Tutti abbiamo probabilmente installato almeno una volta un’estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: “è sicuro?”. Purtroppo queste estensioni, apparentemente innocue, possono essere molto più pericolose di quanto non sembrino a prima vista.
Cosa sono e cosa fanno le estensioni?
Un’estensione del browser è un plug-in che aggiunge funzionalità al browser. Ad esempio, può bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare l’ortografia e molto altro ancora. Per i browser più diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.
È importante sottolineare che, per svolgere il proprio lavoro, un’estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser.
Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificare tutti i dati dell’utente su tutti i siti web visitati.
Tutto ciò rappresenta un’opportunità per i criminali informatici dato che ne approfittano per distribuire adware e persino malware sotto le sembianze di estensioni apparentemente innocue.
Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che l’utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari più mirati, possono anche analizzare le query di ricerca e altri dati.
Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delle carte di credito, i cookie e altre informazioni sensibili.
Alcune estensioni dannose:
adware con funzionalità WebSearch;
add-on di tipo DealPly;
estensioni della famiglia AddScript;
FB Stealer.
Gli esperti Kaspersky hanno elaborato un report sulle principali estensioni dannose per il browser.
Come proteggersi
Le estensioni del browser sono strumenti utili, ma è importante installarle con cautela e tenere presente che non sono sempre così innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:
Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non è una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
Non installate troppe estensioni e controllate regolarmente l’elenco. Se nell’elenco appare qualche estensione che non avete installato voi stessi, è bene preoccuparsi.
Utilizzate una soluzione di sicurezza affidabile.
Testo estratto dall’articolo pubblicato sul Blog Kaspersky.
Il pacchetto Npm UAParser.js, installato su decine di milioni di computer in tutto il mondo, è stato infettato con password stealer e miner
Degli attaccanti sconosciuti hanno compromesso diverse versioni di una popolare libreria JavaScript, UAParser.js, inserendo un codice dannoso. Secondo le statistiche sulla pagina degli sviluppatori, molti progetti fanno uso di questa libreria, che viene scaricata da 6 a 8 milioni di volte ogni settimana.
I criminali informatici hanno compromesso tre versioni della libreria: la 0.7.29, 0.8.0 e 1.0.0. Tutti gli utenti e gli amministratori dovrebbero aggiornare le librerie alle versioni 0.7.30, 0.8.1 e 1.0.1, rispettivamente, il prima possibile.
Che cos’è UAParser.js, e perché è così famoso
Gli sviluppatori JavaScript usano la libreria UAParser.js per analizzare i dati User-Agent inviati dai browser. È implementata su molti siti web e utilizzata nel processo di sviluppo del software di varie aziende, tra cui Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e altri. Inoltre, alcuni sviluppatori di software utilizzano strumenti di terze parti, come il framework Karma per il software testing, che dipende anch’esso da questa libreria, aumentando ulteriormente la scala dell’attacco, aggiungendo un ulteriore anello alla supply chain.
Introduzione ai codici dannosi
I criminali informatici hanno incorporato script dannosi nella libreria per scaricare il codice dannoso ed eseguirlo sui computer delle vittime, sia in Linux che in Windows. Lo scopo di un modulo era quello di estrarre criptovalute, il secondo, invece (solo per Windows), era in grado di rubare informazioni riservate come i cookie dai browser, password e credenziali del sistema operativo.
Tuttavia, potrebbe non essere finita qui: secondo gli avvisi della US Cybersecurity and Infrastructure Protection Agency (CISA), l’installazione di librerie compromesse potrebbe permettere ai criminali informatici di prendere il controllo dei sistemi infetti.
Secondo gli utenti di GitHub, il malware crea file binari: jsextension (in Linux) e jsextension.exe (in Windows). La presenza di questi file è un chiaro indicatore di compromissione del sistema.
Come è riuscito a entrare il codice dannoso nella libreria UAParser.js
Faisal Salman, lo sviluppatore del progetto UAParser.js, ha dichiarato che un cybercriminale non identificato ha avuto accesso al suo account nel repository npm e ha pubblicato tre versioni dannose della libreria UAParser.js. Lo sviluppatore ha immediatamente aggiunto un avvertimento ai pacchetti compromessi e ha contattato il supporto di npm, che ha rapidamente rimosso le versioni pericolose. Tuttavia, mentre i pacchetti erano online, un numero significativo di dispositivi potrebbe averli scaricati.
