Secondo le società di analisi Radicati e Statista, nel 2022 ogni giorno vengono inviate non meno di 3,4 miliardi di e-mail di phishing. Un dato da capogiro che spinge a farsi delle domande. Come fa un fenomeno così ben identificato da decenni a continuare a eludere i meccanismi di protezione? E quali sono le sue evoluzioni più recenti? Uno sguardo a un fenomeno che continua a mietere vittime.
Ma cos'è il phishing? Questa tecnica malevola è tesa a ingannare una terza parte e farle compiere un'azione pericolosa al fine di sottrarre informazioni personali come password, data di nascita, numeri di carte di credito o copie di documenti d'identità. Per farlo, questa tecnica utilizza diverse tipologie di usurpazione (contraffazione di siti, contraffazione di nomi di dominio, furto di identità, ecc.) e diversi canali (e-mail, SMS, ecc.). Questa definizione è completata da quella di Mitre Att&ck, che comprende la possibilità che i messaggi e-mail contengano allegati o link malevoli. Ancora oggi, il 91% degli attacchi informatici utilizza la posta elettronica come vettore primario di compromissione. Questa situazione ha portato a iniziative di sensibilizzazione su scala nazionale, come la campagna "Think before you click" del Center for cybersecurity del Belgio. Di fronte a questa attività, è interessante chiedersi da dove provenga questo tipo di attacco e come si sia diffuso tra i criminali informatici.
Gli albori e i primi sviluppi del phishing
Il termine phishing è stato coniato nel 1996 su un gruppo di discussione Usenet intitolato AOHell. Per sottolineare il fatto che questo attacco prevede una falsa identità, l'autore ha deliberatamente cambiato l'ortografia della parola "fishing" in "phishing". L'usurpazione degli accessi degli utenti agli account AOL ha dato il via a quella che sarebbe poi diventata una tendenza diffusa tra i criminali informatici: quella di poter prendere di mira in modo massiccio i clienti di una grande azienda. "Quando è emerso il phishing, venivano presi di mira soprattutto i privati, attraverso i grandi marchi", aggiunge Adrien Gendre, Chief Tech & Product Officer di Vade. L'episodio di AOHell è un esempio perfetto, perché all'epoca American Online era un marchio forte e un attore importante nel mercato degli Internet provider. A partire da uno stesso scenario è possibile prendere di mira milioni di utenti."
In passato, criminali isolati generavano guadagni in modo malevolo da poche vittime. Oggi parliamo invece di organizzazioni di criminalità informatica strutturate, che utilizzano il phishing per generare guadagni, per fare dello spionaggio industriale o la guerra economica. Questo porta all'emergere di un'attività di phishing che impersona marchi B2B.
Adrien Gendre, Chief Tech & Product Officer di Vade
È su questa base che negli anni 2000 è nato il concetto di Spray and Pray. Si tratta di una campagna di phishing che si spaccia per un marchio famoso in tutto il mondo e prende di mira gli indirizzi e-mail in modo indiscriminato e su vasta scala. Vincite alla lotteria, campagne di beneficenza, chiusura del conto corrente... qualunque argomento è buono per cercare di truffare le vittime. Facilmente riconoscibili, le prime campagne di phishing contenevano numerosi errori di ortografia, refusi, immagini di bassa qualità e il significato del messaggio non era sempre chiaro perché mancava un traduttore online. Contemporaneamente è emerso anche il concetto di clone phishing. L'obiettivo di questa tecnica è semplice: usurpare l'identità di marchi noti utilizzati nella vita quotidiana, sia a livello personale che professionale. Secondo Adrien Gendre questo segna un cambiamento di paradigma: "Dietro al phishing si è creata un'intera economia. In passato, criminali isolati generavano guadagni in modo malevolo da poche vittime. Oggi parliamo invece di organizzazioni di criminalità informatica strutturate, che utilizzano il phishing per generare guadagni, per fare dello spionaggio industriale o la guerra economica. Questo porta all'emergere di un'attività di phishing che impersona marchi B2B." Seguendo i nuovi usi, i criminali informatici prendono di mira la posta elettronica, gli spazi di archiviazione o persino i documenti condivisi su Microsoft 365 e Google Workspace. Nel solo mese di febbraio 2022, l'editore Vade ha rilevato quasi 23 milioni di e-mail di phishing che impersonavano il marchio Microsoft.
