Gli attacchi spear phishing

Lo spear phishing è una truffa tramite cui i cybercriminali spingono le vittime a rivelare informazioni sensibili, come le credenziali di accesso. In alcuni casi, i truffatori riescono ad ottenere l'accesso ai dati tramite link o allegati malevoli, che, una volta aperti, installano malware nel computer della vittima. Ciò che contraddistingue lo spear phishing dal più generico phishing è la natura mirata di questo tipo di attacco.

Gli attacchi spear phishing vengono perpetrati tramite l'invio di messaggi altamente personalizzati, che i truffatori confezionano servendosi di informazioni pubbliche raccolte sulla vittima, come: il campo lavorativo, il ruolo ricoperto nell'azienda in cui lavora, gli interessi che coltiva, la zona in cui abita, informazioni fiscali e ogni altra informazione che può emergere dai social network. Tali dettagli specifici, rendono le email credibili agli occhi delle vittime ed aumentano la probabilità che l'utente apra link o allegati malevoli.

Lo spear phishing è un attacco molto più mirato e preciso rispetto al semplice phishing. Le email vengono scritte a regola d'arte, su misura per ogni vittima. L'attaccante può fingersi interessato sostenitore di una causa condivisa dal bersaglio, spacciarsi per qualcuno conosciuto dalla vittima, o utilizzare altre tecniche di social engineering per ottenere la fiducia del malcapitato.

Nel 2019, un gruppo di cybercriminali nordcoreani, chiamato Thalium, ha utilizzato più di 50 domini web per attacchi spear phishing ai danni di impiegati governativi, centri di ricerca, personale universitario, membri di organizzazioni per i diritti umani e personalità coinvolte nel contenimento degli arsenali nucleari. La maggior parte degli obiettivi si trovava in Giappone, Sud Corea e Stati Uniti.^[1] Nel caso di Thalium, i cybercriminali sono riusciti a guadagnarsi la stima delle vittime, appoggiando gli sforzi per fermare la diffusione delle armi nucleari.

Un esempio di attacco spear phishing può essere qualcosa come: “Paolo, data la tua passione per i vini rossi di annata, ti suggeriamo di non mancare alla fiera del vino in programma questo weekend (link al sito web compromesso, o falsificato), a cui parteciperà anche Andrea. Dai un'occhiata al sito web dell'evento”. Questo esempio di attacco spear phishing può risultare altamente efficace se dalle informazioni pubblicamente disponibili su Paolo, risulta effettivamente che egli sia un appassionato di vini, sia amico di Andrea, anche lui amante dei vini, e la comunicazione provenga da un'email di Facebook falsificata.

Da notare come nell'esempio appena visto, il truffatore personalizza l'email in base agli interessi e la personalità della vittima. Questo è ciò che contraddistingue lo spear phishing dal comune phishing, ed è ciò che lo rende così efficace, anche se al tempo stesso costoso in termini di tempo e fatica per i truffatori.

Il phishing e lo spear phishing hanno dei tratti in comune, ma anche delle differenze sostanziali. Entrambi hanno come obiettivo quello di spingere le vittime a divulgare informazioni sensibili. Tuttavia lo spear phishing richiede molto più sforzo ai truffatori, in quanto, per poter creare un'email che contenga elementi in grado di renderla credibile agli occhi del bersaglio è necessaria un'accurata ricerca sulla vittima

Per prima cosa parliamo del phishing. Solitamente, le campagne di phishing non hanno un obiettivo specifico. Ad esempio, i truffatori potrebbero creare una generica email con il logo PayPal, e un testo che sembra essere una normale comunicazione proveniente da un addetto al servizio clienti PayPal. L'email solitamente non conterrà il nome utente, e addirittura chi lancia la campagna non sa nemmeno se l'utente che riceverà l'email abbia o meno un conto PayPal. Il messaggio potrebbe semplicemente invitare l'utente a rispondere o cliccare su un link che indirizza verso un sito malevolo.

Sviluppo di una campagna di phishing

Durante una campagna di phishing, il truffatore invierà migliaia di email ad una lista di indirizzi. Talvolta, il dominio utilizzato per inviare i messaggi è molto simile a quello ufficiale dell'azienda per cui si spacciano i truffatori. Ad esempio, i cybercriminali potrebbero registrare il dominio “payypal.com” e utilizzarlo per aumentare le probabilità di ingannare le vittime. Un altro metodo di attacco phishing si basa sull’email spoofing. Lo spoofing utilizza i server email per manipolare il dominio del mittente in modo da far apparire l'email come proveniente da “paypal.com” anche se in realtà non proviene da PayPal. Per contrastare questo tipo di attacco, è stato concepito il DMARC (Domain-based Message Authentication, Reporting, & Conformance), uno strumento in grado di rilevare lo spoofing e bloccare le relative email. In questo modo, oggigiorno, lo spoofing è meno pericoloso che in passato, ammesso che sul server email del destinatario sia attivo il DMARC.

