un senso di urgenza. Per esempio, come mostrato in precedenza, un’email potrebbe minacciare la scadenza dell’account e mettere il destinatario in una condizione di urgenza. L’applicazione di tale pressione porta l’utente ad essere meno diligente e più incline all’errore.

Infine, i link all’interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio scritto male o sottodomini extra. Nell’esempio precedente, l’URL lamiauniverista.edu/rinnovo è stato cambiato in lamiauniversita.edurinnovo.com. Le somiglianze tra i due indirizzi offrono l’impressione di un collegamento sicuro, rendendo il destinatario meno consapevole che un attacco è in corso.

Cos’è lo spear phishing

Cos'e' il phishing - Spear phishing

Lo spear phishing prende di mira una specifica persona o impresa, al contrario degli utenti casuali. È una versione più approfondita del phishing che richiede una conoscenza speciale di un’organizzazione, compresa la sua struttura di potere.

Un attacco potrebbe svolgersi nel seguente modo:

– Un hacker ricerca i nomi dei dipendenti all’interno del dipartimento di marketing di un’organizzazione e ottiene l’accesso alle ultime fatture dei progetti.
Fingendosi il direttore del marketing, l’aggressore invia un’email a un project manager del dipartimento utilizzando un oggetto che dice: Fattura aggiornata per le campagne Q3. Il testo, lo stile e il logo incluso duplicano il modello di email standard dell’organizzazione.
– Un link nell’e-mail reindirizza a un documento interno protetto da password, che è in realtà una versione falsificata di una fattura rubata.
– Al direttore marketing viene richiesto di effettuare il login per visualizzare il documento. L’attaccante ruba le sue credenziali, ottenendo l’accesso completo alle aree sensibili all’interno della rete dell’organizzazione.

Fornendo all’attaccante credenziali di accesso valide, lo spear phishing è un metodo efficace per eseguire la prima fase di un attacco di tipo ransomware.

Cos’è il whale phishing

Il whale phishing, o whaling, è una forma di spear phishing che mira ai pesci molto grossi: CEO o altri obiettivi di alto valore. Molte di queste truffe prendono di mira i membri del consiglio di amministrazione di un’azienda, che sono considerati particolarmente vulnerabili. Infatti, essi hanno una grande autorità all’interno dell’azienda, ma poiché non sono dipendenti a tempo pieno, spesso usano indirizzi email personali per la corrispondenza relativa al business, che non ha le protezioni offerte dalle email aziendali.

Raccogliere abbastanza informazioni per ingannare un obiettivo di alto valore potrebbe richiedere tempo, ma può avere un ritorno sorprendentemente alto. Nel 2008, i criminali informatici hanno preso di mira i CEO aziendali con e-mail che sostenevano di avere allegati i mandati di comparizione dell’FBI. In realtà, hanno installato keylogger sui computer dei dirigenti. Il tasso di successo dei truffatori è stato del 10%, catturando quasi 2.000 vittime.

Come difendersi

La protezione contro un attacco phishing richiede l’adozione di misure sia da parte degli utenti che delle imprese.

Per gli utenti, la vigilanza è la chiave. Un messaggio contraffatto spesso contiene errori sottili che espongono la sua vera natura. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come visto nell’esempio dell’URL precedente. Gli utenti dovrebbero domandarsi quale sia il motivo per cui stanno ricevendo una certa e-mail.

Cos'e' il phishing - Difesa

Per le imprese, una serie di misure possono essere prese per mitigare sia il phishing che gli attacchi di spear phishing:

L’autenticazione a due fattori (2FA) è il metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni sensibili. La 2FA si basa sul fatto che gli utenti abbiano due cose: qualcosa che conoscono, come una password e un nome utente, e qualcosa che hanno con sé, come il loro smartphone. Anche quando i dipendenti vengono compromessi, 2FA impedisce l’uso delle loro credenziali compromesse, poiché queste da sole non sono sufficienti per entrare.

Oltre all’uso di 2FA, le aziende dovrebbero applicare rigorose politiche di gestione delle password. Per esempio, ai dipendenti dovrebbe essere richiesto di cambiare frequentemente le loro password e di non essere autorizzati a riutilizzare una password per più applicazioni.

