Come difendersi dal phishing “ad azione ritardata”

I link di phishing nelle e-mail ai dipendenti si attivano spesso dopo la scansione iniziale. Ma possono ancora essere individuati e bisogna farlo.
 

Il phishing è da tempo un importante vettore di attacco alle reti aziendali. Non c’è da stupirsi, quindi, che tutti e tutto, dai provider dei servizi ai gateway di posta elettronica e persino i browser, utilizzino i filtri anti-phishing e si avvalgano della scansione degli indirizzi dannosi. Di conseguenza, i cybercriminali inventano costantemente nuovi metodi per aggirare questi sistemi di difesa e perfezionano quelli già collaudati. Uno di questi è il cosiddetto delayed phishing (che potremmo tradurre con “phishing ad azione ritardata”).

Cos’è il delayed phishing?

Il phishing ad azione ritardata è un tentativo di portare la vittima su un sito dannoso o falso utilizzando una tecnica nota come Post-Delivery Weaponized URL. Come suggerisce il nome, con questa tecnica viene sostituito il contenuto online con una versione dannosa dopo la consegna di un’e-mail che reindirizza su questo contenuto. In altre parole, la potenziale vittima riceve un’e-mail con un link che non conduce da nessuna parte o verso una risorsa legittima che potrebbe essere già compromessa, ma che in quel momento non ha alcun contenuto dannoso. Di conseguenza, il messaggio supera qualsiasi filtro. Gli algoritmi di protezione trovano l’URL nel testo, scansionano il sito collegato, non vedono nulla di pericoloso e lasciano passare il messaggio.

Ad un certo punto, dopo la consegna (sempre dopo la consegna del messaggio e idealmente prima della sua lettura), i cybercriminali cambiano il sito a cui reindirizza il messaggio o attivano contenuti dannosi su una pagina precedentemente innocua. Può essere un falso sito bancario o un exploit del browser che tenta di scaricare malware sul computer della vittima. In circa l’80% dei casi, comunque, si tratta di un sito di phishing.

Come vengono ingannati gli algoritmi anti-phishing?

I criminali informatici usano uno di questi tre modi per superare i filtri:

  • Utilizzo di un link semplice: in questo tipo di attacco, i cybercriminali hanno il controllo del sito bersaglio, che hanno creato da zero, hackerato o dirottato. I cybercriminali preferiscono questi ultimi, che tendono ad avere una reputazione positiva, il che che piace agli algoritmi di sicurezza. Al momento della trasmissione, il link conduce a uno stub privo di significato o, più comunemente, a una pagina con un messaggio di errore 404;
  • Modifica di un link accorciato: molti strumenti online permettono a chiunque di trasformare un URL lungo in uno più corto. Gli shortlink rendono la vita più facile agli utenti; in effetti, è corto, facile da ricordare e si può ritornare al link più lungo. In altre parole, innesca un semplice reindirizzamento. Con alcuni servizi è possibile modificare i contenuti nascosti dietro uno shortlink, una scappatoia che sfruttano i cybercriminali. Al momento della consegna del messaggio, l’URL rimanda a un sito legittimo, ma dopo un po’ lo convertono in un sito dannoso;
  • Aggiunta di un link accorciato casuale: alcuni strumenti per l’accorciamento del link consentono il reindirizzamento probabilistico. Cioè, il link ha il 50% di possibilità di portare su google.com e il 50% di possibilità di aprire un sito di phishing. La possibilità di arrivare su un sito legittimo apparentemente può confondere i crawler (programmi per la raccolta automatica di informazioni).

Quando i link diventano dannosi?

I cybercriminali di solito operano partendo dal presupposto che la loro vittima sia un normale lavoratore che dorme di notte. Pertanto, i messaggi di phishing ad azione ritardata vengono inviati dopo la mezzanotte (nel fuso orario della vittima) e diventano dannosi poche ore dopo, verso l’alba. Guardando le statistiche di quando si attivano i sistemi anti-phishing, vediamo un picco intorno alle 7-10 del mattino, quando gli utenti, dopo aver preso un caffè. cliccano su link che erano legittimi al momento dell’invio, ma che ora sono dannosi.

