
Estimated reading time: 6 minutes
Dal nulla, qualcuno risponde a una conversazione email datata mesi fa. Si tratta di una conversazione vera che è realmente accaduta. Forse riguarda una riunione, un’opportunità di lavoro. Questa email sembra molto rilevante, ma attenzione, potrebbe essere zombie phishing.
Infatti, qualcosa non va, l’argomento discusso è passato da mesi e ora c’è uno strano messaggio di errore nel corpo della mail. Questa è una tattica subdola: far rivivere una conversazione via email morta da tempo.

Non il solito phishing
Il Cofense™ Phishing Defense Center™ (PDC) ha individuato nel 2018 una vasta campagna di Zombie Phishing. La truffa, come quasi ogni attacco di phishing, viene realizzata attraverso account di posta elettronica compromessi.
I truffatori si impadroniscono di un account email e rispondono a conversazioni già chiuse da tempo con un link di phishing o un allegato dannoso (per esempio malware o un keylogger). Dato che l’oggetto dell’email è solitamente rilevante per la vittima, è molto probabile che si verifichi un clic guidato dalla curiosità. Non scordiamoci, infatti, che la conversazione originale era già presente tra i messaggi ricevuti, è facile pensare che si tratti di un follow up o simili.
Questi attacchi di Zombie Phishing sembrano utilizzare URL di infezione generati automaticamente per eludere il rilevamento. Non ci sono due link uguali, inoltre, sono nascosti dietro messaggi di “errore” senza troppi fronzoli nel corpo del messaggio. Questo scenario fornendo uno schema di apparente legittimità per gli utenti che ne sono vittime.
Gli zombie in informatica
Nel settore informatico, uno zombie è un computer compromesso connesso alla rete. Lo stato di compromissione potrebbe essere dovuto a un hacker, un virus, un malware o un trojan horse.
La macchina infetta esegue compiti dannosi sotto una direzione remota. Le botnet di computer zombie sono spesso utilizzate per diffondere spam e-mail e lanciare attacchi di tipo denial-of-service (DoS).
Tipi di attacco
Ecco alcuni modelli osservati di Zombie Phishing che trasportano link dannosi. Un fattore distintivo era l’uso di due template grafici distinti contenenti messaggi di errore con pulsante o link.
Il messaggio recita qualcosa tipo “Messaggio incompleto” o “Impossibilità di mostrare tutto il messaggio”. Il link o pulsante invita a cliccare per vedere il messaggio originale. Ovviamente il click comporta solo l’installazione di un malware o altri eventi simili. Da notare che non sono stati individuati due link uguali, segno che probabilmente a generare gli indirizzi era un bot.
Un altro fattore comune è l’utilizzo di domini con TLD .icu
. Questo è probabilmente un fattore che col tempo varia sensibilmente. Ecco alcuni dei domini riscontrati nella prima analisi del 2018:
Si è osservato che questi attacchi zombie phishing utilizzano loghi organizzativi ufficiali per aggiungere legittimità alle false pagine di login. Una pratica comune nelle tecniche di phishing che abbiamo già visto in altri articoli.
Le pagine di destinazione sono progettate per sembrare un portale online legittimo, compreso di logo dell’azienda e persino una favicon. In questi casi l’obiettivo finale è il furto di credenziali della vittima.
Inoltre, qualsiasi vittima che visita il sito web dannoso viene “marcata” utilizzando l’indirizzo IP dell’host come identificatore e, dopo aver inserito le credenziali, viene indirizzata allo stesso sito web di spam visto da altre vittime. Questo avviene spesso tramite link offuscati utilizzando accorciatori di URL (come hxxps://href[.]li/
).
Se lo stesso host tenta di visitare di nuovo il link di phishing, la finta pagina di login viene saltata e si viene inoltrati direttamente alla pagina di spam. Questa marcatura e l’offuscamento dell’URL shortener aiuta gli aggressori a mantenere un basso profilo e a continuare la loro campagna senza sosta.
Conversation Hijacking