A quanto pare, sono stati online per poco più di quattro ore, dalle 14:15 alle 18:23 CET del 22 ottobre. In serata, lo sviluppatore ha notato un’insolita attività di spam nella sua casella di posta elettronica, il che gli ha fatto notare le attività sospette, e ha così potuto scoprire la causa principale del problema.
Cosa fare se avete scaricato librerie infette
Il primo passo è controllare i computer, tutti i componenti del malware usato nell’attacco sono rilevati con successo dai nostri prodotti.
Successivamente, vi consigliamo di aggiornare le vostre librerie alle versioni corrette, la 0.7.30, 0.8.1 e 1.0.1. Tuttavia, potrebbe non essere sufficiente: secondo l’avviso, qualsiasi computer su cui è stata installata o eseguita una versione infetta della libreria dovrebbe essere considerato completamente compromesso. Pertanto, gli utenti e gli amministratori dovrebbero cambiare tutte le credenziali che sono state utilizzate su quei computer.
In generale, gli ambienti di sviluppo o di compilazione sono obiettivi convenienti per i criminali informatici che cercano di organizzare attacchi alla supply chain. Ciò significa che tali ambienti richiedono urgentemente una protezione antimalware.
Alcuni scammer stanno distribuendo malware e adware facendoli passare per Windows 11
Microsoft non ha ancora rilasciato Windows 11 ma il nuovo sistema operativo è già disponibile per il download e per un’anteprima. I criminali informatici, naturalmente, se ne stanno approfittando per “piazzare” alcuni malware agli utenti che pensano di aver scaricato il nuovo sistema operativo targato Microsoft.
Perché scaricare adesso Windows 11?
Microsoft in realtà aveva annunciato che Windows 10 sarebbe stata l’ultima versione di Windows e che in futuro avrebbe solo rilasciato aggiornamenti. Il 24 giugno di quest’anno, però, l’azienda ha presentato Windows 11. E anche se sotto sotto è fondamentalmente uguale al precedente, Windows 11 è comunque il più grande aggiornamento del sistema operativo in sei anni, che comprende un numero notevole di nuove caratteristiche e modifiche dell’interfaccia.
Ufficialmente, Windows 11 sarà disponibile al grande pubblico nel 2021, ma molte persone lo stanno provando in anticipo installando una versione pre-release. Alcuni appassionati vogliono provare il nuovo sistema per capire quali sono le novità; altri, come i giornalisti tecnici, per informare gli utenti sulle nuove caratteristiche. Per quanto riguarda gli sviluppatori di software, hanno bisogno di conoscere il nuovo sistema operativo per eseguire test di compatibilità con i loro prodotti e correggere eventuali problemi prima del giorno del rilascio.
Anche se Microsoft ha reso il processo di download e installazione di Windows 11 dal suo sito ufficiale abbastanza semplice, molti visitano ancora altre fonti per scaricare il software, che spesso contiene “chicche” non pubblicizzate dai criminali informatici (e non è necessariamente Windows 11).
Come i truffatori ingannano gli utenti che decidono di scaricare Windows 11
Il modo più diretto usato dai criminali informatici per ingannare gli utenti è inserendo un extra dannoso.
Un esempio riguarda un file eseguibile chiamato 86307_windows 11 build 21996.1 x64 + activator.exe. Con i suoi 1,75 GB, sembra un file certamente plausibile. In realtà, però, la maggior parte di questo spazio è occupato da un file DLL che contiene un sacco di informazioni inutili.
All’apertura del file eseguibile si avvia il programma di installazione, che sembra una normale procedura guidata di installazione di Windows. Il suo scopo principale è quello di scaricare e avviare un altro eseguibile più interessante. Anche il secondo eseguibile è un installer, che propone persino un accordo di licenza (che poche persone leggono) denominato “download manager for 86307_windows 11 build 21996.1 x64 + activator” e che servirebbe a installare alcuni software sponsorizzati. Se accettate l’accordo saranno installati sul vostro dispositivo alcuni programmi dannosi.
I prodotti Kaspersky hanno già bloccato diverse centinaia di tentativi di infezione che usavano tattiche simili a quelle della truffa su Windows 11. Una gran parte di questi malware è costituito da downloader, il cui compito è quello di scaricare ed eseguire altri programmi.
Questi altri programmi possono essere molto diversi, da adware relativamente innocui, che le nostre soluzioni classificano come not-a-virus, a Trojan veri e propri, password stealer, exploit e altri programmi dannosi.