Una volta preparato il messaggio esca e la lista di indirizzi email, ai truffatori non rimane altro che inviare le email malevole. I cybercriminali sanno che non tutti i messaggi andranno a segno. Alcuni saranno automaticamente bloccati dai filtri a difesa dei server email dei destinatari. Altri saranno eliminati dalle stesse vittime quando si renderanno conto che si tratta di email di phishing. Tuttavia, una piccola parte di utenti cadrà nella trappola e invierà informazioni sensibili ai cybercriminali. In questo tipo di campagne di phishing non è necessario concentrarsi su specifici bersagli, perché i truffatori sanno che su migliaia di email, qualche decina di utenti cadrà vittima della truffa.

Differenza di resa economica tra phishing e spear phishing

Una delle differenze tra il phishing e lo spear phishing riguarda poi la resa in termini economici per i criminali. Mentre il comune phishing permette di ottenere guadagni relativamente contenuti, lo spear phishing adotta un approccio molto più personalizzato e selettivo, garantendo un ritorno economico ben più elevato. Infatti, nel caso degli attacchi spear phishing vengono normalmente prese di mira per lo più le figure con i privilegi più elevati all'interno delle aziende, come gli addetti alla contabilità, alle risorse umane o i dirigenti. Tali attacchi richiedono però un'accurata attività di ricerca e raccolta delle informazioni sui bersagli, per comprendere come preparare al meglio il testo dell'email, così da renderla credibile agli occhi della vittima designata. Lo spear phishing viene spesso utilizzato in combinazione con il social engineering per aumentare l'efficacia dell'attacco.

La preparazione delle email di spear phishing

Nello spear phishing, i messaggi email sono molto più convincenti e interessanti agli occhi delle vittime, rispetto alle email inviate nei comuni attacchi phishing. Ad esempio, un truffatore potrebbe spacciarsi per il CEO dell'azienda, e spingere il direttore delle finanze a inviare un bonifico su un conto corrente in mano ai criminali. Allo stesso scopo, potrebbero essere inviate email con false fatture da saldare con bonifici intestati ai truffatori. Quando invece desiderano impossessarsi delle credenziali di accesso della vittima, gli hacker potrebbero inviare un'email in cui si spacciano per gli addetti al reparto IT dell'azienda. Per poter andare a segno, gli attacchi spear phishing devono dare l'impressione alle vittime, che il messaggio provenga da qualcuno a loro noto, che conoscono e di cui si fidano.

Dato che lo spear phishing è molto più mirato, soltanto pochi utenti ricevono i messaggi malevoli. I criminali faranno un lavoro certosino di ricerca sull'azienda da colpire, avvalendosi di strumenti come LinkedIn o il sito web aziendale per ricostruire l'organigramma e creare delle email su misura per le vittime prescelte, quelle con elevati privilegi all'interno della compagnia.

I danni causati dallo spear phishing

Non è raro che le vittime di attacchi spear phishing effettuino bonifici di milioni di dollari su conti bancari offshore intestati ai cybercriminali o finiscano per divulgare le credenziali di accesso alla rete aziendale, cosa che può rivelarsi addirittura più devastante della mera perdita economica derivante da un bonifico non dovuto. In quest'ottica, l'autenticazione a due fattori e l'adozione di sistemi di rilevamento delle intrusioni aiuta a contenere il danno in caso di un attacco phishing andato a segno. Tuttavia, i criminali si servono spesso anche di altri metodi per trafugare dati sensibili, come ad esempio l'installazione di malware sulla rete aziendale o l'utilizzo di credenziali rubate per l’esfiltrazione di dati.

Una volta in possesso delle credenziali di accesso, i criminali possono mantenere una presenza sulla rete della vittima per mesi, prima di essere scoperti. Nel frattempo decine di terabyte di dati possono essere stati già trafugati senza che nessuno si sia accorto di nulla. Una volta scoperta la compromissione, l'azienda deve correre ai ripari per contenere la minaccia e risanare la vulnerabilità.

Abbiamo detto che l'attacco spear phishing prende di mira persone specifiche all'interno di un'azienda, ma quando ad essere prese di mira sono in particolare le figure dirigenziali, si parla di “whaling”, riferendosi a coloro che hanno account con elevati privilegi all'interno della rete, e hanno inoltre accesso ai conti bancari. I dirigenti sono per questo molto più esposti agli attacchi mirati dei cybercriminali, che, se riescono a mettere a segno il colpo, vedono lautamente ripagati i loro sforzi.