La tattica del conversation hijacking non è affatto nuova e sta ora vivendo una nuova vita grazie al zombie phishing . I truffatori hanno dirottato account di posta elettronica compromessi per distribuire malware ed email di phishing come risposte a conversazioni concluse da anni ormai.
Questa tecnica è ancora popolare perché rende le vittime molto più propense a cliccare su link e scaricare o aprire i file. La soglia di attenzione contro i classici attacchi di phishing è abbassata quando i messaggi sono portati all’interno di conversazioni già nella loro casella di posta.
Un esempio datato un paio d’anni di questo è stata la botnet Geodo. Sostanzialmente si tratta di inserimento in thread di posta elettronica esistenti (conversation hijacking) per consegnare documenti dannosi. Questi, a loro volta, scaricano un campione di Geodo o altri malware come Ursnif, che secondo il Key4Biz era il più diffuso in Italia a giugno 2020.
Tuttavia, l’efficacia di questa tattica può dipendere molto dal contenuto delle conversazioni. Una risposta a un’email pubblicitaria automatica ha meno probabilità di provocare un’infezione rispetto a una risposta a un thread di supporto help-desk.
Sono state diverse le campagne zombie phishing di Geodo consistenti in risposte a email pubblicitarie automatizzate. Questo è indice del fatto che, in alcuni casi, le campagne consistono in risposte indiscriminate a tutte le email in una casella di posta. Dato che il volume di queste campagne di conversation hijacking è ancora relativamente basso, la portata ridotta di queste email è probabilmente limitata dal numero di conversazioni in corso.
Alcuni tipi di account hanno quindi maggiori probabilità di attirare l’attenzione diretta degli attori delle minacce e di indurli a investire ulteriori sforzi e tempo nello sviluppo di campagne di phishing uniche per quegli account.
Difesa dal zombie phishing
Ecco alcuni suggerimenti veloci per evitare di perdere le credenziali per un attacco Zombie Phishing:
- Attenzione ai soggetti delle email che possono sembrare rilevanti ma che provengono da vecchie conversazioni
- Fate attenzione a un eventuale messaggio di errore nel corpo del messaggio
- Non fidatevi dei documenti allegati solo perché stanno rispondendo a una conversazione
- Passate il mouse sopra i pulsanti o i link nei messaggi sospetti per controllare che non contengano domini sospetti
È stato osservato che queste campagne sono diventate sempre più intelligenti. Per combattere questo e altre forme di phishing, la formazione dei dipendenti è fondamentale.
Una forza lavoro adeguatamente formata è ciò che serve per difendere la tua organizzazione contro gli attacchi di Zombie Phishing.
SOD offre un servizio completo a riguardo. Cominciamo attaccando in modo controllato l’azienda, testando eventuali debolezze nella sicurezza o nel comportamento dei dipendenti. Successivamente viene progettata una formazione specifica per rimediare alle lacune e formare in modo completo il personale.
Per mantenere alte le difese, inoltre, il nostro SOCaaS comprende l’analisi del comportamento degli utenti, dei log delle macchine collegate e della rete in modo da individuare immediatamente tentativi di phishing.

Estimated reading time: 10 minutes
Ingegneria sociale è il termine usato per una vasta gamma di attività dannose compiute attraverso le interazioni umane. Utilizza la manipolazione psicologica per indurre gli utenti a commettere errori di sicurezza o a fornire informazioni sensibili. In seguito, con quelle informazioni, l’hacker è in grado di portare a termine con successo attacchi mirati, come il furto di dati, un ransomware o un’interruzione di servizi.
Gli attacchi di ingegneria sociale avvengono solitamente in più fasi. L’esecutore prima indaga sulla vittima designata per raccogliere le informazioni di base necessarie, come i potenziali punti di ingresso e i protocolli di sicurezza deboli, necessari per procedere con l’attacco. Poi, l’attaccante si muove per guadagnare la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.
Ciò che rende il social engineering particolarmente pericoloso è che si basa sull’errore umano, piuttosto che sulle vulnerabilità del software e dei sistemi operativi. Gli errori commessi dagli utenti legittimi sono molto meno prevedibili, il che li rende più difficili da identificare e contrastare rispetto a un’intrusione basata sul malware.

È da notare che il target di un ingegnere sociale non è per forza una rete o un software. Riuscire ad entrare in un edificio eludendo la sicurezza, per poi installare un dispositivo o rubare dei documenti, sono azioni che rientrano comunque sotto questa tipologia di attacchi.
Le tecniche dell’ingegneria sociale
Gli attacchi di ingegneria sociale si presentano in molte forme diverse e possono essere eseguiti ovunque sia coinvolta l’interazione umana. I seguenti sono cinque metodi più comuni di attacchi di ingegneria sociale digitale.
Baiting (dall’inglese bait, “esca”)
Come suggerisce il nome, gli attacchi di baiting utilizzano una falsa promessa (un esca, appunto) per stuzzicare l’avidità o la curiosità della vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o installa sui loro sistemi un malware.
La forma più infame di baiting utilizza supporti fisici per disperdere il malware. Per esempio, gli aggressori lasciano l’esca (tipicamente chiavette infette) in aree appariscenti dove le potenziali vittime sono certe di vederle (ad esempio, bagni, ascensori, il parcheggio di un’azienda presa di mira). L’esca ha un aspetto legittimo, come un’etichetta che indica il contenuto, come la lista degli stipendi dell’azienda. L’indizio che rivela cosa dovrebbe contenere può cambiare, ovviamente, ma ha la prerogativa di essere potenzialmente molto interessante.
Le vittime raccolgono l’esca per curiosità e la inseriscono in un computer di lavoro o di casa, con conseguente installazione automatica di malware sul sistema.
Le truffe di adescamento non devono necessariamente essere eseguite nel mondo fisico. Le forme di baiting online consistono in annunci allettanti che portano a siti dannosi o che incoraggiano gli utenti a scaricare un’applicazione infetta da malware. Qui si sfocia nelle tecniche di phishing, che vedremo tra poco.
Note di difesa: per difendersi da questi attacchi di ingegneria sociale, oltre che prestare la massima attenzione a cosa si collega al proprio computer, non guasta avere un sistema di antivirus e anti-malware efficiente. Per l’azienda, un sistema SIEM di nuova generazione e UEBA aiutano nell’individuare comportamenti sospetti degli utenti e riducono moltissimo il rischio di infezione malware.