Anche lo spear-phishing non rimane certo a guardare. Se i criminali informatici trovano una persona specifica da attaccare, possono studiare la routine quotidiana della loro vittima e attivare il link dannoso a seconda di quando la vittima è solita controllare la posta.

Come identificare il delayed phishing

Idealmente, bisogna evitare che il link di phishing arrivi all’utente, per cui una nuova scansione della posta in arrivo sembrerebbe la strategia migliore. In alcuni casi, ciò è fattibile: ad esempio, se la vostra azienda utilizza un server di posta Microsoft Exchange.

A partire da questo mese, Kaspersky Security for Microsoft Exchange Server supporta l’integrazione del server di posta elettronica attraverso l’API nativa, che consente di ripetere la scansione dei messaggi già presenti nella casella di posta. Un tempo di scansione opportunamente configurato garantisce il rilevamento di tentativi di delayed phishing senza creare un carico aggiuntivo sul server nel momento di picco della posta.

La soluzione consente anche di monitorare la posta interna (che non passa attraverso il gateway di sicurezza della posta, e quindi non viene analizzata dai filtri e dai motori di scansione), nonché di implementare regole di filtraggio dei contenuti più complesse. In casi particolarmente pericolosi di business email compromise (BEC), in cui i cybercriminali ottengono l’accesso a un account di posta aziendale, assume particolare importanza la possibilità di ripetere la scansione dei contenuti delle caselle di posta e di controllare la corrispondenza interna.

Autore: Oleg Gorobets
Tratto da Blog Kaspersky – 25/09/2020

28 Settembre 2020

Nuovi rilasci per “Kaspersky Security for Windows Server” e “Kaspersky Security for Exchange Servers”

Kaspersky ha rilasciato nuove versioni dei seguenti prodotti:
 
 
Kaspersky Security for Windows Server
rilascio della versione 11 (versione 11.0.0.480)
 
Informazioni sul prodotto e download lingua inglese
https://support.kaspersky.com/15569
 
Download lingua italiana
https://www.kaspersky.it/small-to-medium-business-security/downloads/security-for-windows-server
 
 
 
Kaspersky Security for Exchange Servers
rilascio della versione 9.x MR6 (versione 9.6.96.0)
 
Informazioni sulla versione
https://support.kaspersky.com/KS4Exchange/9.6/en-US/100302.htm
 
Informazioni sul prodotto e download lingua inglese
https://support.kaspersky.com/kse9

23 Settembre 2020

Email Security Tester

Per valutare la capacità di intercettazione ed eliminazione delle minacce e dei malware del proprio sistema di posta è disponibile il tool di Libraesva Email Security Tester.

Si tratta di un test gratuito, facile e veloce, non invasivo, del proprio sistema di protezione della posta.

Il tool invia 8 email , NON PERICOLOSE/NON INVASIVE , che simulano diversi tipi di minacce: il vostro sistema di protezione , se ben configurato, deve bloccarle.

Come si effettua il test?

  • Ci si collega al link che potete richiederci all’indirizzo dircom@argonavis.it
  • Si inserisce l’indirizzo email sul quale si vogliono ricevere le finte email malevoli
  • Si conferma l’indirizzo email rispondendo alla email in arrivo
  • Libraesva quindi invierà immediatamente 8 email, ognuna contenente un tipo di minaccia diverso. Le email ricevute sulla mailbox scelta per il test saranno quelle che sono riuscite a bypassare i filtri del sistema di posta.

Le eventuali email che dovessero passare i controlli di protezione del sistema di posta simulano un codice malevole ma non sono pericolose.

Un buon sistema di email security dovrebbe trattenere tutte le email malevoli.

Per informazioni tecnico/commerciali sulle soluzioni Libraesva: dircom@argonavis.it

 

22 Settembre 2020

Attacchi informatici, il 90% parte da una email

Lo specialista di email security Libraesva presenta le evidenze di un’analisi condotta in seno al settore bancario, nazionale ed europeo, con riferimento alla cyber sicurezza con focus sulle email, da anni canale prioritario di veicolazione di attacchi e infezioni malevoli.

