Secondo gli analisti di Radicati e Statista, nel 2022 sono stati inviati quotidianamente non meno di 3,4 miliardi di e-mail di phishing. Come è possibile che un fenomeno noto da decenni riesca ancora ad aggirare i meccanismi di difesa? Una panoramica di Stormshield su un fenomeno che continua a mietere vittime
Lo sviluppo del phishing
Il phishing è una tecnica infida impiegata per persuadere terzi a condividere informazioni personali. Il termine phishing è stato coniato nel 1996 in un newsgroup di Usenet chiamato AOHell. Per evidenziare le finalità fraudolente di tali attacchi, l’autore ha deliberatamente cambiato l’ortografia da “fishing” a “phishing”. Il furto dei dati di accesso agli account di utenti AOL, allora condotto con successo, aprì la strada a un trend irrinunciabile per i cybercriminali che ancora oggi utilizzano questo strumento, anche contro le grandi aziende.
E’ in questo contesto che negli anni 2000 si sviluppa il concetto di “spray and pray”, riferito a campagne di phishing in cui si impiegano particolari circostanze o occasioni come esca in e-mail inviate in modo casuale. Vincite alla lotteria, campagne di beneficenza, chiusura di conti bancari: qualunque pretesto si presta alla frode. Parallelamente emerge anche il “clone phishing”, ovvero l’abuso di marchi molto noti a livello personale o professionale come esca. Dietro al phishing, nel frattempo, si è sviluppata un’intera economia. Mentre in passato i singoli attori traevano guadagno da poche vittime, oggi le organizzazioni cybercriminali strutturate utilizzano il phishing su larga scala per generare entrate, effettuare spionaggio industriale o condurre guerre di matrice finanziaria. Peraltro, gli attacchi di phishing che abusano di marchi B2B sono tutt’altro che rari. Nel solo mese di febbraio 2022, ad esempio, Vade ha registrato circa 23 milioni di e-mail di phishing che impersonavano il marchio Microsoft.
I produttori di soluzioni di cybersecurity rispondono a questa minaccia con filtri anti-phishing e tecnologie di doppia autenticazione. Per aggirare questi ostacoli, i criminali informatici ricorrono al furto di identità, una tecnica volta a compromettere l’account di posta elettronica di un qualsiasi dipendente (BEC o “Business Email Compromise”) con l’obiettivo di truffare colleghi, clienti e partner dell’azienda impersonando il malcapitato. Il cosiddetto attacco President’s Fraud ne è un esempio lampante e, nel gennaio 2022, è costato ad esempio a un costruttore francese la somma record di 33 milioni di euro.
Oggi coesistono numerosi tipi di phishing. Tra questi figura anche il cosiddetto “romance scam”, con cui i cybercriminali seducono donne solitamente vedove o single per estorcere loro ingenti somme di denaro. Anche gli uomini non sono esenti dal fenomeno, la sextortion (tentativo di ricatto basato su presunte attività sessuali della vittima) è una tecnica ampiamente ispirata al phishing che gioca sull’ingenuità dell’utente.
A fronte delle misure difensive dei produttori di software per la cybersicurezza e di una maggiore consapevolezza del pubblico nei confronti di questa minaccia, col tempo le campagne di phishing sono divenute più sofisticate. “I cybercriminali sfruttano le emozioni primarie delle loro vittime per assicurarsi il massimo ritorno. Tra queste la paura di lasciarsi scappare l’occasione della vita (un lavoro, un affare, un’eredità ecc.), di perdere denaro, di vedersi cancellare un abbonamento o di essere licenziati. Spesso queste paure sono incontrollabili e foriere di reazioni istintive e istantanee. Ecco perché questo tipo di attacco ha così tanto successo”, afferma Andrea Scattina, Channel Manager Italia di Stormshield.
La crescente complessità delle campagne di phishing
Con l’aiuto di strumenti di automazione delle campagne di phishing come Gophish o Sniperphish, i cybercriminali dispongono di modelli preconfezionati per siti fittizi e e-mail, e si adattano velocemente alle nuove mode. Dopo anni in cui le e-mail concernenti istituti bancari hanno avuto il predominio a livello mondiale, nel periodo 2019-2021 Facebook, LinkedIn e WhatsApp oltre a marchi quali Google e Apple sono stati tra i più abusati. Dopo l’ondata del Covid invece l’attenzione si è spostata sui più noti brand della logistica: DHL, FedEx, Amazon e AliExpress sono tra i dieci marchi più impiegati in tali campagne.
A ciò si aggiungono nuove tattiche come il typosquatting (ad esempio “mcrosoft.com” invece di “microsoft.com”) o il camuffamento di URL di phishing tramite concatenamento di link di reindirizzamento in modo che i filtri anti-phishing non siano in grado di determinare l’URL finale. Tra le tecniche di attacco figura anche l’inserimento dei testi delle e-mail nelle immagini per contrastare il rilevamento basato sul testo o lo spezzettamento di logotipi poi inseriti in tabelle composte da una serie di celle larghe un pixel per aggirare i filtri anti-spoofing. I leak dei database di indirizzi e-mail e numeri di telefono rappresentano infine una miniera d’oro per i criminali informatici. L’elenco dei data leak da record comprende Yahoo nel 2013 con 3 miliardi di dati di utenti, Facebook nel 2019 con 540 milioni di dati e Instagram nel 2020 con 200 milioni di dati. Naturalmente l’utilizzo della stessa password per più piattaforme facilita la compromissione degli account e, porta analogamente, attraverso una comunicazione più mirata, a un forte aumento del numero di vittime del phishing.
Da annoverare anche i nuovi vettori di phishing. Il phishing via SMS, noto come “smishing”, sembra aver subito una forte accelerazione durante il lockdown. Lo stesso vale per WhatsApp e per i servizi di messaggistica aziendali, come Microsoft Teams e Slack. La variante di phishing più recente è tuttavia l’attacco “browser-in-the-browser”, una strategia che prevede la visualizzazione di una finta nuova finestra del browser. Cliccando sul pulsante di accesso all’area riservata di un sito, l’utente ha l’impressione che si apra una nuova finestra di autenticazione, cosa che in realtà non si verifica. Il cybercriminale mostra un URL legittimo, che dissipa qualsiasi dubbio della vittima, inducendola a inserire le proprie credenziali in un sito web dannoso.
Il futuro del phishing
In futuro è prevedibile una forte automazione del phishing. La text augmentation consente infatti di generare centinaia di e-mail dallo stesso contenuto ma con testi diversi. È quindi probabile che nei prossimi anni il phishing si evolva da una massa di attacchi generalizzati a una serie di campagne dalla precisione chirurgica attraverso tecniche di automazione che sembrano ispirarsi al SEO e all’algoritmo GPT-3. Dato il crescente impiego di queste tecnologie open-source, i fornitori di soluzioni di cybersicurezza necessiteranno di ulteriori innovazioni per far fronte a queste nuove sfide.