Scareware (dall’inglese to scare, “spaventare”)
Lo scareware consiste nel bombardare le vittime con falsi allarmi e minacce fittizie. Gli utenti sono ingannati a pensare che il loro sistema sia infettato da un malware, spingendoli a installare un software che non ha alcun beneficio reale (se non per l’esecutore) o è esso stesso un malware. Lo scareware viene anche chiamato software di inganno (deception software), rogue scanner software e fraudware.
Un esempio comune di scareware è il banner popup dall’aspetto legittimo che appare nel tuo browser mentre navighi sul web, mostrando un testo come “Il tuo computer potrebbe essere infettato da programmi spyware dannosi“. In altri casi il popup si offre di installare lo strumento (spesso infetto da malware) al posto vostro, o vi indirizza a un sito dannoso dove il vostro computer viene infettato.
Lo scareware è anche distribuito tramite email di spam che distribuisce avvisi fasulli, o fa offerte agli utenti per comprare servizi inutili/nocivi. L’ingegneria sociale è spesso molto fantasiosa e riesce a trovare modi sempre nuovi per ingannare. È necessario essere sempre all’erta.
Note di difesa: Nel caso si sospetti che il messaggio ricevuto sia davvero legittimo, la cosa migliore è cerca una soluzione attivamente, senza cioè usare i link suggeriti dal messaggio stesso. Per esempio, si è ricevuto un messaggio da un servizio che annuncia che il nostro account è stato compromesso. In caso di dubbio, si può contattare l’assistenza del servizio direttamente dal loro sito per chiedere chiarimenti. Evitare a tutti i costi di usare i link suggeriti dal messaggio sospetto.

Pretexting (dall’inglese to pretend, “fingere”)
In questo attacco di ingegneria sociale, un attaccante ottiene informazioni attraverso una serie di menzogne abilmente costruite. La truffa è spesso avviata da un esecutore che finge di aver bisogno di informazioni sensibili da una vittima in modo da eseguire un compito critico.
L’aggressore di solito inizia stabilendo la fiducia con la sua vittima impersonando colleghi, polizia, funzionari bancari e fiscali, o altre persone che hanno il diritto di conoscere l’autorità. L’hacker pone domande che sono apparentemente necessarie per confermare l’identità della vittima, attraverso le quali raccoglie importanti dati personali.

Molti tipi di informazioni vengono raccolte utilizzando questa tecnica, come numeri di carta d’identità, indirizzi personali e numeri di telefono, registri telefonici, date di ferie del personale, registri bancari e persino informazioni di sicurezza relative a un impianto fisico.
Ogni informazione, per quanto possa sembrare innocua, potrebbe successivamente essere usata per un secondo attacco. Anche il nome di una guardia giurata assunta dall’azienda potrebbe essere già sufficiente per instaurare fiducia e chiedere uno strappo alla regola quando si domanda il codice di accesso alle porte automatiche.
Phishing (dall’inglese to fish, “pescare”)
Essendo uno dei più popolari tipi di attacco di ingegneria sociale, le truffe di phishing sono campagne di e-mail e messaggi di testo che mirano a creare un senso di urgenza, curiosità o paura nelle vittime. Poi le spinge a rivelare informazioni sensibili, a cliccare su link a siti web dannosi o ad aprire allegati che contengono malware.
Un esempio è un’e-mail inviata agli utenti di un servizio online che li avvisa di una violazione della politica che richiede un’azione immediata da parte loro, come un cambio di password obbligatorio. Include un link a un sito web, quasi identico nell’aspetto alla sua versione legittima, che invita l’utente a inserire le sue credenziali attuali e la nuova password. Dopo aver inviato il modulo, le informazioni vengono inviate all’attaccante.
Dato che i messaggi identici, o quasi identici, vengono inviati a tutti gli utenti nelle campagne di phishing, individuarli e bloccarli è molto più facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce.
Nota di difesa: Se è vero che in alcuni casi ci siamo abituati a non dare peso a questo tipo di messaggi, è anche vero che gli ingegneri sociali si sono fatti sempre più furbi. Non è il caso di abbassare la guardia. Invece è molto utile diffidare sempre di messaggi che richiedono inserimento di credenziali.
Questi attacchi fanno leva sul fatto che è facile imbrogliare alcuni utenti, vuoi per distrazione o ingenuità. La difesa migliore è la formazione dei dipendenti tramite un servizio di phishing etico e successivi training mirati.

Spear phishing (dall’inglese spear, “lancia”)
Questa è una versione più mirata del phishing in cui un aggressore sceglie specifici individui o imprese. Quindi adattano i loro messaggi in base alle caratteristiche, alle posizioni lavorative e ai contatti delle loro vittime per rendere il loro attacco meno evidente. Lo spear phishing richiede molto più sforzo da parte dell’autore e può richiedere settimane e mesi per essere portato a termine. Sono molto più difficili da rilevare e hanno migliori tassi di successo se fatti con abilità.
Uno scenario di spear phishing potrebbe coinvolgere un attaccante che, impersonando il consulente IT di un’organizzazione, invia un’e-mail a uno o più dipendenti. È formulata e firmata esattamente come il consulente fa normalmente, ingannando così i destinatari a pensare che sia un messaggio autentico. Il messaggio richiede ai destinatari di cambiare la loro password e fornisce loro un link che li reindirizza a una pagina dannosa dove l’attaccante ora cattura le loro credenziali.

