Proteggi l’azienda dagli attacchi di phishing

Tratto da Blog Veeam

Autore: Gil Vega – 21/04/2022

Lo sapevi che oltre il 90% di tutti gli attacchi e delle violazioni di dati andati a segno iniziano con una truffa di tipo phishing? Sai cos’è il phishing e come proteggere la tua azienda da questo tipo di attacchi?

Le truffe di phishing sono tentativi da parte dei criminali informatici di indurre gli utenti a eseguire un qualche tipo di azione come fare clic su un link, inserire credenziali, aprire un allegato o persino apportare modifiche al processo di un’azienda. Queste truffe sono più comunemente inviate come e-mail dannose, ma possono anche assumere altre forme. Possono celare un ransomware, causare l’installazione di software dannoso (virus, trojan, worm), il furto di credenziali, una sottrazione di denaro, la perdita di dati o persino il furto di identità. I phisher fanno leva su comportamenti comuni, come fidarsi di chi si conosce, per indurre le persone a fare qualcosa che normalmente non farebbero.

Metti a punto le difese

Se un phishing ha lo scopo di ingannarti, come puoi proteggere la forza lavoro? Sembra un bersaglio mobile, e in effetti lo è. Dato che i phisher oggi cambiano le proprie tattiche per ingannare le persone, è più importante che mai prepararsi in modo da poter essere sempre un passo avanti.

Puoi prepararti potenziando le difese tecniche e considerando la forza lavoro come un’estensione del team di sicurezza. Avere filtri antispam adeguati, un gateway e-mail sicuro e utilizzare protocolli di autenticazione e-mail standard (come DMARC, DKIM o SPF) e altre tecnologie sono tutti elementi chiave per impedire al phishing di entrare nelle caselle di posta, ma è inevitabile che prima o poi raggiunga qualcuno dei tuoi dipendenti. Ed è sufficiente un solo clic di un’unica persona per creare uno scompiglio tale da richiedere ai team di sicurezza di fare gli straordinari.

Non preferiresti che i dipendenti fossero pronti a riconoscere e segnalare un’e-mail di phishing invece di fare clic su di essa? Io sicuramente sì. Ecco perché metto al primo posto la formazione continua sulla sensibilizzazione alla sicurezza. Istruisci i dipendenti su cosa sono le truffe di phishing e su come identificarle. Se possibile, metti alla prova la loro capacità di identificarle e premiali quando le individuano. Incoraggia i dipendenti a segnalare e-mail sospette al team di sicurezza, e questa indicazione è ancora più efficace se hai predisposto un modo semplice per farlo. Non lasciare che il phishing o la sicurezza diventino un argomento trattato una volta all’anno, la conversazione deve essere continua.

Anatomia di un attacco di phishing

Una volta che ti sei impegnato a preparare la forza lavoro, devi capire chi devi affrontare. Come funziona il phishing e cosa cercano i phisher?

Il concetto alla base del phishing è semplice e non è una novità. Ricordi in passato di aver ricevuto una telefonata che ti comunicava di aver vinto un concorso, a cui non ricordavi di aver partecipato? Eri così entusiasta che hai comunicato al chiamante tutte le informazioni necessarie per ottenere il premio. Lo stesso concetto si applica oggi al phishing, solo che ora avviene tramite e-mail o un altro canale di comunicazione digitale.

I phisher non sono altro che degli “artisti della truffa”: sfruttano comportamenti umani, come fidarsi delle persone che conoscono, per indurle a fare qualcosa che normalmente non farebbero.

Didascalia grafica: Email inviata – Il destinatario cade nella trappola – Il destinatario compie l’azione attesa –
L’informazione viene sottratta o il computer è infettato

Ad esempio, un phisher invia un’e-mail a un destinatario. All’interno di questa e-mail sono disseminate delle esche per cercare di convincere il destinatario a intraprendere qualsiasi azione venga richiesta. Le e-mail di solito contengono collegamenti ipertestuali o allegati, ma non sempre. I collegamenti ipertestuali in genere puntano a falsi siti Web che richiedono determinate informazioni; alcuni possono anche impersonare aziende legittime. In genere, gli allegati contengono un qualche tipo di codice dannoso per infettare il computer o la rete del destinatario. Le e-mail che non lo contengono di solito chiedono al destinatario di rispondere o di chiamare un numero per condividere alcune informazioni di cui il mittente ha bisogno.

Se il destinatario cade in trappola, spesso non se ne rende conto. Pensa che sia tutto legittimo e che potrebbe anche accadere qualcosa di positivo, ma il phisher ha rubato le informazioni o il denaro o magari ha infettato il computer.

