Che cos'è un attacco Watering Hole?

Il watering hole è un attacco mirato, destinato a colpire gli utenti che appartengono ad un determinato settore o ad uno specifico gruppo di utenti, infettando i siti web visitati abitualmente da questi utenti e attirandoli su siti malevoli. L'obiettivo finale è infettare con malware il computer delle vittime e ottenere accesso alla rete aziendale. Gli attacchi watering hole, anche conosciuti come attacchi a compromissione di siti web strategici, hanno un successo limitato poiché per andare a segno fanno anche affidamento su una componente di fortuna. Diventano però più efficaci quando sono abbinati ad inviti email che spingono le vittime a collegarsi a siti web compromessi.

Il termine attacco watering hole è stato ereditato dal regno animale, in cui i predatori si appostano nei pressi di uno specchio d'acqua, in attesa della preda da assalire. I cybercriminali, si servono di attacchi watering hole per ragioni finanziarie o per realizzare delle botnet, compromettendo siti web popolari. Tuttavia, i cybercriminali che puntano a qualcosa di più che al mero aspetto finanziario tendono a prendere di mira siti web popolari appartenenti ad un particolare settore, come ad esempio un sito relativo ad una conferenza o una fiera.

Proprio come predatori appostati in attesa della preda, gli hacker aspettano che le proprie vittime visitino il sito web malevolo, così da sferrare il loro watering hole attack. I cybercriminali cercano vulnerabilità note sul sito web in questione, infettandolo con malware, restando poi in agguato in attesa delle vittime.

Per aumentare l'efficacia dei watering hole attack, i truffatori invieranno anche email altamente contestualizzate, per indirizzare gli utenti a specifiche pagine del sito compromesso. Spesso, queste email non provengono neppure dai cybercriminali, ma arrivano direttamente dalle newsletter automatiche dei siti web compromessi, inviate regolarmente agli utenti. Ciò rende il rilevamento delle email malevole particolarmente complicato.

Tramite i siti web compromessi, tipicamente il computer dell'utente viene violato grazie ad attacchi di tipo drive-by download che non destano alcun sospetto sulla vittima del fatto che il proprio sistema è stato violato. Per questo motivo difendersi dagli attacchi watering hole può risultare particolarmente complicato per le aziende. Senza sistemi di difesa contro questi attacchi, i siti web possono essere compromessi e restare vulnerabili per mesi o anni prima che ci si accorga del problema.

Gli attacchi watering hole hanno guadagnato popolarità negli ultimi anni. E mentre sono spesso usati a scopo di lucro, puntando solitamente al furto di dati di identificazione personale (PII) e informazioni bancarie, a volte vengono utilizzati per altre ragioni, come ad esempio per scopi politici. Siti web di aziende del settore dei media, così come gruppi religiosi o partiti politici sono stati spesso vittime dei più recenti attacchi watering hole. E le vittime non erano soltanto i siti web in questione, ma soprattutto i visitatori di tali siti, venendo anch'essi inconsapevolmente compromessi.

Le aziende possono proteggersi dagli attacchi watering hole, adottando soluzioni di difesa avanzate contro gli attacchi mirati. I web gateway possono offrire funzionalità di rilevamento contro gli attacchi Watering Hole, per difendere l'ambiente aziendale dai drive-by download che corrispondono a signature note per avere una cattiva reputazione. Per difendersi dagli attacchi più sofisticati, le aziende dovrebbero affidarsi a soluzioni più dinamiche di analisi malware, in grado di rilevare comportamenti malevoli sui siti web più a rischio utilizzati dagli utenti.

Per proteggervi dalle email esca utilizzate negli attacchi watering hole, affidatevi ad una soluzione email in grado di effettuare l'analisi malware dinamica al momento della consegna delle email e al momento del click dell'utente. Inoltre, per proteggere in modo efficace l'azienda, la soluzione deve fornire meccanismi di protezione dell'utente, che si trovi o meno in ambiente aziendale.

Proofpoint fornisce una vasta gamma di servizi di sicurezza informatica per aiutare qualsiasi azienda a combattere gli attacchi watering hole e altre minacce. I nostri servizi di sicurezza sono in grado di proteggere la vostra azienda contro le più avanzate minacce con cui i vostri utenti e dipendenti si trovano a dover fare i conti ogni giorno durante la normale attività di navigazione quotidiana, compresi i pericolosissimi attacchi download drive-by. La protezione avanzata contro le minacce web rileva e previene l'installazione di malware tramite soluzioni di threat intelligence leader del settore, in grado di bloccare automaticamente i siti web infetti.

I servizi di protezione delle applicazioni cloud mantengono al sicuro i dati nelle piattaforme cloud come Google Workspace e Microsoft 365, fornendo dettagli, valutazioni dei rischi, e supportando le aziende con programmi di formazione che permettono di cambiare il comportamento dei dipendenti e degli utenti affinché siano in grado di riconoscere ed evitare di cadere vittime di attacchi informatici.

I servizi di sicurezza premium offerti da Proofpoint forniscono un guscio protettivo essenziale per ottimizzare la difesa dei vostri sistemi aziendali e rispondere prontamente alle minacce. Il nostro team di esperti offre inoltre: consulenza, protezione per le PMI, formazione in sicurezza informatica, difesa dagli attacchi di phishing e molti altri servizi per proteggervi da qualsiasi altra minaccia informatica che potrebbe causare gravi danni alla vostra azienda.