Come difendersi dagli attacchi di ingegneria sociale
Gli ingegneri sociali manipolano i sentimenti umani, come la curiosità o la paura, per portare avanti gli schemi e attirare le vittime nelle loro trappole. Pertanto, è essenziale essere prudenti ogni volta che vi sentite allarmati da un’e-mail, attratti da un’offerta visualizzata su un sito web, o quando vi imbattete in media digitali vaganti in giro. Essere all’erta può aiutarvi a proteggervi dalla maggior parte degli attacchi di ingegneria sociale che avvengono online.
Inoltre, i seguenti consigli possono aiutare a migliorare la tua vigilanza in relazione agli attacchi di ingegneria sociale.
- Non aprire e-mail e allegati da fonti sospette. Se non si conosce il mittente in questione, non è necessario rispondere a un’e-mail. Anche se li conosci e sei sospettoso del loro messaggio, fai un controllo incrociato e conferma le notizie da altre fonti, come per telefono o direttamente dal sito di un fornitore di servizi. Anche un’e-mail che sembra provenire da una fonte affidabile potrebbe essere stata avviata da un aggressore.
- Usare l’autenticazione multi-fattore. Uno dei pezzi più preziosi di informazioni che gli aggressori cercano sono le credenziali dell’utente. Usando l’autenticazione a 2 fattori aiuti a garantire la protezione del tuo account in caso di compromissione del sistema. Esistono applicazioni gratuite per ogni tipo di dispositivo mobile che ti permettono di implementare questo tipo di autenticazione.
- Diffidare delle offerte allettanti. Se un’offerta sembra troppo allettante, pensaci due volte prima di accettarla come reale. Usa Google per verificare l’argomento e determinare rapidamente se hai a che fare con un’offerta legittima o con una trappola.
- Aggiornare il software antivirus/antimalware. Assicurati che gli aggiornamenti automatici siano attivati. Controlla periodicamente che gli aggiornamenti siano stati applicati e scansiona il tuo sistema per possibili infezioni.
Se l’azienda dispone di un reparto IT, questi consigli dovrebbero essere le misure standard di sicurezza.

Servizi di sicurezza per aziende
Quando si pensa ai dati che la propria azienda custodisce e gestisce, non si è mai troppo prudenti nella difesa. L’ingegneria sociale fa leva sul fatto che un dipendente si hackera più facilmente di un computer, cosa che molto spesso risulta veritiera.
Oltre alle misure di protezione informatica elencate qui sopra, è bene che i dipendenti siano tutti consapevoli dei rischi e delle potenziali minacce.
SOD propone una serie di servizi che vanno proprio in questa direzione. Il primo e forse più importante è quello di phishing etico in cui proviamo ad attaccare l’azienda con tecniche di phishing. Scopriamo quali sono i punti deboli e organizziamo training interni per fornire gli strumenti adeguati al personale.
Abbiamo anche i classici Vulnerability Assessment e Penetration Test per testare i sistemi di sicurezza informatica. A questo servizio sono applicabili degli addon per coprire un maggior numero di aree. È disponibile un addon specifico per l’analisi delle app e la revisione del codice, ma anche uno in cui proviamo a violare l’azienda con attacchi fisici. Testeremo la sicurezza fisica dell’azienda, la possibilità di entrare negli edifici, l’accesso alle centraline di rete e altro.
Infine, per mantenere controllate le reti, il servizio SOCaaS permette di monitorare tutta la rete, individuare azioni sospette (con analisi del comportamento tramite intelligenza artificiale), installazioni non autorizzate, tentativi di violazioni e molto altro.
La sicurezza dei dati in azienda è davvero importante, contattaci per sapere come possiamo aiutarti!

Tempo di lettura stimato: 7 minuti
Il phishing è un tipo di attacco di ingegneria sociale spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri delle carte di credito. Si verifica quando un aggressore, mascherato da un’entità fidata, inganna una vittima ad aprire un’e-mail, un messaggio istantaneo o un messaggio di testo.
Il destinatario viene quindi indotto a cliccare su un link dannoso, che può portare all’installazione di malware, al congelamento del sistema come parte di un attacco ransomware o alla rivelazione di informazioni sensibili.
Un attacco può avere risultati devastanti. Per gli individui, questo include acquisti non autorizzati, il furto di fondi o il furto di identità.