Attacchi informatici, il 90% parte da una email

Strettamente intrecciato alla quotidianità delle persone in tutto il mondo, il settore finanziario è al centro delle economie globali e per questo è bersaglio dei cyber criminali che mostrano in misura crescente particolare interesse nel perpetrare i propri attacchi informatici contro le aziende di questo settore, tra le più colpite nell’area EMEA. L’incremento degli attacchi perpetrati contro le banche è cresciuto del +238% dal mese di febbraio 20201 (contro un incremento medio degli attacchi informatici che si attesta solitamente intorno all’80%) e sono oltre 3000 i dipendenti bancari ad avere subito un attacco da inizio anno.

In piena pandemia, Internet ha conosciuto un aumento d’uso per effettuare pagamenti e operazioni finanziarie, incentivando un notevole incremento dei cyber-attacchi. Se aziende e privati rimangono l’obiettivo preferito dei criminali informatici, le banche non sono quindi da meno e sono chiamate a reagire con piani di intervento su più fronti. Un recente studio di Moody’s1 identifica in tre modi come le banche mitigano il rischio informatico. Il primo è una forte governance aziendale, che comprende framework di sicurezza informatica, applicazione di policy e reporting. Il secondo è la prevenzione e la risposta al rischio, e la prontezza di recupero. Il terzo è la condivisione di informazioni con altre banche e l’adozione di standard e protocolli internazionali come strumento per fare fronte comune contro gli attacchi.

“Dal phishing al malware, passando per il Business Email Compromise, non si arresta il flusso delle minacce contro gli istituti di credito di tutto il mondo. In Italia la situazione è in linea con gli altri Paesi Europei e l’auspicio che in qualità di esperti di security possiamo fare è che si concretizzi la definizione di standard comuni utili ad affrontare in modo coeso la minaccia informatica in tutte le sue forme” afferma Paolo Frizzi, Ceo di Libraesva.

Le buone pratiche cominciano dai singoli

Se le banche stanno attuando misure e infrastrutture di protezione dedicate, d’altro canto gli stessi clienti possono contribuire a ridurre l’impatto potenziale degli attacchi via email. Gli esperti degli ESVAlabs, i laboratori di ricerca e sviluppo di Libraesva, grazie alla loro quotidiana attività di verifica e analisi di dati e informazioni trasmesse via email hanno stilato un vademecum di buone pratiche d’uso del canale email che consentono di elevare il livello di protezione dalla crescente e mutevole minaccia informatizzata che si articola in 5 principali punti:

  1. ATTENDIBILITA’ – Quando si eseguono operazioni bancarie, è opportuno operare direttamente dall’applicazione mobile dell’Istituto Bancario o cercando il sito ufficiale tramite i motori di ricerca web, senza selezionare alcun link fosse invece presente in comunicazioni email o SMS. Le mail legittime delle banche infatti solitamente non contengono link, cosa che invece si evidenzia nelle email di phishing
  2. ATTENZIONE – Quando si accede al sito della banca dal browser, assicurarsi che nella barra di ricerca compaia https://www… e che, quindi, la connessione al sito sia sicura. La forma http:// è oggi obsoleta e da considerarsi non attendibile
  3. TUTELA DEI DATI – Nel ricevere email che sembrano provenire dalla propria banca, controllare anzitutto se l’indirizzo email del mittente sia scritto correttamente, senza errori o elementi che destano sospetti, quindi non rispondere ad alcuna email fornendo dati personali relativi al proprio conto bancario o carte di pagamento
  4. SUPERVISIONE – Utilizzare password lunghe e complesse, evitando di ricorrere a quelle utilizzate già per altri siti
  5. CAUTELA – Non eseguire transazioni mentre si è connessi a reti Wi-Fi pubbliche, sia da pc che da mobile

“Questo elenco di piccoli seppur fondamentali accorgimenti consente di attivare un primo filtro umano che abbiamo constatato cooperare perfettamente con i filtri tecnici che i fornitori di servizi email mettono a disposizione degli istituti e degli utenti spiega Rodolfo Saccani, R&D Security Manager di Libraesva. Le tattiche di ingegneria sociale messe in atto dagli attaccanti puntano proprio a cogliere in fallo i più disattenti o noncuranti per varie ragioni. Eppure il fattore umano è in grado anche oggi con le minacce di nuova generazione di fare la differenza e di boicottare le iniziative malevoli degli aggressori”.

Redazione BitMAT – 17/09/2020

18 Settembre 2020

La vulnerabilità Zerologon minaccia i controller di dominio

La vulnerabilità CVE-2020-1472 nel protocollo Netlogon, alias Zerologon, permette ai cybercriminali di hackerare i controller di dominio.

Durante il Patch Tuesday di agosto, Microsoft ha risolto diverse vulnerabilità, tra cui una dal nome CVE-2020-1472. Alla vulnerabilità del protocollo Netlogon è stato assegnato il grado di gravità “critico” (il suo punteggio CVSS era quello massimo, ovvero 10.0). Che potesse rappresentare una minaccia non è mai stato messo in dubbio, tuttavia l’altro giorno Tom Tervoort, il ricercatore di Secura che l’ha scoperta, ha pubblicato un report dettagliato che spiega perché la vulnerabilità, nota come Zerologon, sia così pericolosa e come possa essere sfruttata per hackerare un controller di dominio.

Che cos’è Zerologon?

In sostanza, CVE-2020-1472 è il risultato di una falla nel sistema cifrato di autenticazione Netlogon Remote Protocol. Il protocollo consente l’autenticazione degli utenti e dei dispositivi sulle reti basate su domini e viene utilizzato anche per aggiornare le password dei computer da remoto. Grazie alla vulnerabilità, un cybercriminale può spacciarsi per un computer client e sostituire la password di un controller di dominio (un server che controlla un’intera rete e gestisce i servizi Active Directory), il che gli consente di ottenere le autorizzazioni di amministratore di dominio.

Chi è a rischio?

La vulnerabilità CVE-2020-1472 rappresenta un rischio per le aziende le cui reti sono basate sui controller di dominio su Windows. In particolare, i criminali informatici possono hackerare un controller di dominio basato su qualsiasi versione di Windows Server 2019 o Windows Server 2016, così come qualsiasi edizione di Windows Server versione 1909, Windows Server versione 1903, Windows Server versione 1809 (edizioni Datacenter e Standard), Windows Server 2012 R2, Windows Server 2012, Windows Server 2012, o Windows Server 2008 R2 Service Pack 1. Per portate a termine l’attacco, i cybercriminali dovrebbero innanzitutto penetrare nella rete aziendale, ma questo non è un problema così insormontabile (gli attacchi interni e l’accesso dalle prese Ethernet in locali accessibili al pubblico non sono affatto nuovi).

Fortunatamente la vulnerabilità Zerologon non è ancora stato utilizzata in un attacco reale (o fino ad ora non ci sono state segnalazioni). Tuttavia, il report di Tervoort ha suscitato scalpore, attirando molto probabilmente l’attenzione dei criminali informatici e, sebbene i ricercatori non abbiano pubblicato una proof of concept, non ci sono dubbi che i cybercriminali potrebbero elaborarne una basata sulle patch.

Come difendersi da Zerologon

Agli inizi di agosto, Microsoft ha rilasciato le patch per risolvere la vulnerabilità in tutti i sistemi interessati quindi, se non avete ancora aggiornato i sistemi, vi conviene affrettarvi. Inoltre, Microsoft consiglia di monitorare eventuali tentativi di login effettuati attraverso la versione vulnerabile del protocollo e di identificare i dispositivi che non supportano la nuova versione. Per Microsoft, la situazione ideale sarebbe che il controller di dominio venisse impostato su una modalità dove tutti i dispositivi possano utilizzare la versione sicura di Netlogon.

Gli aggiornamenti non rendono questa restrizione obbligatoria, perché il protocollo remoto Netlogon Remote Protocol non viene utilizzato solo su Windows, ma anche su molti dispositivi basati su altri sistemi operativi. Se si rendesse obbligatorio il suo utilizzo, i dispositivi che non supportano la versione sicura non funzionerebbero correttamente.

In ogni caso, a partire dal 9 febbraio 2021, i controller di dominio saranno tenuti ad utilizzare tale modalità (cioè, costringendo tutti i dispositivi ad utilizzare il Netlogon aggiornato e sicuro), per cui gli amministratori dovranno risolvere in anticipo il problema della conformità dei dispositivi di terze parti (aggiornandoli o aggiungendoli manualmente come esclusioni).

Autore: Hugh Aver
Tratto da Blog Kaspersky – 16/09/2020

17 Settembre 2020

Blog & News

Categorie