Dove e come scaricare Windows 11 in modo sicuro
Scaricate Windows 11 solo da fonti ufficiali, come consiglia Microsoft. Finora, Windows 11 è ufficialmente disponibile solo per i partecipanti al programma Windows Insider, per il quale dovete registrarvi. Avrete anche bisogno di un dispositivo su cui è già installato Windows 10.
Per aggiornare il vostro computer Windows 10 a Windows 11, andate su Impostazioni, cliccate su Aggiornamento e sicurezza, quindi selezionate Programma Windows Insider e attivate il Canale sviluppatori per ottenere l’aggiornamento.
Sconsigliamo di eseguire l’aggiornamento sul vostro computer principale, poiché le precompilazioni possono essere instabili.
Vi consigliamo inoltre di utilizzare una soluzione di sicurezza affidabile e di non disabilitarla mai, per evitare che i criminali informatici possano accedere al vostro computer tramite ingegneria sociale o che sfruttino vulnerabilità di un sistema non ancora pronto per la release ufficiale.
Gli spammer stanno usando macro dannose per distribuire malware bancari IcedID e Qbot in documenti apparentemente importanti
Per gli impiegati che devono affrontare centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico può essere grande. I criminali informatici, naturalmente, ne approfittano, inviando documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, dai link di phishing a malware. I nostri esperti hanno recentemente scoperto due campagne di spam molto simili che distribuiscono i trojan bancari IcedID e Qbot.
Spam con documenti dannosi
Entrambe le e-mail si spacciavano per corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per qualche motivo fraudolento o dichiaravano qualcosa sull’annullamento di un’operazione. Allegato al messaggio c’era un file Excel con zip chiamato CompensationClaim più una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web violato dove era conservato l’archivio contenente il documento.
In entrambi i casi, l’obiettivo degli aggressori era quello di convincere il destinatario ad aprire il file Excel dannoso ed eseguire la macro in esso contenuta, scaricando così IcedID o (meno comunemente) Qbot sul dispositivo della vittima.
IcedID e Qbot
I trojan bancari IcedID e Qbot sono in circolazione da anni, con IcedID arrivato per la prima volta all’attenzione dei ricercatori nel 2017 e Qbot in servizio dal 2008. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un’immagine PNG utilizzando una tecnica chiamata steganografia che è piuttosto difficile da rilevare.
Oggi, entrambi i programmi malware sono disponibili sul mercato ombra; oltre ai loro creatori, numerosi clienti distribuiscono i Trojan. Il compito principale del malware è quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:
Inserire uno script dannoso in una pagina web per intercettare i dati inseriti dall’utente;
Reindirizzare gli utenti dell’online banking a una falsa pagina di login;
Rubare i dati salvati nel browser.
Qbot può anche registrare le sequenze di tasti per intercettare le password.
Purtroppo, il furto dei dati di pagamento non è l’unico problema che si presenta alle vittime. Per esempio, IcedID può scaricare altri malware, incluso il ransomware, sui dispositivi infetti. Nel frattempo, i trucchi di Qbot includono il furto di thread di e-mail da utilizzare in ulteriori campagne di spam, e fornire ai suoi operatori l’accesso remoto ai computer delle vittime. Sulle attrezzature da lavoro in particolare, le conseguenze possono essere gravi.
Come rimanere al sicuro dai trojan bancari
Non importa quanto astuti possano essere i criminali informatici, non è necessario reinventare la ruota per restare al sicuro. Entrambe le campagne di spam in questione si basano sul fatto che i destinatari compiano azioni rischiose, se, invece, non apriranno il file dannoso e non lasceranno eseguire la macro, lo schema semplicemente non funzionerà. Per ridurre le possibilità di diventare una vittima:
Controllate l’identità del mittente, incluso il nome del dominio. Qualcuno che afferma di essere un appaltatore o un cliente aziendale ma usa un indirizzo Gmail, per esempio, può essere sospetto. E se semplicemente non sapete chi è il mittente, controllate insieme ai colleghi;
Proibite le macro di default, e trattate con sospetto i documenti che richiedono di abilitare le macro o altri contenuti. Non eseguite mai una macro a meno che non siate assolutamente sicuri che il file ne abbia bisogno, e che sia sicuro;
Installate una soluzione di sicurezza affidabile. Se lavorate su un dispositivo personale, o il vostro datore di lavoro è poco rigoroso quando si tratta di protezione della workstation, assicuratevi che sia protetta. I prodotti Kaspersky rilevano sia IcedID che Qbot.
Durante l’anno della pandemia di Covid-19 il concetto di email security ha assunto un ruolo di primo piano: le nostre modalità di comunicazione sono cambiate (basti pensare al lavoro da remoto), i contenuti delle comunicazioni hanno visto ondate di argomenti quasi esclusivamente legati all’evento pandemico (soprattutto in concomitanza con i principali provvedimenti restrittivi), gli aspetti legati alla sicurezza, alla privacy, agli attacchi di phishing e alla distribuzione di malware sono stati pesantemente condizionati dalla pandemia.
Se vogliamo, l’evento pandemico ha ancora più messo in evidenza la rilevanza del fattore umano nella sicurezza delle comunicazioni elettroniche.
Email security: il fenomeno phishing durante la pandemia
Ricordiamo che una campagna di phishing efficace è caratterizzata da tre elementi principali: il presentarsi come una fonte autorevole, la capacità di catturare l’attenzione della vittima, quella di instillare un senso di urgenza al fine di indurre a compiere un’azione dannosa come aprire un allegato malevolo, cliccare su un link, fornire credenziali o informazioni confidenziali.
Autorevolezza, cattura dell’attenzione, senso di urgenza, call-to-action: se ci facciamo caso, parliamo esclusivamente di leve che agiscono su aspetti affatto tecnici ma legati ai comportamenti umani.
Non è difficile immaginare come un evento eccezionale quale la pandemia con tutto il suo carico emotivo, il flusso continuo di nuove informazioni, il susseguirsi di provvedimenti normativi, i cambiamenti delle modalità di lavoro e delle abitudini di vita, abbia creato un terreno molto fertile per gli autori di campagne di phishing.
Il seguente grafico mostra l’andamento nel 2020 delle mail legittime legate alla pandemia di COVID-19.
Andamento delle mail legittime a tema COVID-19
A inizio anno abbiamo una progressiva crescita di comunicazioni che perdura circa un mese e mezzo e che inizia a decrescere solo dopo il primo lockdown. Segue un grande picco successivo ai primi allentamenti del lockdown.
In questo periodo si susseguono incessantemente provvedimenti normativi e disposizioni organizzative. È del 13 maggio la “legge rilancio” mentre il 15 maggio un decreto delinea il quadro generale all’interno del quale gli spostamenti verranno limitati da ordinanze statali, regionali e comunali.
Seguono innumerevoli ordinanze, interpretazioni e chiarimenti oltre a decreti che progressivamente vanno ad autorizzare la ripresa di ulteriori attività. A tutto questo si affiancano informazioni e aggiornamenti sull’andamento della pandemia, sullo stato del sistema sanitario, sugli studi clinici che contribuiscono ad una crescente conoscenza del fenomeno.
Indicativamente, in questo periodo il 10% delle nostre mailbox conteneva mail a tema COVID-19. Ricordo che stiamo ancora parlando di comunicazioni legittime, ovvero non malevole, che esplicitamente menzionano la pandemia. È un indice dell’attenzione che il tema ha avuto nel corso del tempo.
Quello che segue è invece l’andamento delle mail indesiderate a tema COVID-19 che sono state intercettate dai sistemi di filtraggio della posta elettronica. Oltre a mail di spam vero e proprio relative a prodotti e servizi (mascherine, gel, termoscanner, guanti, test antigenici, tamponi, improbabili prodotti anti-Covid, servizi finanziari per fronteggiare l’emergenza, eccetera) questo flusso contiene anche mail di phishing e distribuzione di malware che sfruttano l’alto livello di attenzione legato alla pandemia.
Andamento delle mail indesiderate a tema COVID-19
L’andamento delle mail indesiderate è più regolare: nel mese di marzo c’è stata una rapida crescita che poi si è più o meno stabilizzata. Da agosto in poi c’è stata una progressiva lenta decrescita. Questo grafico ci dice che il tema è stato rapidamente adottato da chi intendeva abusarne ed è stato progressivamente abbandonato solo quando ha iniziato a perdere di efficacia.
Email security: le tattiche usate negli attacchi phishing
Quali tattiche sono state utilizzate nelle mail di phishing? Tra le più aggressive abbiamo notato campagne massive di finte mail di licenziamento. La mail, che si spaccia per una comunicazione proveniente dal dipartimento risorse umane, comunica al malcapitato il suo licenziamento in tronco giustificato dall’emergenza COVID. L’esempio che segue, nonostante sia scritto in inglese, è stato inviato a numerosi dipendenti italiani di aziende multinazionali.
Campagna di phishing, finto licenziamento causa COVID
L’allegato di queste mail è un file html che punta a carpire le credenziali dell’utente.
Allegato malevolo per carpire credenziali
Naturalmente anche i tentativi di truffa massivi e di bassa qualità sono stati prontamente declinati a tema COVID. Vincite improvvise, donatori inattesi e le classiche truffe “alla nigeriana” hanno adottato le parole chiave legate alla pandemia nel tentativo di guadagnare maggiore visibilità e credibilità.
Truffa a tema COVID
Numerose e più subdole le mail che, spacciandosi per organismi istituzionali, come ad esempio l’Organizzazione Mondiale della Sanità, avvisavano di presunti allarmi per la presenza di cluster di contagio nell’area.
Campagna di phishing che si spaccia per OMS
Altrettanto diffuse le campagne di phishing legate alla ripresa delle attività produttive con finte email del MEF o di altri organismi istituzionali veicolanti malware.
Campagna di phishing che si spaccia per il MEF
L’utilizzo di nomi e loghi istituzionali conferisce una percezione di autorevolezza che abbassa le difese, in particolare in un momento in cui la paura e l’emotività sono ancora alte.
Con l’arrivo dell’app Immuni le campagne di phishing hanno incominciato a sfruttare questo nuovo filone. La seguente immagine è tratta da un sito di phishing che riproduce una finta pagina del Play Store di Google:
Finta app Immuni su un finto Google Play Store
L’anno si è chiuso con l’arrivo del cashback e non potevano mancare campagne di phishing a tema cashback o SPID.
Phishing sul cashback di Stato
Finto sito di Poste Italiane
Anche nelle campagne di email malevole vige una sorta di meccanismo di selezione naturale. Le tecniche che si dimostrano più efficaci vengono copiate si diffondono rapidamente a discapito di quelle meno efficaci.
La rapida diffusione delle campagne di phishing a tema COVID-19, in tutte le sue declinazioni, ci ha fornito una misura di quanto sia rilevante il ruolo della componente emotiva e di quanto, a parità di condizioni tecniche, sia il fattore umano a fare la differenza.
L’andamento nel corso dell’anno
Il seguente grafico mostra la percentuale di email intercettate dai sistemi di email security sul totale del traffico. Da settembre in avanti la media cala ma si tratta di oscillazioni frequenti e dipendenti da una tale quantità di variabili da non rappresentare in sé un trend particolarmente significativo.
Andamento dello spam nel 2020
Malware allegato a messaggi di posta
Già lo scorso anno avevamo rilevato la progressiva perdita di efficacia di sistemi di protezione reattivi, ovvero progettati per intercettare minacce note. Questo approccio (tendenzialmente basato su ricerca di pattern noti) è particolarmente inefficace in presenza di malware polimorfico e nuove varianti, le quali si trovano di fronte a finestre di opportunità di molte ore all’interno delle quali possono transitare senza essere intercettate.
L’approccio proattivo basato sulla rimozione delle istruzioni che abilitano alla realizzazione di un dropper (il codice che installa il malware sul computer della vittima) è l’unico che offre una copertura anche contro nuove varianti e malware polimorfico.
Il seguente grafico mostra l’andamento nel corso dell’anno dei sistemi di sandboxing di nuova generazione da noi monitorati. In rosso i file che sono stati bloccati perché riconosciuti come malevoli. In giallo i file che sono stati neutralizzati grazie all’approccio poc’anzi descritto e che non sono stati intercettati dai sistemi reattivi basati su pattern e signature. In verde i file contenenti codice attivo legittimo (come le macro legittime di un file Excel).
Allegati trattati da QuickSand
Nel corso dell’anno abbiamo osservato l’utilizzo di nuove tecniche di realizzazione di dropper.
In gennaio ha iniziato a circolare del malware basato su macro in documenti Office che, al fine di eseguire codice senza essere rilevato come malevolo, usava alcune callback VBA (Visual Basic for Applications) che vengono invocate prima di attivare una connessione. Il trucco consiste nell’inserire del contenuto remoto nel documento al fine di indurre Office ad invocare queste macro (il cui nome termina per _onConnecting). Attraverso queste callback è possibile eseguire codice senza invocarlo apertamente, consentendo di svicolare attraverso alcuni sistemi di protezione.
In maggio abbiamo visto un utilizzo smodato (come sempre, una tecnica efficace viene rapidamente copiata da altri attori) delle macro-formule di Office. Si tratta di una vecchissima funzionalità che precede l’introduzione del VBA e di cui quasi nessuno si ricordava più. Un po’ come era successo un paio di anni prima con il DDE.
In termini di nuove modalità di attacco degne di menzione, questo è tutto. Si conferma la tendenza prevalente ad affinare le tecniche di attacco e ad aggirare i sistemi di protezione ricorrendo al polimorfismo e ad un grande numero di nuove varianti.
Attacchi attraverso link
È più facile riuscire a consegnare una mail con un link piuttosto che una mail con allegato un malware, questo è il motivo per cui molti attacchi vengono condotti in questo modo.
I link spesso puntano a siti legittimi che sono stati appena compromessi e che quindi hanno una buona reputazione.
Qual è la percentuale di email che contiene almeno un link? Questo grafico mostra questo valore nel corso del 2020.
Percentuale di email contenenti almeno un link
Naturalmente tutte le mail che contengono un link ad un sito noto come pericoloso vengono intercettate e bloccate ma, come detto prima, in molti casi si tratta di un link ad un sito legittimo appena compromesso o comunque di un sito non ancora noto come pericoloso.
Questo è il motivo per cui è importante che i link vengano verificati anche al momento del click, con un sistema di sandboxing dei link che, visitando prima dell’utente la pagina, blocchi la visita in caso di pericolo.
Quanti sono i link che vengono intercettati da questa ultima rete di protezione? Ce lo dice il grafico che segue.
Percentuale di clic intercettati da UrlSand
Come vediamo si tratta di numeri piccoli, il picco non arriva allo 0,9%. Se in percentuale il valore sembra piccolo, parliamo comunque di diversi milioni di click ciascuno dei quali avrebbe potuto portare ad una compromissione.
Dove sono localizzati i siti a cui puntano questi link malevoli? La seguente mappa ci indica la distribuzione.
Distribuzione geografica siti di malware
Questa è di fatto la distribuzione dei siti che vengono utilizzati per la distribuzione di malware e phishing indirizzati verso utenti italiani.
Conclusioni
Ad oggi le mail malevole sono divenute praticamente indistinguibili dal punto di vista tecnico dalle mail legittime.
È ampiamente diffuso l’abuso di account di posta legittimi (o di servizi commerciali di invio massivo di messaggi di marketing) per l’invio di malware e phishing. Questo rende le mail malevole tecnicamente identiche a quelle legittime. La differenza la fa il contenuto.
D’altro canto intercettare una mail malevola in base alle sue caratteristiche tecniche è più facile che farlo in base al suo contenuto. Estrapolare concetti come “attrarre l’attenzione”, “spacciarsi per una fonte autorevole”, “fare leva sull’emotività o sull’impulsività” è una sfida tecnica assai più complessa rispetto al basarsi su elementi tecnici ben più definiti. Questo rende l’email security una disciplina che diviene sempre più specialistica e complessa.
Intelligenza artificiale e machine learning sono concetti generici, tutt’altro che nuovi. Sono in uso da decenni in questo settore ma hanno visto una grande evoluzione negli ultimi anni proprio per via di questa tendenza che il settore della email security ha preso: una progressiva riduzione dei “segnali” di ordine tecnico utili a discriminare traffico legittimo da traffico non legittimo e una conseguente crescente rilevanza di “segnali” legati al contenuto.
L’ultima evoluzione riguarda un particolare aspetto del machine learning che è legato alla mappatura delle relazioni tra corrispondenti di posta elettronica. Con l’obiettivo di ricostruire qualcosa di più simile possibile al concetto di “fiducia” che nelle conversazioni mediate va perso.
In una conversazione in presenza il volto, il tono della voce, la gestualità veicolano una mole di informazioni enorme. È principalmente su queste informazioni, oltre che sulla storia della relazione, che inconsciamente stabiliamo il livello di fiducia nell’interlocutore.
Come ricostruire qualcosa di simile al concetto di fiducia in una comunicazione elettronica mediata come quella attraverso la posta elettronica?
Tenendo traccia dello storia e dei pattern di comunicazione tra individui un algoritmo può cercare di stimare l’affinità tra due interlocutori stimando il livello di fiducia. L’analisi dei pattern di comunicazione consente anche di rilevare anomalie e identificare abusi (ad esempio un account takeover) o tentativi di spoofing.
Questa è la prossima frontiera della email security che i vari vendor declineranno, come sempre, ciascuno a modo suo con nomi diversi (“Adaptive Trust Engine” nel caso di Libraesva) e con risultati più o meno efficaci perché non è lo strumento in sé ma il modo in cui lo si utilizza a determinarne l’efficacia.