Cos’è il phishing per le aziende?
Ancora più dannoso, il phishing è anche utilizzato per guadagnare un punto d’ingresso nelle reti aziendali o governative come parte di un attacco più grande, come un evento di minaccia avanzata persistente (APT – Advanced Persistent Threat). In quest’ultimo scenario, i dipendenti vengono compromessi al fine di aggirare i perimetri di sicurezza, distribuire malware all’interno di un ambiente chiuso, o ottenere un accesso privilegiato ai dati protetti.
Un’organizzazione che soccombe a un attacco di questo tipo in genere subisce gravi perdite finanziarie, oltre a un calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda della portata, un tentativo di phishing potrebbe degenerare in un incidente di sicurezza da cui un’azienda avrà difficoltà a riprendersi.
Come si presenta un attacco phishing
Sapere cos’è il phishing spesso non basta per proteggersi. La cosa migliore da fare è lavorare sulla resilienza agli attacchi e capire come individuarli prima di caderne vittima.
Come abbiamo accennato prima, infatti, le conseguenze possono essere di proporzioni enormi. Ma, se sembra semplice da fare quando si tratta di un singolo individuo, come fare se c’è un’intera azienda da proteggere? SOD offre un servizio orientato proprio a questo: formare intere aziende al riconoscimento e mitigazione del rischio di attacchi phishing.
Attraverso un primo attacco controllato, siamo in grado di capire quali sono i punti su cui lavorare. Successivamente vengono organizzate delle proposte formative per i dipendenti. Viene loro insegnato come riconoscere le minacce prima che queste diventino problematiche. Per saperne di più, è possibili visitare la pagina del servizio.
Ma vediamo come si presenta un attacco generico.
Esempio di attacco
1. Un’email fasulla apparentemente proveniente da lamiauniversita.edu
viene distribuita in massa al maggior numero possibile di membri della facoltà.
2. L’email sostiene che la password dell’utente sta per scadere. Vengono date istruzioni per andare sul link lamiauniversita.edu/rinnovo
per rinnovare la loro password entro 24 ore.
Possono accadere varie cose cliccando sul link proposto.
– L’utente viene reindirizzato a lamiauniversita.edurinnovo.com
, una pagina fasulla che appare esattamente come la vera pagina di rinnovo, dove vengono richieste sia la password nuova che quella esistente. L’attaccante, monitorando la pagina, dirotta la password originale per – ottenere l’accesso alle aree protette della rete universitaria.
– L’utente viene inviato alla vera pagina di rinnovo della password. Tuttavia, mentre viene reindirizzato, uno script maligno si attiva in background per dirottare il cookie di sessione dell’utente. Questo si traduce in un attacco di tipo Cross Site Scripting, dando all’autore l’accesso privilegiato alla rete universitaria.

Logica di un attacco
L’email phishing è un gioco di grandi numeri. Un aggressore che invia migliaia di messaggi fraudolenti può ottenere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade nella truffa.
Gli hacker si impegnano a fondo nella progettazione di messaggi per un attacco phishing imitando le email reali di un’organizzazione camuffata. Usando lo stesso fraseggio, gli stessi caratteri tipografici, gli stessi loghi e le stesse firme, i messaggi appaiono legittimi.
Inoltre, un’altra cosa a cui prestare attenzione, è che gli aggressori di solito cercano di spingere gli utenti all’azione creando un senso di urgenza. Per esempio, come mostrato in precedenza, un’email potrebbe minacciare la scadenza dell’account e mettere il destinatario in una condizione di urgenza. L’applicazione di tale pressione porta l’utente ad essere meno diligente e più incline all’errore.
Infine, i link all’interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio scritto male o sottodomini extra. Nell’esempio precedente, l’URL lamiauniverista.edu/rinnovo
è stato cambiato in lamiauniversita.edurinnovo.com
. Le somiglianze tra i due indirizzi offrono l’impressione di un collegamento sicuro, rendendo il destinatario meno consapevole che un attacco è in corso.
Cos’è lo spear phishing

Lo spear phishing prende di mira una specifica persona o impresa, al contrario degli utenti casuali. È una versione più approfondita del phishing che richiede una conoscenza speciale di un’organizzazione, compresa la sua struttura di potere.
Un attacco potrebbe svolgersi nel seguente modo:
– Un hacker ricerca i nomi dei dipendenti all’interno del dipartimento di marketing di un’organizzazione e ottiene l’accesso alle ultime fatture dei progetti.
– Fingendosi il direttore del marketing, l’aggressore invia un’email a un project manager del dipartimento utilizzando un oggetto che dice: Fattura aggiornata per le campagne Q3. Il testo, lo stile e il logo incluso duplicano il modello di email standard dell’organizzazione.
– Un link nell’e-mail reindirizza a un documento interno protetto da password, che è in realtà una versione falsificata di una fattura rubata.
– Al direttore marketing viene richiesto di effettuare il login per visualizzare il documento. L’attaccante ruba le sue credenziali, ottenendo l’accesso completo alle aree sensibili all’interno della rete dell’organizzazione.
Fornendo all’attaccante credenziali di accesso valide, lo spear phishing è un metodo efficace per eseguire la prima fase di un attacco di tipo ransomware.
Cos’è il whale phishing
Il whale phishing, o whaling, è una forma di spear phishing che mira ai pesci molto grossi: CEO o altri obiettivi di alto valore. Molte di queste truffe prendono di mira i membri del consiglio di amministrazione di un’azienda, che sono considerati particolarmente vulnerabili. Infatti, essi hanno una grande autorità all’interno dell’azienda, ma poiché non sono dipendenti a tempo pieno, spesso usano indirizzi email personali per la corrispondenza relativa al business, che non ha le protezioni offerte dalle email aziendali.
Raccogliere abbastanza informazioni per ingannare un obiettivo di alto valore potrebbe richiedere tempo, ma può avere un ritorno sorprendentemente alto. Nel 2008, i criminali informatici hanno preso di mira i CEO aziendali con e-mail che sostenevano di avere allegati i mandati di comparizione dell’FBI. In realtà, hanno installato keylogger sui computer dei dirigenti. Il tasso di successo dei truffatori è stato del 10%, catturando quasi 2.000 vittime.
Come difendersi
La protezione contro un attacco phishing richiede l’adozione di misure sia da parte degli utenti che delle imprese.
Per gli utenti, la vigilanza è la chiave. Un messaggio contraffatto spesso contiene errori sottili che espongono la sua vera natura. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come visto nell’esempio dell’URL precedente. Gli utenti dovrebbero domandarsi quale sia il motivo per cui stanno ricevendo una certa e-mail.