Lo spear phishing può prendere di mira aziende di tutte le dimensioni, dalle più piccole alle più grandi e strutturate. Negli attacchi più seri, il whaling è normalmente associato al social engineering. Ad esempio, il truffatore può lavorare in collaborazione con un partner che contatterà il dirigente per rendere il tutto più credibile. Aziende come Home Depot, Anthem, e JP Morgan sono state tutte vittime di whaling e spear phishing. Epsilon ha perso 4 miliardi di dollari per via di un attacco spear phishing mirato ai provider email. Il danno è stato così devastante da passare alla storia come l'attacco informatico più redditizio di tutti i tempi per i cybercriminali.

Analizzare alcuni esempi di attacchi spear phishing vi aiuterà a formare i vostri dipendenti e vi permetterà di riconoscerli nel caso la vostra azienda dovesse subire un attacco di questo tipo. Non sottovalutate il rischio di finire vittima di spear phishing soltanto perché ritenete che la vostra azienda sia troppo piccola per risultare appetibile. I cybercriminali sanno perfettamente che le aziende di piccole dimensioni hanno a disposizione risorse più limitate per la sicurezza informatica rispetto alle aziende più grandi, perciò, per questo motivo, sono spesso prese di mira anche loro proprio per questo motivo. Di qualsiasi dimensioni siano, tutte le aziende possono finire vittime di attacchi whaling o spear phishing.

Per aumentare le probabilità di successo, chi sferra attacchi spear phishing usa spesso il nome di brand ben noti e riconosciuti come PayPal, Amazon, Google e Microsoft. Questi generano un senso di fiducia nelle vittime e hanno milioni di clienti sparsi in tutto il mondo propensi a cliccare su un link all'interno di un'email che sembra provenire dal brand di cui sono clienti.

Un altro esempio di attacco phishing sfrutta invece il nome di Google e Microsoft per spingere gli utenti ad inviare denaro sul conto bancario dei criminali. L'email informa l'utente che ha realizzato una vincita in denaro proveniente da Microsoft o Google, e per ricevere i soldi non dovrà fare altro che inviare un piccolo anticipo per coprire i costi di spedizione. Anche se Google ha un buon filtraggio relativamente a questo tipo di messaggi, capita comunque che a volte gli utenti se li ritrovino sulla propria casella email e finiscano per rispondere. In una rete aziendale, questo genere di messaggi non dovrebbe mai raggiungere le caselle email dei destinatari, andrebbero messi immediatamente in quarantena, senza neanche raggiungere la cartella dello spam email.

Esempi di strategie utilizzate nello spear phishing

• Il mittente si finge un cliente insoddisfatto per un recente acquisto. Il truffatore invita la vittima ad aprire un link ad un sito malevolo in tutto e per tutto identico a quello aziendale, sul quale il dipendente preso di mira, dovrà inserire le proprie credenziali di accesso.
• Un sms o un'email vi avvisa che il vostro conto in banca è stato compromesso ed è incluso un link che vi collega ad una pagina sulla quale inserire le vostre credenziali di accesso.
• Il mittente dell'email si finge un fornitore, che informa la vittima del fatto che il proprio account sta per essere disattivato a scadenza, e per mantenerlo attivo è necessario cliccare sul link fornito nell'email ed effettuare l'autenticazione.
• Richieste di donare o inviare denaro ad un particolare gruppo o ente, indica spesso un tentativo di spear phishing.
• Prima di pagare qualsiasi fattura, verificare che sia effettivamente dovuta. I truffatori usano nomi di fornitori reali, con partite IVA false per ingannare le vittime.

Dal 2020, i casi riportati di phishing e spear phishing sono aumentati enormemente. Il Data Breach Investigation Report (DBIR) di Verizon, uscito nel 2021, indica che il 74% delle aziende americane ha subito un attacco phishing andato a segno. Il 96% di tali attacchi sono stati portati via email, risultando il vettore di attacco più utilizzato nello spear phishing.

Come abbiamo già ampiamente sottolineato, lo spear phishing è un attacco molto più mirato rispetto al comune phishing. Per questo motivo viene ampiamente utilizzato per il furto di credenziali, per diffondere ransomware, e altre forme di truffe finanziarie. Nel 65% dei casi si è notato l'utilizzo di attacchi spear phishing. Altri report indicano come lo spear phishing stia rapidamente diventando più popolare del phishing. Dalle ricerche effettuate da Proofpoint, è emerso come il 64% dei professionisti della sicurezza informatica e l'88% delle aziende ha subìto un attacco spear phishing sofisticato. Molti di questi attacchi miravano al furto di credenziali, diffusione di malware e ransomware e furto di dati.

Affidati ad uno strumento per la protezione delle email che utilizza lo studio delle anomalie per rilevare le email sospette. Grazie alle analisi dinamiche dei malware, che permettono di analizzare i siti web di destinazione a caccia di comportamenti malevoli, e di simulare un sistema controllato da un utente reale, tutte quelle tecniche di evasione e camuffamento tipiche dei malware possono essere contrastate, portando il malware a rivelarsi in un ambiente sandbox. Il sandboxing effettuato nel momento stesso in cui arrivano email sospette, appena l'utente clicca su un link, consente di individuare con grande probabilità questo tipo di minacce altamente mirate.

Ci teniamo a sottolineare che la formazione volta all'accrescimento della consapevolezza sulle minacce informatiche gioca un ruolo altrettanto importante. La maggior parte degli esperti in cybersecurity intervistati da Osterman Research, sostiene che un mix di formazione e strumenti tecnologici, sia la scelta migliore, anche se il giusto mix va poi calibrato in base al tipo di minacce. Nel caso dello spear phishing, il 37% degli intervistati ha sostenuto che la soluzione è principalmente legata alla formazione e che i nuovi strumenti tecnologici a disposizione possono aiutare, mentre per il 44% degli intervistati, formazione e tecnologie sono ugualmente importanti.^[2]

Consigli per proteggersi dagli attacchi spear phishing

Qualsiasi sia la combinazione scelta, ciò che risulta fondamentale è l'adozione di una strategia di sicurezza che si basi sulle persone. I cybercriminali non vedono il mondo in termini di diagrammi di rete. È importante predisporre una soluzione in grado di darvi la possibilità di vedere in qualsiasi momento chi stia subendo un attacco, in che modo venga attaccato, e se clicchi o meno su un link malevolo. Considerate il rischio individuale che ogni utente rappresenta per la sicurezza della vostra azienda, provate a capire come un vostro dipendente può essere preso di mira, a quali dati abbia accesso e se gli è già capitato di rimanere vittima di attacchi in passato.

Formate i vostri dipendenti, affinché siano in grado di individuare e segnalare prontamente email sospette. Una regolare formazione, accompagnata da simulazioni di attacchi phishing, è in grado di fermare molti attacchi reali e vi aiuta a identificare quali dei vostri dipendenti siano particolarmente vulnerabili. Le simulazioni sono molto importanti, perché utilizzano le stesse identiche tecniche utilizzate negli attacchi reali. Affidatevi alle più recenti soluzioni in fatto di threat intelligence!

Allo stesso tempo, prendete in considerazione la possibilità che prima o poi qualcuno dei vostri dipendenti cliccherà su qualche link compromesso o aprirà qualche allegato malevolo. I cybercriminali troveranno sempre il modo di sfruttare la natura umana a loro favore. Affidatevi ad una soluzione in grado di rilevare e bloccare le minacce esterne via email, che prendono di mira i vostri dipendenti, ancor prima che arrivino nelle loro caselle email. Bloccate infine ogni minaccia esterna che utilizza il dominio della vostra azienda per prendere di mira i vostri clienti e partner commerciali attraverso attacchi spear phishing.

Altri modi e strumenti per proteggersi dallo spear phishing

• Per gli amministratori di rete, impostare le regole DMARC sui server email per impedire ai messaggi phishing di raggiungere i destinatari.
• Tutti i messaggi in cui si fa richiesta di effettuare transazioni finanziarie vanno verificati, per accertarsi che il mittente sia legittimo e il pagamento effettivamente dovuto.
• Non cliccare sui link presenti nelle email. Digitare invece il dominio su un motore di ricerca ed effettuare l'autenticazione soltanto dal sito web ufficiale.
• Fate attenzione ai messaggi che richiedono con urgenza un pagamento o un'autenticazione per mantenere attivo un account.
• Formate i vostri dipendenti affinché siano in grado di identificare i segnali tipici di un tentativo di attacco phishing e informino immediatamente gli amministratori se ricevono messaggi sospetti.
• Assicurarsi sempre che il messaggio provenga davvero dal mittente da cui sembra provenire, anche se si riceve una telefonata che sembra avvalorare tale ipotesi. Ricordate che negli attacchi whaling e spear phishing si utilizza spesso il social engineering.
• Formare i propri utenti affinché non divulghino mai le proprie credenziali per telefono. Gli amministratori di rete non dovrebbero mai chiedere ad alcun dipendente di rivelare le proprie credenziali di accesso.

[1] Tom Burt, Microsoft. “Microsoft Porta In Tribunale Il Quarto Gruppo Di Cybercrimnali Più Importante Al Mondo”
[2] “Nuovi Metodi Per Risolvere Il Problema Del Phishing, Del Business Email Compromise, Dell'account Takeover E Altre Minacce Informatiche” Osterman Research White Paper