Infine, le campagne educative possono anche aiutare a diminuire la minaccia di attacchi di phishing facendo rispettare pratiche sicure, come non cliccare su link esterni alle email. A questo proposito vorrei ricordare il servizio di phishing etico di SOD, che ha proprio l’intento di testare l’azienda e organizzare formazioni mirate per mitigare i rischi.

Non è sufficiente sapere cos’è il phishing, è necessario anche saperlo riconoscere.

Link utili:

Link utili:

Phishing

Mitre Att&ck

Ransomware a doppia estorsione

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Backdoor.Win32.InfecDoor.17.c / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/1fd70e41918c3a75c634b1c234ec36fb.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.InfecDoor.17.c Vulnerability: Insecure Permissions Description: The malware writes a ".420" settings file type to c drive granting change (C) permissions to the authenticated user group. Standard users can...
  • Trojan-Mailfinder.Win32.VB.p / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/20e438d84aa2828826d52540d80bf7f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Mailfinder.Win32.VB.p Vulnerability: Insecure Permissions Description: The malware writes a dir with multiple PE files to c drive granting change (C) permissions to the authenticated user group. Standard users can […]
  • Backdoor.Win32.Shark.btu / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/5a83f8b8c8a8b7a85b3ff632aa60e793.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Shark.btu Vulnerability: Insecure Permissions Description: The malware writes multiple PE files to c drive granting change (C) permissions to the authenticated user group. Standard users can rename the executable...
  • Yashma Ransomware Builder v1.2 / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/13e878ed7e547523cffc5728f6ba4190.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Yashma Ransomware Builder v1.2 Vulnerability: Insecure Permissions Description: The malware creates PE files with insecure permissions when writing to c:\ drive, granting change (C) permissions to the authenticated user […]
  • AnyDesk Public Exploit Disclosure - Arbitrary file write by symbolic link attack lead to denial-of-service attack on local machine Giugno 28, 2022
    Posted by chan chan on Jun 27Hi FullDisclosure, I would like to publish an exploit that I found on AnyDesk as follows. # Exploit Title: AnyDesk allow arbitrary file write by symbolic link attack lead to denial-of-service attack on local machine # Google Dork: [if applicable] # Date: 24/5/2022 # Exploit Author: Erwin Chan # […]
  • SEC-T CFP ongoing Giugno 28, 2022
    Posted by Mattias Bååth via Fulldisclosure on Jun 27Hey all It's now less than two weeks to submit a talk to SEC-T 2022, at least if you want to be part of the first talk selection round (recommended) that we kick off July first. SEC-T is non-profit, non-corporate, two day, single track, con in Stockholm, […]
  • CFP No cON Name 2022 - Barcelona Giugno 28, 2022
    Posted by Jose Nicolas Castellano via Fulldisclosure on Jun 27No cON Name 2022 - Barcelona ************************************ *****  Call For Papers        ****** ************************************ https://www.noconname.org/call-for-papers/ Exact place not disclosed until a few weeks before due celebration.     * INTRODUCTION The organization has  opened CFP proposals. No cON Name is the eldest Hacking and Security Conference in Span. […]
  • Onapsis Security Advisory 2022-0007: Directory Traversal vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) Giugno 21, 2022
    Posted by Onapsis Research via Fulldisclosure on Jun 21# Onapsis Security Advisory 2022-0007: Directory Traversal vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) ## Impact on Business Exposing the contents of a directory can lead to a disclosure of useful information for the attacker to devise exploits, such as creation times of files or […]
  • Onapsis Security Advisory 2022-0006: Information Disclosure vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) Giugno 21, 2022
    Posted by Onapsis Research via Fulldisclosure on Jun 21# Onapsis Security Advisory 2022-0006: Information Disclosure vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) ## Impact on Business Running unnecessary services, like a jetty webserver, may lead to increased surface area for an attack and also it unnecessarily exposes underlying vulnerabilities. ## Advisory Information - […]
  • Onapsis Security Advisory 2022-0005: Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad Giugno 21, 2022
    Posted by Onapsis Research via Fulldisclosure on Jun 21# Onapsis Security Advisory 2022-0005: Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad ## Impact on Business Impact depends on the victim's privileges. In most cases, a successful attack allows an attacker to hijack a session, or force the victim to perform undesired requests in the SAP […]

Customers

Newsletter