Per le imprese, una serie di misure possono essere prese per mitigare sia il phishing che gli attacchi di spear phishing:
L’autenticazione a due fattori (2FA) è il metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni sensibili. La 2FA si basa sul fatto che gli utenti abbiano due cose: qualcosa che conoscono, come una password e un nome utente, e qualcosa che hanno con sé, come il loro smartphone. Anche quando i dipendenti vengono compromessi, 2FA impedisce l’uso delle loro credenziali compromesse, poiché queste da sole non sono sufficienti per entrare.
Oltre all’uso di 2FA, le aziende dovrebbero applicare rigorose politiche di gestione delle password. Per esempio, ai dipendenti dovrebbe essere richiesto di cambiare frequentemente le loro password e di non essere autorizzati a riutilizzare una password per più applicazioni.
Infine, le campagne educative possono anche aiutare a diminuire la minaccia di attacchi di phishing facendo rispettare pratiche sicure, come non cliccare su link esterni alle email. A questo proposito vorrei ricordare il servizio di phishing etico di SOD, che ha proprio l’intento di testare l’azienda e organizzare formazioni mirate per mitigare i rischi.
Non è sufficiente sapere cos’è il phishing, è necessario anche saperlo riconoscere.
Link utili:
Ransomware a doppia estorsione

Tempo di lettura: 5 min
Uno Zero-Day attack (noto anche come 0-day) sfrutta una vulnerabilità software sconosciuta agli addetti alla sicurezza e al fornitore del software. Gli hacker possono sfruttare la debolezza, fintanto che non viene mitigata, tramite Zero-Day exploit o, appunto attack.
Il termine “zero-day” si riferiva originariamente al numero di giorni dal rilascio del software. Un software “zero-day”, quindi, indicava un programma ottenuto attraverso la forzatura del computer di uno sviluppatore prima del rilascio. Il termine è stato poi applicato alle vulnerabilità che questa pratica permette di sfruttare. Una volta che il venditore viene a conoscenza della vulnerabilità, solitamente crea delle patch o consiglia delle soluzioni per mitigarla.

Vulnerabilita’ del software
I software hanno spesso delle vulnerabilità. Queste sono difetti involontari, o problemi nei codici che potrebbero ipoteticamente essere sfruttati. Per esempio, ci può essere un difetto che permette a un cyber-criminale di accedere a dati altrimenti sicuri. I programmatori sono spesso alla ricerca di queste vulnerabilità e quando le scoprono, le analizzano, producono una patch per risolverle, poi distribuiscono quella patch in una nuova versione del software.
Tuttavia, questo è un processo che richiede tempo. Quando il difetto diventa noto, gli hacker di tutto il mondo possono iniziare a cercare di sfruttarlo.
Zero-Day Attack
Se un hacker riesce a sfruttare la vulnerabilità prima che gli sviluppatori riescano a trovare una soluzione, questo exploit diventa quindi noto come attacco Zero-Day attack.
Le vulnerabilità zero-day possono assumere quasi ogni forma, perché possono manifestarsi come qualsiasi tipo di vulnerabilità nel software. Per esempio, possono assumere la forma di crittografia dei dati mancanti, SQL injection, buffer overflow, autorizzazioni mancanti, bug o problemi con la sicurezza delle password.
Questo rende queste vulnerabilità difficili da trovare prima che siano sfruttate in zero-day attack. Questo, per certi versi, è una buona notizia: significa anche che gli hacker avranno difficoltà a trovarle. Ma anche che è difficile difendersi da queste vulnerabilità in modo efficace.
Come proteggersi
Abbiamo visto come sia difficile proteggersi dalla possibilità di un zero-day attack, perché può assumere molte forme. Quasi ogni tipo di vulnerabilità di sicurezza potrebbe essere sfruttata come uno zero-day se una patch non viene prodotta in tempo. Inoltre, molti sviluppatori di software cercano intenzionalmente di non rivelare pubblicamente la vulnerabilità nella speranza di poter distribuire una patch prima che qualsiasi hacker scopra la vulnerabilità presente.
Ci sono alcune strategie che possono aiutarti a difendere il tuo business contro gli attacchi del giorno zero:
Resta informato sugli Zero-Day attack
Gli exploit zero-day non sono sempre pubblicizzati, ma occasionalmente si sente parlare di una vulnerabilità che potrebbe essere potenzialmente sfruttata. Se rimani sintonizzato sulle notizie e presti attenzione ai rilasci dei tuoi fornitori di software, potresti avere il tempo di mettere in atto misure di sicurezza o di rispondere a una minaccia prima che venga sfruttata. Un buon metodo per farlo è seguire le newsletter dei tuoi fornitori. In fondo a questa pagina trovi il form per iscriverti a quella di SOD.
Tieni aggiornati i tuoi sistemi
Gli sviluppatori lavorano costantemente per mantenere il loro software aggiornato e sicuro per prevenire la possibilità di exploit. Quando una vulnerabilità viene scoperta, è solo una questione di tempo prima che producano una patch. Tuttavia, spetta a te e al tuo team assicurarsi che le tue piattaforme software siano sempre aggiornate. L’approccio migliore in questo caso è quello di abilitare gli aggiornamenti automatici, in modo che il software venga aggiornato di routine, e senza la necessità di un intervento manuale.