Le società che sviluppano software per la sicurezza informatica stanno rispondendo a questa minaccia con filtri anti-phishing (basati sugli envelope, oggetti, contenuti o indirizzi IP dei messaggi di posta elettronica) e altre tecnologie di doppia autenticazione. Per riuscire ad eludere questi nuovi radar, i criminali informatici cercano quindi di rubare l'identità di privati. Questa tecnica punta a compromettere l'account di posta elettronica di un lavoratore (BEC o business email compromise) con l'obiettivo di appropriarsi della sua identità nei rapporti con i suoi colleghi, clienti e partner, come negli esempi degli attacchi di frode del Presidente. "La frode del Presidente viene utilizzata per estorcere denaro", afferma Adrien Gendre. "Spesso viene organizzata durante i periodi di vacanza, quando il manager è assente. Si tratta di una frode formidabile perché può sottrarre a un'azienda somme di denaro estremamente elevate con una semplice e-mail." Questo è esattamente quello che è successo a un promotore immobiliare che nel gennaio 2022 è stato vittima in Francia di una frode del Presidente per la cifra record di 33 milioni di euro. Anche se la data esatta non è certa, si ritiene che questi primi attacchi mirati siano emersi negli Stati Uniti tra il 2014 e il 2015 e ora coesistono al fianco delle tecniche di phishing "semplice".
Uno schema di phishing che troverà degli emuli anche negli anni 2000. Un meccanismo simile al phishing verrà infatti osservato sui sistemi di messaggistica online MSN, Hotmail o ICQ, e più tardi su Facebook. Conosciute come "romance scam", o truffe sentimentali, queste truffe sono spesso realizzate da criminali informatici in team. Detti anche "grazer", questi criminali informatici incantano le donne, di solito vedove, con l'intento di estorcere loro ingenti somme di denaro. Nemmeno gli uomini sono esenti, anche loro sono infatti vittime di sextortion e attacchi alla webcam. Questa tecnica si ispira ampiamente al phishing e gioca sulla credulità dell'utente di Internet.
La crescente complessità delle campagne di phishing
In risposta alle contromisure dei produttori di software per la sicurezza informatica e a una certa maturità del pubblico nei confronti della minaccia, le campagne di phishing si sono fatte più sofisticate, enfatizzando gli aspetti psicologici. Una campagna di phishing mira sempre a indurre la vittima a fare qualcosa: non basta infatti una semplice e-mail. Il messaggio deve essere tale da spingere la vittima a fare clic, sfruttando riflessi di emergenza, paura, stress o persino avidità. "I criminali informatici sfruttano le emozioni primarie delle loro vittime per assicurarsi il numero massimo di clic, il più delle volte la paura", afferma Sébastien Viou, Direttore dei prodotti di sicurezza informatica e Cyber Evangelist Consultant di Stormshield. "Paura di perdere soldi, paura di veder cancellato il proprio abbonamento, paura di essere licenziati; spesso queste paure sono incontrollabili e provocano una reazione istintiva e rapida. Ecco perché questo tipo di attacco ha tanto successo..."
I criminali informatici sfruttano le emozioni primarie delle loro vittime per assicurarsi il numero massimo di clic, il più delle volte la paura. Paura di perdere soldi, paura di veder cancellato il proprio abbonamento, paura di essere licenziati; spesso queste paure sono incontrollabili e provocano una reazione istintiva e rapida. Ecco perché questo tipo di attacco ha tanto successo...
Sébastien Viou, Direttore dei prodotti di sicurezza informatica e Cyber Evangelist Consultant di Stormshield
Sfruttando strumenti di automazione delle campagne di phishing come Gophish o Sniperphish, i criminali informatici utilizzano oggi modelli di capture page e modelli di e-mail già pronti. Per ingannare le loro vittime, questi criminali informatici si adattano soprattutto ai nuovi usi e alle nuove mode della società. Dopo anni di dominio dei servizi bancari a livello mondiale, oggi al primo posto ci sono i social network. Nel periodo 2019-2021, Facebook, LinkedIn e WhatsApp sono diventati i marchi maggiormente oggetto di usurpazione in questo tipo di campagne, al fianco di marchi come Google e Apple. Dopo le ondate di Covid-19, nel 2021 è toccato alle imprese di delivery essere prese di mira: DHL, FedEx, Amazon e AliExpress sono tra i 10 marchi più contraffatti.
Per contrastare la crescente vigilanza dei sistemi di rilevamento e degli utenti, i criminali informatici stanno implementando nuove tattiche. Il typosquatting (ovvero l'acquisto di un dominio simile) è uno dei meccanismi più utilizzati, perché tra i più economici. Di fronte a una pagina di phishing su un dominio molto simile a quello originale, la vittima non si rende conto che si trova in una pagina di phishing. Nella maggior parte dei casi, il sito presenta solo una lettera di differenza (ad esempio mcrosoft.com anziché microsoft.com). Nel luglio 2022 sono stati registrati più di 1.000 domini ingannevoli su .fr. La visualizzazione di una falsa convalida dell'e-mail ricevuta è un'altra tecnica per spezzare la vigilanza della vittima. Nelle e-mail appare un falso banner, sotto forma di immagine, che indica che il mittente e l'allegato sono legittimi e che sono stati verificati dal sistema di protezione. Più grande è, meglio è. Anche il link di phishing è stato modificato ed è ora inserito in una catena di link di reindirizzamento, in modo che i filtri anti-phishing non siano in grado di raggiungere l'URL finale. Anche il corpo dell'e-mail è stato rivisto dai criminali informatici e inserito all'interno di un'immagine, per contrastare il rilevamento testuale. Recentemente è emersa una nuova tecnica di offuscamento, come riferisce Adrien Gendre: "Per aggirare i filtri di rilevamento della contraffazione del logo, i criminali informatici visualizzano ora il logo non come un'immagine ma come una tabella composta da un insieme di celle larghe un pixel. In questo modo il logo rimane identico all'occhio umano, ma la tabella lo rende più difficile da identificare da parte di un filtro anti-phishing. Questa usurpazione è comunque rilevabile con un'analisi visiva per mezzo di un algoritmo di "computer vision".
Allo stesso tempo, la diffusione (frequente) di database contenenti indirizzi e-mail o numeri di telefono rappresenta una vera e propria miniera d'oro per i criminali informatici. Tra le maggiori fughe di dati ricordiamo Yahoo nel 2013, con 3 miliardi di dati dei clienti, Facebook nel 2019 con 540 milioni di dati e Instagram nel 2020 con 200 milioni di dati. Nel periodo 2004-2022 sono state registrate 353 esfiltrazioni e pubblicazioni di database contenenti più di 30.000 record. Sfortunatamente per le vittime, l'analisi di questa massa di dati rivela che spesso viene utilizzata la stessa password, che di solito è debole e utilizzata ripetutamente su diversi account di social network o di posta elettronica. Questa scarsa igiene digitale facilita la compromissione degli account e, di rimando, il forte incremento del numero di vittime di phishing. È grazie a questa conoscenza delle vittime che si sono sviluppate le campagne di affinity phishing.
Il phishing approda su nuovi mezzi di comunicazione
Dopo aver inondato le caselle di posta elettronica per decenni, il phishing approda ora su nuovi mezzi di comunicazione.
Il cosiddetto smishing, il phishing via SMS, sembra aver subito un'accelerazione durante il periodo dei lockdown, come riporta Adrien Gendre. "Il forte aumento della domanda di consegne a domicilio durante il periodo di lockdown ha determinato un notevole incremento del numero di attacchi di phishing via SMS. Il tema della consegna a domicilio è oggi lo scenario di smishing che si osserva con maggiore frequenza."
Il forte aumento della domanda di consegne a domicilio durante il periodo di lockdown ha determinato un notevole incremento del numero di attacchi di phishing via SMS. Il tema della consegna a domicilio è oggi lo scenario di smishing che si osserva con maggiore frequenza.
Adrien Gendre, Chief Tech & Product Officer di Vade
Gli SMS non sono l'unico mezzo di comunicazione per queste campagne, poiché oggi le campagne di phishing vengono realizzate anche su WhatsApp. Vengono diffuse anche sui sistemi interni di messaggistica aziendale, come Microsoft Teams e Slack. È emersa anche una variante che si presenta con una voce robotica, detta "vishing", che sta per voice phishing, ma non sembra aver preso ancora piede. Al confine tra truffa e phishing, la proliferazione di falsi account in rete e di falsi annunci di lavoro consente ai criminali informatici di ingannare le vittime. Il meccanismo è semplice: scaricando un'offerta di lavoro contenente uno spyware, nel luglio 2022 un lavoratore della società Sky Mavis si è visto sottrarre l'accesso alla blockchain, consentendo il furto di 560 milioni di euro.
L'ultima novità è la forma di phishing detta browser-in-the-browser, una strategia che prevede la visualizzazione di una finta finestra del browser. Facendo clic su un pulsante di login, la vittima pensa di stare caricando una nuova finestra di autenticazione, che però è fasulla. L'utente è in realtà ancora nella stessa finestra e il criminale informatico visualizza un URL legittimo per indurre la vittima ad abbassare la guardia. Inconsapevolmente, la vittima inserisce così le proprie credenziali in un sito malevolo. Sebbene sia molto complessa da rilevare, quest'ultima innovazione presenta delle limitazioni sui telefoni cellulari.
Alla domanda: quale sarà il futuro del phishing? Adrien Gendre sembra intravedere una tendenza all'automazione: "Nel prossimo futuro il phishing sarà altamente automatizzato. Con la tecnologia di "text augmentation" oggi è possibile generare centinaia di e-mail con lo stesso significato ma utilizzando testi completamente diversi. È quindi probabile che nei prossimi anni il phishing passi da una massa di attacchi indiscriminati a una massa di campagne chirurgiche. " Una tecnica di automazione che sembra ispirarsi al campo del... SEO, e all'algoritmo GPT-3. Di fronte all'uso di queste tecnologie open-source, le società che producono sistemi di sicurezza informatica dovranno innovare ancora per affrontare queste nuove sfide.