Diversi tipi di attacchi di phishing

Non tutti i phishing sono uguali. Esistono diversi tipi di phishing e devi preparare tutti i dipendenti a riconoscerli. Ecco alcuni dei più comuni:

Spear phishing

Lo spear phishing è una truffa mirata, destinata a un pubblico specifico. Non ricevi l’e-mail per caso. Il phisher ha condotto ricerche specifiche per trovarti e inviarti un messaggio che avrebbe senso per solo per te, forse perché fai parte del dipartimento delle risorse umane della tua azienda o magari hai recentemente pubblicato online la notizia della tua promozione.

Whaling

Il whaling è un tipo di spear phishing che si rivolge direttamente ai dirigenti di un’azienda, i “pesci grossi”. In genere, le informazioni sul team esecutivo di un’azienda sono pubbliche e facilmente reperibili sul relativo sito Web, rendendo queste persone dei facili bersagli. Inoltre, tendono ad avere accesso a informazioni sensibili e a prendere decisioni finanziarie, e questi aspetti li rendono un obiettivo redditizio per i phisher.

BEC e CEO Fraud, letteralmente “la truffa del CEO”

Il Business Email Compromise (BEC) e la CEO Fraud sono un’altra forma di spear phishing che cerca di impersonare la tua azienda o il suo CEO. Sapendo che le persone si fidano rapidamente di coloro che ricoprono posizioni di autorità, i phisher impersoneranno individui in grado di ottenere l’adempimento di una richiesta. I domini e-mail aziendali sono facili da falsificare e i loghi ufficiali sono reperibili online. Anche i nomi delle persone che lavorano nella tua azienda sono facilmente accessibili attraverso molti siti di social media. Questo rende facile per i phisher concentrarsi sul BEC.

Vishing

Il vishing è il phishing telefonico (sta per “phishing vocale”). Si tratta essenzialmente delle telefonate truffa che ricevi oggi e che probabilmente ricevevi anche prima di avere un computer in casa. Queste truffe tradizionali hanno successo perché ascoltare la voce di una persona aiuta a costruire una relazione con il chiamante. Questo rende più difficile per te non soddisfare le sue richieste.

Smishing / SMShing

Lo smishing, noto anche come SMShing, è costituito da messaggi di testo dannosi (sta per “SMS phishing”). Si tratta di versioni più brevi delle più tradizionali truffe di phishing e di solito contengono un collegamento ipertestuale abbreviato con un messaggio sintetico e mirato di sollecitazione a un’azione.

Consapevolezza del phishing: come si riconosce il phishing?

Una delle prime domande che viene spontaneo porre è questa: come faccio a sapere se qualcosa è un phishing? Potremmo addentrarci nelle modalità tecniche per valutare le intestazioni delle e-mail, tuttavia per gli utenti finali generici è necessaria una formazione su alcuni segnali di pericolo chiave. Ma, ancora più importante dei segnali di pericolo, è necessario ricordare loro che in caso di dubbi, dovrebbero seguire il protocollo e segnalare l’e-mail al team di sicurezza per ulteriori indagini, se sospettano un phishing. Ricorda: una buona dose di scetticismo non guasta mai.

Segnali di phishing

Quali sono i segnali di pericolo? Ce ne sono molti e possono cambiare con l’evoluzione delle tattiche da parte dei phisher. In genere, se la forza lavoro nota una combinazione di uno qualsiasi di questi segnali di pericolo, dovrebbe procedere con estrema cautela:

Saluti o firme generici 
Informazioni sul mittente o sull’azienda mancanti 
Immagini pixelate o sfocate 
Collegamenti a siti Web senza senso 
Errori ortografici o grammaticali 
Minacce o richieste urgenti 
Offerte troppo belle per essere vere 
Richieste di informazioni personali o di trasferimento di fondi, di spostamento di denaro o di modifica delle informazioni sui depositi diretti
E-mail o allegati inattesi 
Oggetto e messaggio non corrispondenti 
Nessuna comunicazione di supporto

Non sei sicuro se un’e-mail è reale o di phishing? Segui questi passaggi:

Metti in pratica il protocollo. Cerca online informazioni sul presunto mittente. Puoi anche cercare l’e-mail esatta che hai ricevuto e vedere se altri l’hanno già etichettata come truffa.
Conferma le richieste utilizzando un secondo metodo di verifica. Non inviare mai un’e-mail al mittente rispondendo all’e-mail originale. Utilizza un metodo di comunicazione separato, come un numero di telefono o un indirizzo e-mail da una fattura recente, per contattare il mittente e confermare la richiesta.
Passa il mouse sui collegamenti nell’e-mail e verifica se l’indirizzo del collegamento ipertestuale corrisponde al dominio del sito web legittimo dell’azienda. Digita il collegamento ipertestuale nel browser se non sei sicuro; non fare clic sul collegamento stesso.
Guarda il nome del file degli allegati. Valuta se erano previsti o se ne avevi bisogno. Non aprire mai un allegato inatteso o uno che termina con un’estensione che non riconosci (ad es. nomefile.exe quando afferma che è un documento Word).
Usa il buonsenso. In molti casi, l’uso del buon senso può aiutarti a identificare se un’e-mail è legittima o se può essere di phishing.

Vieni indirizzato verso un sito web e non sei sicuro che sia legittimo? Segui questi suggerimenti:

Usa una password falsa. Verifica se riconosce che la password inviata non è corretta (se il sito è falso e tenta di raccogliere password, non saprà che la password inviata non era corretta). 
Verifica l’indirizzo Web. Il nome dell’azienda nell’URL è scritto correttamente? L’indirizzo inizia con https invece di http? Solo perché inizia con https non significa che sia legittimo, significa solo che è una connessione sicura. Ma se non inizia con https, dovrebbe almeno essere un segnale d’avvertimento per non inserire alcuna informazione. Allo stesso modo, vedere un lucchetto chiuso o una chiave nella barra degli indirizzi non significa sempre che il sito è legittimo. Ma se non ne vedi, non inserire alcuna informazione. 
Fai caso ai pop-up. Se vai su un sito e sei assalito dagli annunci pop-up, sii prudente.  
Presta attenzione al branding. Il branding, ovvero l’aspetto generale del sito, corrisponde alle tue aspettative sull’azienda che stai cercando di visitare?

Cosa dovresti fare se la tua organizzazione è vittima un attacco di phishing?

Ricorda, le truffe di phishing sono progettate per ingannarti. Potresti aver implementato le migliori contromisure anti-phishing e i programmi di sensibilizzazione più completi, ma un utente potrebbe comunque essere vittima di una truffa di phishing. Succede. La cosa più importante è essere preparati a rispondere.

Considera questi passaggi di ripristino e collabora con i team di sicurezza informatica per creare una risposta appropriata e un piano di ripristino per la tua organizzazione:

Contieni la potenziale esposizione

Se un utente interagisce con un’e-mail di phishing dannosa, prova a isolare la macchina e assicurati che il team informatico ottenga l’accesso per indagare.

Cambia le password

Forza l’utente a cambiare la sua password. Se vengono utilizzate diverse password, si consiglia di cambiarle tutte poiché potresti non conoscere l’entità di ciò che è stato compromesso.

Segui il tuo processo di risposta agli incidenti

Un attacco di phishing è un tipo di incidente di sicurezza informatica. Segui i processi di risposta agli incidenti, che dovrebbero includere dei passaggi per identificare l’e-mail di phishing, individuarla nelle caselle di posta di altri utenti, rimuoverla da tali caselle di posta, indagare l’impatto e decidere i passi successivi di conseguenza.

Presta attenzione al malware

Utilizza gli strumenti di monitoraggio per scansionare il computer dell’utente e la rete alla ricerca di malware (software dannoso come virus, trojan o worm), attività sospette o anomalie.

Protezione personale

A seconda della natura dell’attacco di phishing, se ha divulgato informazioni personali, l’utente potrebbe voler impostare avvisi di frode presso gli enti di monitoraggio del credito appropriati. Se l’attacco di phishing ha falsificato o impersonato un’azienda reale, condividi tali informazioni con l’altra società in modo che possa avvisare anche gli altri utenti.

Dedica il tempo necessario alla formazione

Come per qualsiasi attacco informatico, la lezione appresa è spesso più preziosa dei dati che il criminale informatico ha sottratto. Mantieni un elenco delle lezioni apprese e valuta i processi e i controlli esistenti per determinare se potresti fare qualcosa di diverso. E aumenta ancora di più la consapevolezza del phishing negli utenti.

Le truffe di phishing sono il principale vettore di attacco alla sicurezza informatica dei criminali informatici che si affidano alla psicologia umana per convincere un destinatario a intraprendere un qualche tipo di azione. Anticipa questo tentativo mettendo a punto le tue difese e preparando i dipendenti a individuare il phishing.