Impiegare misure di sicurezza aggiuntive
Assicurati di utilizzare soluzioni di sicurezza che ti proteggano da un zero-day attack. SOD, offre una soluzione che comprende un set di strumenti che permettono di alzare le difese in modo significativo. Il SOCaaS è un vero e proprio centro operativo di sicurezza per la tua azienda. Tramite strumenti all’avanguardia come SIEM e UEBA e grazie a un controllo granulare sulla rete monitorata, ogni tentativo di attacco viene individuato nel minor tempo possibile.
Ogni tipo di dati prodotto dai sistemi interconnessi nell’infrastruttura vengono raccolti, normalizzati e analizzati alla ricerca di anomalie. Ciò significa che non solo si verifica l’eventuale presenza di indicatori di compromissione noti (IOC), ma si monitorano anche operazioni e comportamenti sospetti degli utenti della struttura. In questo modo è possibile individuare anche tentativi di attacco normalmente molto difficili da individuare, come quelli che riguardano gli Zero-Day Attack, ma non solo. Infatti, tramite il servizio SOCaaS, è possibile individuare account compromessi, la violazione di dati protetti, attacchi lateral movement, phishing, etc.
La sicurezza del sistema IT di un’azienda è un argomento molto importante a cui noi teniamo molto. La compromissione o perdita di dati sensibili può costare parecchio sia da un punto di vista economico che di reputazione. Non trascurare questo aspetto importante per la sicurezza della tua impresa, contattaci per parlarci della tua situazione, saremo lieti di mostrarti come possiamo aiutarti.
Link utili:
Proteggere un sito in WordPress: pacchetto sicurezza
SIEM in informatica: la storia
SOAR: cos’e’ e come puo’ essere utile per le aziende
Shadow IT: una panoramica
Contattaci

Tempo di lettura: 5 min
Una definizione comune di data exfiltration (esfiltrazione dei dati) è il furto, la rimozione o lo spostamento non autorizzato di qualsiasi dato da un dispositivo. L’esfiltrazione dei dati implica tipicamente un cybercriminale che ruba dati da dispositivi personali o aziendali, come computer e telefoni cellulari, attraverso vari metodi di cyberattack.
L’incapacità di controllare la sicurezza delle informazioni può portare alla perdita di dati che può causare danni finanziari e di reputazione a un’organizzazione.
Come avviene un data exfiltration?
L’esfiltrazione dei dati avviene in due modi, attraverso attacchi da parte di estranei e attraverso minacce dall’interno. Entrambi sono rischi importanti, e le organizzazioni devono garantire che i loro dati siano protetti individuando e prevenendo l’esfiltrazione dei dati in ogni momento.
Un attacco dall’esterno dell’organizzazione si verifica quando un individuo si infiltra in una rete per rubare dati aziendali o credenziali degli utenti. Questo tipicamente è il risultato di un cyber-criminale che inserisce malware in un dispositivo connesso ad una rete aziendale.
Alcuni filoni di malware sono progettati per diffondersi nella rete di un’organizzazione e infiltrarsi in altri, cercando dati sensibili nel tentativo di estrazione. Altri tipi di malware rimangono dormienti su una rete per evitare di essere rilevati dai sistemi di sicurezza delle organizzazioni fino a quando i dati non vengono estratti in modo sovversivo o le informazioni non vengono gradualmente raccolte nel corso di un periodo di tempo.
Gli attacchi possono derivare da insider malintenzionati che rubano i dati della propria organizzazione e inviano documenti al proprio indirizzo email personale. Tipicamente i dati sono poi venduti a cyber criminali. Possono anche essere causati da un comportamento disattento dei dipendenti che vede i dati aziendali cadere nelle mani di cattivi attori.

