Scoperti nuovi attacchi phishing sfruttando l'app dei browser

• Nuove modalità di attacchi phishing sfruttando l'app dei browser
• Phishing: cos'è?
• Nuove tipologie di phishing: connubio tra phishing e ingegneria sociale
• Caso phishing sulla crisi ucraina: account Microsoft presi di mira
• Quali sono le conseguenze del phishing?
• Come difendersi dagli attacchi di phishing

Nuove modalità di attacchi phishing sfruttando l'app dei browser

[Torna su]

Una recente ricerca ha identificato nuove modalità di attacchi phishing sfruttando l'app dei browser. Il ricercatore mr.d0x ha descritto una nuova tecnica di attacco ribattezzata Browser-in-the-Browser (BitB), che sfrutta la modalità "app" di tutti i Web browser della famiglia Chromium (Microsoft Edge, Google Chrome, Brave) per particolari attacchi di phishing, nell'ottica di compromettere credenziali di accesso.

Prima di approfondire questa particolare tipologia di attacco, iniziamo a capire insieme cos'è il phishing.

Phishing: cos'è?

[Torna su]

Si definisce phishing quella forma di truffa online che ha lo scopo di rubare informazioni preziose, come ad esempio le credenziali bancarie o i documenti d'identità.

Vi sono diversi tipi di attacchi informatici. Il più comune è quello dell'email phishing. Il mittente del messaggio di posta elettronica sembra un'organizzazione attendibile, come la banca o la posta. Il testo ci avvisa che c'è un problema relativo al nostro account, in genere legato alla sicurezza. Per risolverlo ci invita a cliccare su un link che, però, riporta a un sito fittizio controllato dall'hacker. È molto difficile accorgersi della differenza, dato che la pagina riproduce in maniera speculare il portale dell'istituto bancario o della posta. Così l'utente inserisce i propri dati, senza rendersi conto che li sta regalando al criminale. Inoltre è molto probabile che, una volta entrati sul sito fasullo, il nostro dispositivo venga infettato da virus, come trojan horse e malware.

Tra le svariate tipologie di attacchi informatici vi è lo spearphishing, che avviene sempre tramite l'invio di email fraudolente ma che ha come obiettivo una determinata azienda o un determinato security manager. Questa specifica tipologia di email è molto diifficile da identificare come truffa.

Gli scopi di questi attacchi sono tipicamente due: si tratta di ottenere del denaro, oppure l'accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato o militari.

Ma il pericolo di attacco informatico non si ferma all'email. Con l'avvento dei social, infatti, si è diffuso anche il tentativo di phishing legato ai social network.

La tattica è identica: il truffatore crea la copia della pagina di un social network (ad esempio una falsa pagina Facebook) e cerca di attirare le ignare vittime, costringendole a condividere i propri dati personali (nome, password, numero di carta di credito o codice PIN) nel corso del processo.

Come abbiamo visto in questi primi paragrafi, vi sono diverse tipologie di mail phishing, ma esistono anche vari sistemi di sicurezza capaci di prevenire e identificare questi tipi di attacchi informatici.

Nuove tipologie di phishing: connubio tra phishing e ingegneria sociale

[Torna su]

Come accennato nel paragrafo introduttivo, grazie al ricercatore mr.d0x, è stata individuata una nuova modalità app del browser Web sfruttata per il phishing.

La forza di un attacco sviluppato sfruttando questa modalità, sta nel fatto che l'utente è portato a fidarsi maggiormente di una app piuttosto che di una pagina Web, sulla quale magari è ormai abituato a diffidare maggiormente, prima di inserire delle credenziali.

L'aspetto privo di distrazioni, tipico della modalità app, con la quale si possono aprire specifici indirizzi Web (URL) fornisce una ulteriore garanzia di stabilità e falsa sicurezza nell'utente. In queste schermate infatti, viene aperto il sito Web (predisposto dall'attaccante) senza barre degli strumenti, come fosse una vera applicazione.

In un attacco di questo genere non è sufficiente l'utilizzo delle sole tecniche di phishing classiche, utili per impersonare un certo servizio o brand, ma è necessario che l'attaccante riesca a convincere la vittima ad eseguire un collegamento di Windows che avvii un URL di phishing utilizzando la funzione Modalità app di Chromium. Normalmente, sempre più spesso, questo passaggio viene portato a termine utilizzando la debolezza del fattore umano e l'ingegneria sociale.

Una grande mano a questo ingresso iniziale, suggerisce la ricerca, è data dall'installazione di default di Microsoft Edge in Windows. È infatti ora molto più semplice per i criminali informatici poter diffondere (e far aprire), file di collegamento .LNK mascherati con altre icone di tipologie di file differenti.

Con questa tecnica si possono creare collegamenti, verso URL malevole, di ogni genere, con differenze rispetto all'originale decisamente non preoccupanti. Un esempio lampante di questo fenomeno è il caso del login Microsoft, per esempio nell'applicativo Teams, distinguere l'app originale, dal collegamento malevolo creato ad hoc, senza vedere la barra degli indirizzi, risulta decisamente sfidante.

Tra i metodi di distribuzione di attacchi che sfruttano gli allegati via e-mail, crescono gli archivi .ZIP e .RAR. Anche in questo caso, il tutto viene accompagnato da grandi dosi di social engineering, tramite il corpo della mail, che guida la vittima passo passo, anche solamente per fornire la password corretta all'archivio presente in allegato. L'ingegneria sociale che viene utilizzata per convincere l'utente a compiere azioni dannose, trova la strada spianata grazie alle tecniche di phishing nella grafica di eventuali allegati dannosi oppure del corpo della mail, così da conquistare subito la fiducia dell'utente.

Un esempio attuale di phishing è stato segnalato dalla polizia di Stato a febbraio 2022 avvertendo su un messaggio che arriva apparentemente nel ministero della salute e che segnala erroneamente "la sua certificazione verde Covid-19 risulta essere clonata, per evitare il blocco è richiesta la verifica dell'identità su dgcgov.valid-utenza.com"

Il rapporto "Cybersecurity Solutions for a Riskier World" di ThoughtLab, che prende in esame 1.200 aziende di 13 diverse industrie, e da 16 diversi paesi, rileva che l'incremento dei data breach si attesta al 15,1%. E la causa primaria è proprio il social engineering. Tanto da prevedere che sarà questo, insieme ai ransomware, la minaccia principale a cui fare attenzione.

Lo stesso ThoughtLab si spende nell'evidenziare un crescente grado di sofisticazione del social engineering, pronto a lavorare in combutta con altre criticità quali misconfiguration, scarsa conoscenza delle reti ove si opera e scarsa manutenzione.

Caso phishing sulla crisi ucraina: account Microsoft presi di mira

[Torna su]

I cyber-criminali, ovviamente, cavalcano l'onda del conflitto russo-ucraino che ha innescato anche una guerra informatica di vaste proporzioni.

Prendendo di mira gli utenti Microsoft, hanno diffuso una campagna phishing per la distribuzione di e-mail dannose avvertendoli di una "insolita attività di accesso" dalla Russia ai propri account.

Questo è un tipico esempio di phishing legato all'ingegneria sociale, perché vengono sfruttate le paure e le ansie legate alla guerra tra Russia e Ucraina.

Quali sono le conseguenze del phishing?

[Torna su]

Secondo il report 2022 Cost of Insider Threats di Proofpoint, realizzato da Ponemon Institute, il numero di attacchi informatici passivi è aumentato in due anni del 44% così come la loro frequenza, con il 67% delle organizzazioni che registrano tra 21 e oltre 40 incidenti all'anno, rispetto al 60% del 2020.

Da una recente indagine Atlas Vpn è emerso che il 37% delle aziende perde in media più di 100.000 dollari per attacco informatico riuscito. Non c'è solo una perdita finanziaria ma quasi un terzo (31%) delle aziende lamenta l'interruzione delle operazioni di partner e clienti e il furto di informazioni finanziarie e, per finire in bellezza, più di un quarto (28%) delle aziende subisce danni reputazionali.

Come difendersi dagli attacchi di phishing

[Torna su]

Abbiamo visto che i cyber-criminali attraverso il social engineering sfruttano abilità sia cognitive che informatiche per manipolare le potenziali vittime e carpire loro dati e informazioni preziose aziendali.

Per le aziende, è importante, quindi, investire su programmi di formazione e sensibilizzazione che aiutino a comprendere quanto sia fondamentale il ruolo di tutto il personale all'interno della cultura della sicurezza aziendale.

Le organizzazioni dovrebbero anche stabilire delle policy di sicurezza ben definite per aiutare i dipendenti a prendere le giuste decisioni quando necessario, attraverso delle linee guida incentrate sui temi della gestione delle password, l'autenticazione a più fattori e la sicurezza e-mail con difese anti-phishing.

Come ci spiega Alessio Piccinni, Cyber Security Analyst di INSIDE Intelligence & Security Investigations, la sicurezza informatica aziendale è molto importante per la continuità del business e, quindi per preservarla, è consigliato svolgere delle indagini difensive informatiche con lo scopo di individuare eventuali attacchi phishing. INSIDE Intelligence & Security Investigations, agenzia investigativa internazionale, fornisce consulenza specializzata in indagini informatiche e indagini sulla sicurezza aziendale.

Innanzitutto, è buona norma seguire un'adeguata Cyber-security Checklist:

• Nominare un responsabile IT;
• Gestire i livelli di autorizzazione per fornire o limitare i diritti d'accesso;
• Gestire le password;
• Predisporre un piano di difesa contro attacchi DoS e DDoS;
• Formare e sensibilizzare le risorse sull'adozione di adeguate misure di sicurezza;
• Effettuare backup quotidiani archiviando i dati in modo sicuro;
• Creare e archiviare in luoghi sicuri copie di sicurezza dei software adoperati nei processi produttivi;
• Individuare le misure tecniche di sicurezza da adottare (e.g. IPS e/o IDS, firewall, anti- virus, filtri antispam, ecc.);
• Individuare le misure fisiche di sicurezza da adottare (e.g. accesso fisico ai server monitorato);
• Espletare gli opportuni controlli tramite specifici test anti-malware;
• Installare, con cadenza periodica, patch e aggiornamenti;
• Proteggere i dati sensibili usando la crittografia;
• Effettuare periodicamente controlli di sicurezza sull'infrastruttura informatica, siti web e Applicazioni per mobile device (VAM, VAPT, WAPT)

L'agenzia investigativa INSIDE Intelligence & Security Investigations offre soluzioni sicure e affidabili che consentono di analizzare il tuo livello di sicurezza aziendale, rilevando le vulnerabilità dei sistemi informatici e proteggendoli da eventuali attacchi e minacce esterne.

Tra le procedure utilizzate vi è quella del phishing simulation. Attraverso sei fasi, viene condotta un'analisi del livello di vulnerabilità dell'azienda nei confronti degli attacchi phishing. Quest'analisi è in grado di individuare i dipendenti più a rischio e tracciare i loro progressi nel tempo, al fine di sviluppare un vero e proprio piano di sicurezza aziendale.