LibraESVA EMAIL Archiver 21.08

Tratto da www.libraesva.com

Libraesva Email Archiver 21.08 è ora disponibile.

Tutte le funzionalità e i miglioramenti sono inclusi in tutte le versioni di Libraesva Email Archiver, se non diversamente specificato.

Occorre approvare l’aggiornamento direttamente nel seguente modo: Email Archiver > Impostazioni > Sistema > Generale, poi, approvare l’aggiornamento.

Di seguito è riportata una panoramica delle modifiche apportate alla versione 21.08 di Libraesva Email Archiver:

Licenza della mailbox

Supporto completo per le licenze delle mailbox. Se Archiver è in esecuzione con una licenza basata sull’archiviazione, sono disponibili limiti di tenant di archiviazione. Quando Archiver è in esecuzione con una licenza basata su mailbox, sono disponibili limiti per i tenant della mailbox.

Motore di indicizzazione aggiornato

Il motore di indicizzazione è stato aggiornato per fornire migliori prestazioni e per gestire al meglio la crescita dell’indice.

Statistiche connettore per utente

Nella pagina dei connettori è ora possibile controllare le statistiche sugli utenti sincronizzati da ciascun connettore. Per ogni utente vengono fornite informazioni utili: l’indirizzo email, lo stato della sincronizzazione (in esecuzione, completata, con errori) e l’ora dell’ultimo aggiornamento. Per ogni utente è inoltre possibile visualizzare statistiche più avanzate sul numero di mail importate, spostate, cancellate o scadute.

Statistiche di inserimento nel journal e notifica di inserimento nel journal inattivo

L’Archiver tiene traccia del timestamp dell’ultima email importata per ciascuno dei listener configurati. Queste informazioni sono mostrate nella pagina dei listener. Quando si configura un listener le ore di inattività consentite vengono utilizzate per attivare una notifica se l’Archiver rileva che nessuna posta è stata importata da un listener specifico nel numero configurato dell’ultima ora.

Report del connettore

Nella sezione Report è ora possibile generare un nuovo report del connettore. Questo report mostra l’elenco degli utenti sincronizzati dal connettore e include alcuni contatori: le nuove email importate dal connettore, le email per le quali l’Archiver ha registrato una variazione rispetto alla posizione nella struttura delle cartelle, le email cancellate dall’utente nella casella di posta e i messaggi di posta elettronica eliminati nella casella di posta da Archiver a causa della configurazione di pulizia del connettore. Questi contatori possono essere filtrati per data.

Cloud Archiver: configura automaticamente i volumi

I Cloud Archiver sono ora distribuiti con una configurazione interna sui volumi. Quando si crea un nuovo tenant, è disponibile un’opzione Crea e configura automaticamente Libraesva Cloud Volumes. Utilizzando questa opzione, Libraesva Email Archiver configurerà automaticamente i volumi di dati e i volumi della struttura delle cartelle per il nuovo tenant. Sarà comunque possibile modificare la configurazione dei volumi in qualsiasi momento.

Maggiori dettagli disponibili qui.

Documenti Google e il phishing delle credenziali di accesso a Office 365

Tratto da Blog Kaspersky

Autore: Roman Dedenok – 07/05/2021

I phisher utilizzano i servizi online di Google per impossessarsi degli account dei servizi online di Microsoft

Dall’inizio della pandemia provocata dal COVID-19, molte aziende sono passate a svolgere gran parte del proprio lavoro online e hanno imparato a utilizzare nuovi strumenti di collaborazione. In particolare, assistiamo a un uso molto più esteso di Microsoft Office 365 e, di conseguenza, abbiamo osservato numerosi tentativi di phishing che prendono di mira gli account di questa suite di servizi. I truffatori sono ricorsi a svariati trucchi per indurre gli utenti aziendali a digitare la propria password su siti somiglianti in tutto e per tutto all’originale Microsoft. Ecco un altro stratagemma che sfrutta i servizi Google.

E-mail di phishing

Come la maggior parte delle tecniche di phishing, anche in questo caso tutto inizia con un’e-mail (e un link) come questi:

Una e-mail di phishing e un link a Documenti Google

Il messaggio poco chiaro da un mittente sconosciuto riguarda un qualche tipo di versamento e include un link che ha a che fare con un documento chiamato “Deposit Advice”. Nell’e-mail viene chiesto al destinatario di controllare il tipo di deposito o di confermare la somma. Ora, anche se i sistemi di sicurezza avvertono i destinatari che l’e-mail proviene da un mittente esterno all’azienda, il link “al file” è comunque valido perché si collega a un servizio online legittimo di Google, non a un sito di phishing.

Sito di phishing

Il link porta a un indirizzo che sembra essere la pagina del servizio aziendale di OneDrive. Gli utenti possono anche vedere che il documento è disponibile per qualsiasi utente aziendale (probabilmente i cybercriminali hanno optato per questa visualizzazione nella speranza che qualcuno inoltri il link a un contabile della propria azienda).

Una presentazione in Documenti Google che assomiglia all'interfaccia di OneDrive

Tuttavia, la schermata a cui accedono gli utenti non è una vera pagina web: si tratta di una diapositiva di una presentazione in Documenti Google che si apre automaticamente in modalità di visualizzazione. Il pulsante Apri può nascondere qualsiasi link. In questo caso, il link si collega a una pagina di phishing che si spaccia come pagina di accesso a Office 365.

Finta pagina di accesso

Campanelli d’allarme

Tanto per cominciare, l’e-mail è strana. Non dovreste fidarvi, e tantomeno inoltrare, un messaggio la cui fonte e scopo non sono chiari. In questo caso, per esempio, se non siete in attesa di un versamento, forse non dovreste intraprendere alcuna azione che lo riguardi.

Altre prove:

Le comunicazioni da fonti esterne non tendono a collegarsi a documenti interni di un’azienda;
I veri documenti finanziari sono configurati affinché possano essere aperti solo da determinate persone, non da chiunque all’interno di un’azienda;
Il nome del file nell’e-mail non corrisponde a quello presumibilmente salvato su OneDrive;
Documenti Google non ospita le pagine di Microsoft OneDrive (date uno sguardo alla barra degli indirizzi del browser);
OneDrive non è Outlook e un pulsante Apri su OneDrive non dovrebbe portare a una pagina di accesso ad Outlook;
Le pagine di accesso ad Outlook non risiedono su siti Amazon (un altro indizio sulla barra degli indirizzi del browser da analizzare).

Ogni singola incongruenza dovrebbe attirare la vostra attenzione, e tutte insieme non lasciano spazio a dubbi: le vostre credenziali di Office 365 non sono al sicuro.

Come proteggervi

Uno dei punti chiave della sicurezza digitale consiste nel prestare attenzione ai dettagli e nell’essere a conoscenza delle tecniche di phishing. Inoltre, vi consigliamo vivamente di formare il personale riguardo le attuali minacce informatiche.

Oltre alla formazione del personale, fate uso di strumenti di analisi dei link a livello aziendale in generale e delle workstation.

Email security: cosa abbiamo imparato dopo un anno di pandemia

Tratto da www.cybersecurity360.it

Autore: Rodolfo Saccani – 05/05/2021

https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2021/05/Email-security-2020.jpg

Durante l’anno della pandemia di Covid-19 il concetto di email security ha assunto un ruolo di primo piano: le nostre modalità di comunicazione sono cambiate (basti pensare al lavoro da remoto), i contenuti delle comunicazioni hanno visto ondate di argomenti quasi esclusivamente legati all’evento pandemico (soprattutto in concomitanza con i principali provvedimenti restrittivi), gli aspetti legati alla sicurezza, alla privacy, agli attacchi di phishing e alla distribuzione di malware sono stati pesantemente condizionati dalla pandemia.

Se vogliamo, l’evento pandemico ha ancora più messo in evidenza la rilevanza del fattore umano nella sicurezza delle comunicazioni elettroniche.

Email security: il fenomeno phishing durante la pandemia

Ricordiamo che una campagna di phishing efficace è caratterizzata da tre elementi principali: il presentarsi come una fonte autorevole, la capacità di catturare l’attenzione della vittima, quella di instillare un senso di urgenza al fine di indurre a compiere un’azione dannosa come aprire un allegato malevolo, cliccare su un link, fornire credenziali o informazioni confidenziali.

Autorevolezza, cattura dell’attenzione, senso di urgenza, call-to-action: se ci facciamo caso, parliamo esclusivamente di leve che agiscono su aspetti affatto tecnici ma legati ai comportamenti umani.

Non è difficile immaginare come un evento eccezionale quale la pandemia con tutto il suo carico emotivo, il flusso continuo di nuove informazioni, il susseguirsi di provvedimenti normativi, i cambiamenti delle modalità di lavoro e delle abitudini di vita, abbia creato un terreno molto fertile per gli autori di campagne di phishing.

Il seguente grafico mostra l’andamento nel 2020 delle mail legittime legate alla pandemia di COVID-19.

Andamento delle mail legittime a tema COVID-19

A inizio anno abbiamo una progressiva crescita di comunicazioni che perdura circa un mese e mezzo e che inizia a decrescere solo dopo il primo lockdown. Segue un grande picco successivo ai primi allentamenti del lockdown.

In questo periodo si susseguono incessantemente provvedimenti normativi e disposizioni organizzative. È del 13 maggio la “legge rilancio” mentre il 15 maggio un decreto delinea il quadro generale all’interno del quale gli spostamenti verranno limitati da ordinanze statali, regionali e comunali.

Seguono innumerevoli ordinanze, interpretazioni e chiarimenti oltre a decreti che progressivamente vanno ad autorizzare la ripresa di ulteriori attività. A tutto questo si affiancano informazioni e aggiornamenti sull’andamento della pandemia, sullo stato del sistema sanitario, sugli studi clinici che contribuiscono ad una crescente conoscenza del fenomeno.

Indicativamente, in questo periodo il 10% delle nostre mailbox conteneva mail a tema COVID-19. Ricordo che stiamo ancora parlando di comunicazioni legittime, ovvero non malevole, che esplicitamente menzionano la pandemia. È un indice dell’attenzione che il tema ha avuto nel corso del tempo.

Quello che segue è invece l’andamento delle mail indesiderate a tema COVID-19 che sono state intercettate dai sistemi di filtraggio della posta elettronica. Oltre a mail di spam vero e proprio relative a prodotti e servizi (mascherine, gel, termoscanner, guanti, test antigenici, tamponi, improbabili prodotti anti-Covid, servizi finanziari per fronteggiare l’emergenza, eccetera) questo flusso contiene anche mail di phishing e distribuzione di malware che sfruttano l’alto livello di attenzione legato alla pandemia.

Andamento delle mail indesiderate a tema COVID-19

L’andamento delle mail indesiderate è più regolare: nel mese di marzo c’è stata una rapida crescita che poi si è più o meno stabilizzata. Da agosto in poi c’è stata una progressiva lenta decrescita. Questo grafico ci dice che il tema è stato rapidamente adottato da chi intendeva abusarne ed è stato progressivamente abbandonato solo quando ha iniziato a perdere di efficacia.

Email security: le tattiche usate negli attacchi phishing

Quali tattiche sono state utilizzate nelle mail di phishing? Tra le più aggressive abbiamo notato campagne massive di finte mail di licenziamento. La mail, che si spaccia per una comunicazione proveniente dal dipartimento risorse umane, comunica al malcapitato il suo licenziamento in tronco giustificato dall’emergenza COVID. L’esempio che segue, nonostante sia scritto in inglese, è stato inviato a numerosi dipendenti italiani di aziende multinazionali.

Campagna di phishing, finto licenziamento causa COVID

L’allegato di queste mail è un file html che punta a carpire le credenziali dell’utente.

Allegato malevolo per carpire credenziali

Naturalmente anche i tentativi di truffa massivi e di bassa qualità sono stati prontamente declinati a tema COVID. Vincite improvvise, donatori inattesi e le classiche truffe “alla nigeriana” hanno adottato le parole chiave legate alla pandemia nel tentativo di guadagnare maggiore visibilità e credibilità.

Truffa a tema COVID

Numerose e più subdole le mail che, spacciandosi per organismi istituzionali, come ad esempio l’Organizzazione Mondiale della Sanità, avvisavano di presunti allarmi per la presenza di cluster di contagio nell’area.

Campagna di phishing che si spaccia per OMS

Altrettanto diffuse le campagne di phishing legate alla ripresa delle attività produttive con finte email del MEF o di altri organismi istituzionali veicolanti malware.

Campagna di phishing che si spaccia per il MEF

L’utilizzo di nomi e loghi istituzionali conferisce una percezione di autorevolezza che abbassa le difese, in particolare in un momento in cui la paura e l’emotività sono ancora alte.

Con l’arrivo dell’app Immuni le campagne di phishing hanno incominciato a sfruttare questo nuovo filone. La seguente immagine è tratta da un sito di phishing che riproduce una finta pagina del Play Store di Google:

Finta app Immuni su un finto Google Play Store

L’anno si è chiuso con l’arrivo del cashback e non potevano mancare campagne di phishing a tema cashback o SPID.

Phishing sul cashback di Stato

Finto sito di Poste Italiane

Anche nelle campagne di email malevole vige una sorta di meccanismo di selezione naturale. Le tecniche che si dimostrano più efficaci vengono copiate si diffondono rapidamente a discapito di quelle meno efficaci.

La rapida diffusione delle campagne di phishing a tema COVID-19, in tutte le sue declinazioni, ci ha fornito una misura di quanto sia rilevante il ruolo della componente emotiva e di quanto, a parità di condizioni tecniche, sia il fattore umano a fare la differenza.

L’andamento nel corso dell’anno

Il seguente grafico mostra la percentuale di email intercettate dai sistemi di email security sul totale del traffico. Da settembre in avanti la media cala ma si tratta di oscillazioni frequenti e dipendenti da una tale quantità di variabili da non rappresentare in sé un trend particolarmente significativo.

Andamento dello spam nel 2020

Malware allegato a messaggi di posta

Già lo scorso anno avevamo rilevato la progressiva perdita di efficacia di sistemi di protezione reattivi, ovvero progettati per intercettare minacce note. Questo approccio (tendenzialmente basato su ricerca di pattern noti) è particolarmente inefficace in presenza di malware polimorfico e nuove varianti, le quali si trovano di fronte a finestre di opportunità di molte ore all’interno delle quali possono transitare senza essere intercettate.

L’approccio proattivo basato sulla rimozione delle istruzioni che abilitano alla realizzazione di un dropper (il codice che installa il malware sul computer della vittima) è l’unico che offre una copertura anche contro nuove varianti e malware polimorfico.

Il seguente grafico mostra l’andamento nel corso dell’anno dei sistemi di sandboxing di nuova generazione da noi monitorati. In rosso i file che sono stati bloccati perché riconosciuti come malevoli. In giallo i file che sono stati neutralizzati grazie all’approccio poc’anzi descritto e che non sono stati intercettati dai sistemi reattivi basati su pattern e signature. In verde i file contenenti codice attivo legittimo (come le macro legittime di un file Excel).

Allegati trattati da QuickSand

Nel corso dell’anno abbiamo osservato l’utilizzo di nuove tecniche di realizzazione di dropper.

In gennaio ha iniziato a circolare del malware basato su macro in documenti Office che, al fine di eseguire codice senza essere rilevato come malevolo, usava alcune callback VBA (Visual Basic for Applications) che vengono invocate prima di attivare una connessione. Il trucco consiste nell’inserire del contenuto remoto nel documento al fine di indurre Office ad invocare queste macro (il cui nome termina per _onConnecting). Attraverso queste callback è possibile eseguire codice senza invocarlo apertamente, consentendo di svicolare attraverso alcuni sistemi di protezione.

In maggio abbiamo visto un utilizzo smodato (come sempre, una tecnica efficace viene rapidamente copiata da altri attori) delle macro-formule di Office. Si tratta di una vecchissima funzionalità che precede l’introduzione del VBA e di cui quasi nessuno si ricordava più. Un po’ come era successo un paio di anni prima con il DDE.

In termini di nuove modalità di attacco degne di menzione, questo è tutto. Si conferma la tendenza prevalente ad affinare le tecniche di attacco e ad aggirare i sistemi di protezione ricorrendo al polimorfismo e ad un grande numero di nuove varianti.

Attacchi attraverso link

È più facile riuscire a consegnare una mail con un link piuttosto che una mail con allegato un malware, questo è il motivo per cui molti attacchi vengono condotti in questo modo.

I link spesso puntano a siti legittimi che sono stati appena compromessi e che quindi hanno una buona reputazione.

Qual è la percentuale di email che contiene almeno un link? Questo grafico mostra questo valore nel corso del 2020.

Percentuale di email contenenti almeno un link

Naturalmente tutte le mail che contengono un link ad un sito noto come pericoloso vengono intercettate e bloccate ma, come detto prima, in molti casi si tratta di un link ad un sito legittimo appena compromesso o comunque di un sito non ancora noto come pericoloso.

Questo è il motivo per cui è importante che i link vengano verificati anche al momento del click, con un sistema di sandboxing dei link che, visitando prima dell’utente la pagina, blocchi la visita in caso di pericolo.

Quanti sono i link che vengono intercettati da questa ultima rete di protezione? Ce lo dice il grafico che segue.

Percentuale di clic intercettati da UrlSand

Come vediamo si tratta di numeri piccoli, il picco non arriva allo 0,9%. Se in percentuale il valore sembra piccolo, parliamo comunque di diversi milioni di click ciascuno dei quali avrebbe potuto portare ad una compromissione.

Dove sono localizzati i siti a cui puntano questi link malevoli? La seguente mappa ci indica la distribuzione.

Distribuzione geografica siti di malware

Questa è di fatto la distribuzione dei siti che vengono utilizzati per la distribuzione di malware e phishing indirizzati verso utenti italiani.

Conclusioni

Ad oggi le mail malevole sono divenute praticamente indistinguibili dal punto di vista tecnico dalle mail legittime.

È ampiamente diffuso l’abuso di account di posta legittimi (o di servizi commerciali di invio massivo di messaggi di marketing) per l’invio di malware e phishing. Questo rende le mail malevole tecnicamente identiche a quelle legittime. La differenza la fa il contenuto.

D’altro canto intercettare una mail malevola in base alle sue caratteristiche tecniche è più facile che farlo in base al suo contenuto. Estrapolare concetti come “attrarre l’attenzione”, “spacciarsi per una fonte autorevole”, “fare leva sull’emotività o sull’impulsività” è una sfida tecnica assai più complessa rispetto al basarsi su elementi tecnici ben più definiti. Questo rende l’email security una disciplina che diviene sempre più specialistica e complessa.

Intelligenza artificiale e machine learning sono concetti generici, tutt’altro che nuovi. Sono in uso da decenni in questo settore ma hanno visto una grande evoluzione negli ultimi anni proprio per via di questa tendenza che il settore della email security ha preso: una progressiva riduzione dei “segnali” di ordine tecnico utili a discriminare traffico legittimo da traffico non legittimo e una conseguente crescente rilevanza di “segnali” legati al contenuto.

L’ultima evoluzione riguarda un particolare aspetto del machine learning che è legato alla mappatura delle relazioni tra corrispondenti di posta elettronica. Con l’obiettivo di ricostruire qualcosa di più simile possibile al concetto di “fiducia” che nelle conversazioni mediate va perso.

In una conversazione in presenza il volto, il tono della voce, la gestualità veicolano una mole di informazioni enorme. È principalmente su queste informazioni, oltre che sulla storia della relazione, che inconsciamente stabiliamo il livello di fiducia nell’interlocutore.

Come ricostruire qualcosa di simile al concetto di fiducia in una comunicazione elettronica mediata come quella attraverso la posta elettronica?

Tenendo traccia dello storia e dei pattern di comunicazione tra individui un algoritmo può cercare di stimare l’affinità tra due interlocutori stimando il livello di fiducia. L’analisi dei pattern di comunicazione consente anche di rilevare anomalie e identificare abusi (ad esempio un account takeover) o tentativi di spoofing.

Questa è la prossima frontiera della email security che i vari vendor declineranno, come sempre, ciascuno a modo suo con nomi diversi (“Adaptive Trust Engine” nel caso di Libraesva) e con risultati più o meno efficaci perché non è lo strumento in sé ma il modo in cui lo si utilizza a determinarne l’efficacia.

LibraESVA EMAIL Archiver 21.03

Tratto da www.libraesva.com

Libraesva Email Archiver 21.03 sta per essere rilasciato.

Le funzionalità e i miglioramenti sono inclusi in tutte le versioni di Libraesva Email Archiver, se non diversamente specificato.

Di seguito è riportata una panoramica delle modifiche apportate con la versione di Libraesva Email Archiver 21.03.

Reporting

I report su ogni tenant saranno disponibili in formato Excel.

Sarà possibile visualizzare una panoramica completa dell’utilizzo di un tenant in termini di numero di email e spazio in uso.

I grafici possono essere utilizzati per identificare e prevedere la crescita futura dei tenant; questo consentirà di pianificare le risorse in modo appropriato.

Connettori

Connettore Zimbra nativo.

Possibilità di archiviare direttamente le e-mail, senza bisogno di plug-in.

Accesso delegato MS 365

Possibilità di delegare un utente di Microsoft 365 ad accedere a una o più caselle postali a cui non è assegnato.

Caso d’uso: accesso alle email di un altro utente in caso di ferie annuali o caselle di posta condivise.

La sicurezza completa e la conformità al GDPR sono comunque garantite utilizzando questo metodo, senza la necessità di condividere le credenziali.

Tutte le attività dei delegati verranno registrate e monitorate utilizzando l’Audit Log di Libraesva Email Archiver.

Journaling

Possibilità di attribuire il tenant corretto per tutte le e-mail di inserimento nel journal provenienti dallo stesso IP.

Sarà possibile farlo utilizzando l’associazione di “Source IP” + “Sender Domain”.

Per ulteriori informazioni: dircom@argonavis.it