Tipi di Esfiltrazione Dati
La data exfiltration avviene in vari modi e attraverso molteplici metodi di attacco, per lo più su Internet o su una rete aziendale.
Le tecniche che i cyber criminali usano per estrarre i dati dalle reti e dai sistemi delle organizzazioni stanno diventando sempre più sofisticate. Queste includono: connessioni anonime ai server, attacchi ai Domain Name System (DNS), Hypertext Transfer Protocol (HTTP) tunneling, indirizzi IP (Direct Internet Protocol), attacchi fileless ed esecuzione remota del codice.
Vediamo nel dettaglio alcune tecniche di attacco per sapere di cosa stiamo parlando nello specifico.
1. Ingegneria sociale e attacchi di phishing
Gli attacchi di ingegneria sociale e gli attacchi di phishing sono dei popolari vettori di attacco alla rete. Vengono usati per ingannare le vittime a scaricare malware e a inserire le credenziali del loro account.
Gli attacchi di phishing consistono in email progettate per sembrare legittime e spesso sembrano provenire da mittenti fidati. Solitamente contengono un allegato che inietta malware nel dispositivo. Altre tipologie contengono un link a un sito web che sembra legittimo ma che viene falsificato per rubare le credenziali di accesso inserite. Alcuni aggressori lanciano anche attacchi mirati di phishing per rubare dati da un utente specifico. Spesso i target sono i dirigenti di una società o individui noti.
Per difendersi da questo tipo di attacchi, la cosa migliore è riconoscerli immediatamente e cestinare le email. In un’azienda è possibile aiutare il processo tramite un percorso di formazione ad hoc, basato su dati raccolti internamente all’azienda tramite un test controllato. SOD offre anche questo servizio, se fossi interessato, maggiori informazioni le troverai nella pagina del servizio stesso.
2. Email in uscita
I cyber criminali controllano la posta elettronica per recuperare qualsiasi dato in uscita dai sistemi di posta elettronica delle organizzazioni. I dati recuperati possono essere calendari, database, immagini e documenti di pianificazione. Questi forniscono informazioni sensibili di valore o informazioni utili per il recupero di dati di valore.
3. Download su dispositivi non sicuri
Questo metodo di esfiltrazione dei dati è una forma comune di minaccia accidentale da parte di insider. L’attore dell’attacco accede alle informazioni aziendali sensibili sul suo dispositivo di fiducia, quindi trasferisce i dati su un dispositivo insicuro. Il dispositivo insicuro potrebbe essere un drive esterno o uno smartphone non protetto da soluzioni o politiche di sicurezza aziendali, il che lo mette a rischio di esfiltrazione dei dati.
Anche gli smartphone sono suscettibili all’esfiltrazione dei dati. I dispositivi Android sono vulnerabili all’installazione di malware che prendono controllo del telefono per scaricare applicazioni senza il consenso dell’utente.
4. Upload su dispositivi esterni
Questo tipo di esfiltrazione di dati proviene tipicamente da malintenzionati. L’aggressore interno può estrarre i dati scaricando le informazioni da un dispositivo sicuro, per poi caricarle su un dispositivo esterno (non sicuro). Questo dispositivo esterno potrebbe essere un laptop, uno smartphone, un tablet o una chiavetta USB.
5. Errore umano e comportamenti non sicuri nella rete
Il cloud fornisce agli utenti e alle aziende una moltitudine di vantaggi, ma insieme ci sono significativi rischi di esfiltrazione dei dati. Per esempio, quando un utente autorizzato accede ai servizi cloud in modo insicuro, consente a un malintenzionato una via di accesso da cui può recuperare dati e portarli fuori dalla rete sicura. Anche l’errore umano gioca un ruolo nell’estrazione di dati, perché la protezione appropriata potrebbe non essere più in atto.
Come individuare un attacco data exfiltration
A seconda del tipo di metodo di attacco utilizzato, il rilevamento dell’esfiltrazione dei dati può essere un compito difficile. I cyber criminali che utilizzano tecniche più difficili da rilevare possono essere scambiati per il normale traffico di rete. Questo significa che possono rimanere in agguato nelle reti inosservati per mesi e persino anni. L‘esfiltrazione dei dati spesso viene scoperta solo quando il danno è stato già causato.
Per rilevare la presenza di utenti a rischio, le organizzazioni devono usare strumenti che scoprano automaticamente e in tempo reale il traffico dannoso o insolito.
Uno strumento con questa capacità è il SOC (offerto anche come servizio: SOCaaS) che implementa un sistema di monitoraggio delle intrusioni, così come un sistema automatico che verifica del comportamento degli utenti. Quando il SOC rileva una possibile minaccia, invia un avviso ai team IT e di sicurezza dell’organizzazione che possono intervenire e verificare la situazione.
Il SOC funziona cercando e rilevando le anomalie che si discostano dalla regolare attività di rete. Quindi emettono un avviso o un rapporto in modo che gli amministratori e i team di sicurezza possano esaminare il caso.
Oltre a rilevare le minacce automatiche, le organizzazioni possono anche costruire l’intera sequenza di un evento così come si è verificato, inclusa la mappatura su una kill chain conosciuta o su un framework di attacco.
Utilizzare un SOCaaS, per un’azienda che gestisce dati sensibili, è un vantaggio sotto molti punti di vista. Essendo offerto come servizio, l’azienda non dovrà investire nel mettere in piedi un reparto specializzato IT per il proprio SOC, non dovrà assumere personale aggiuntivo e potrà contare su sistemi di sicurezza sempre aggiornati con operatori qualificati e sempre disponibili.
Per maggiori informazioni, non esitare a contattarci.
Link utili:
Testa la tua azienda con attacchi di phishing etico
SIEM in informatica: la storia
SOAR: cos’e’ e come puo’ essere utile per le aziende
Insider threat: individuarle e combatterle






Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
ICON_PLACEHOLDEREstimated reading time: 6 minutes Out of nowhere, someone replies to an email conversation dated… https://t.co/kXIx3FPWfm
-
SecureOnlineDesktop
L'hacking etico e la salvaguardia del patrimonio aziendale https://t.co/SLncmaZ1ci
-
SecureOnlineDesktop
ICON_PLACEHOLDERTempo di lettura: 5 minutes Le ransomware gang hanno preso di mira le aziende negli ultimi tempi,… https://t.co/3hF62deo6S
-
SecureOnlineDesktop
ICON_PLACEHOLDEREstimated reading time: 10 minutes Ingegneria sociale è il termine usato per una vasta gamma di a… https://t.co/gj1hMDdfjn
-
SecureOnlineDesktop
Enterprise e piccole aziende, l'importanza di un Next Generation SIEM https://t.co/qT4PxR13Li
Newsletter
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications