Il rapporto di questa settimana secondo cui gli attacchi informatici sono focalizzati sul laser per creare attacchi specializzati aggirare la sicurezza predefinita di Microsoft mostra un'allarmante evoluzione delle tattiche di phishing, hanno affermato questa settimana gli esperti di sicurezza.
Gli attori delle minacce stanno migliorando nel far scivolare gli attacchi di phishing attraverso i punti deboli delle difese e-mail della piattaforma, utilizzando una varietà di tecniche, come l'offuscamento dei caratteri a zero punti, nascondersi dietro i servizi di messaggistica cloud e ritardare l'attivazione del payload, ad esempio. Stanno anche facendo più mira e ricerca sulle vittime.
Di conseguenza, quasi 1 email di phishing su 5 (18.8%) ha aggirato le difese della piattaforma Microsoft ed è arrivata nelle caselle di posta dei lavoratori nel 2022, un tasso che è aumentato del 74% rispetto al 2020, secondo una ricerca pubblicata il 6 ottobre dalla società di sicurezza informatica Check Point Software. Gli aggressori hanno utilizzato sempre più tecniche per superare i controlli di sicurezza, come Sender Policy Framework (SPF) e offuscare i componenti funzionali di un'e-mail, come l'utilizzo di font di dimensioni zero o nascondere URL dannosi dall'analisi.
Le crescenti capacità degli aggressori sono dovute alla migliore comprensione delle attuali difese, afferma Gil Friedrich, vicepresidente della sicurezza della posta elettronica presso Avanan, un'azienda di sicurezza della posta elettronica acquisita da Check Point nell'agosto 2021.
"Si tratta di una famiglia di 10-20 tecniche, ma tutte portano all'obiettivo di ingannare i livelli di sicurezza di un'azienda", afferma. "Il risultato finale è sempre un'e-mail che sembra genuina per il destinatario ma ha un aspetto diverso dall'algoritmo che analizza il contenuto".
Microsoft ha rifiutato di commentare la ricerca. Tuttavia, l'azienda ha avvertito di tecniche avanzate, come phishing dell'avversario nel mezzo (AiTM), che utilizza un URL personalizzato per posizionare un server proxy tra una vittima e il sito desiderato, consentendo all'attaccante di acquisire dati sensibili, come nomi utente e password. A luglio, la società lo ha avvertito più di 10,000 organizzazioni erano state prese di mira durante una campagna AiTM.
Check Point non è l'unico fornitore ad avvertirlo gli attacchi di phishing stanno migliorando. In un sondaggio, la società di sicurezza e-mail Proofpoint ha rilevato che l'83% delle organizzazioni ha subito un attacco di phishing basato su e-mail riuscito, quasi la metà di coloro che hanno subito un attacco del genere nel 2020. L'azienda di sicurezza informatica Trend Micro ha visto il numero di attacchi di phishing più che raddoppiato, crescendo del 137% nella prima metà del 2022 rispetto allo stesso periodo del 2021, secondo l'azienda Rapporto di metà anno sulla sicurezza informatica 2022.
Nel frattempo, i servizi dei criminali informatici, come il phishing-as-a-service e il malware-as-a-service, stanno racchiudendo le tecniche di maggior successo in offerte facili da usare. In un sondaggio tra tester di penetrazione e squadre rosse, quasi la metà (49%) considerava il phishing e l'ingegneria sociale essere le tecniche di attacco con il miglior ritorno sull'investimento.
Ricerca e ricognizione informano sul phishing
Anche gli aggressori stanno migliorando grazie allo sforzo che i cyberattaccanti fanno nella raccolta di informazioni per prendere di mira le vittime con l'ingegneria sociale. Per prima cosa, stanno utilizzando la grande quantità di informazioni che possono essere raccolte online, afferma Jon Clay, vicepresidente dell'intelligence sulle minacce per la società di sicurezza informatica Trend Micro.
"Gli attori indagano sulle loro vittime utilizzando l'intelligence open source per ottenere molte informazioni sulla loro vittima [e] creano e-mail di phishing molto realistiche per convincerle a fare clic su un URL, aprire un allegato o semplicemente fare ciò che l'e-mail dice loro di fare, come nel caso di attacchi BEC (Business E-Mail Compromesso)”, afferma.
I dati suggeriscono che gli aggressori stanno anche migliorando nell'analisi delle tecnologie difensive e nella determinazione dei loro limiti. Per aggirare i sistemi che rilevano URL dannosi, ad esempio, i criminali informatici utilizzano sempre più siti Web dinamici che possono sembrare legittimi quando un'e-mail viene inviata, ad esempio, alle 2 del mattino, ma presenteranno un sito diverso alle 8 del mattino, quando il lavoratore apre il messaggio .
Miglioramenti in difesa
Tali tecniche non solo ingannano, ma sfruttano le asimmetrie nella difesa rispetto all'attacco. La scansione di ogni URL inviato in un'e-mail non è una difesa scalabile, afferma Friedrich di Check Point. L'esecuzione di URL in una sandbox completa, l'analisi dei collegamenti a una profondità specifica e l'utilizzo dell'elaborazione delle immagini per determinare i siti che stanno cercando di imitare un marchio richiede molta potenza di calcolo.
Invece, le aziende di sicurezza della posta elettronica stanno implementando analisi "click-time" per affrontare il problema.
"Ci sono alcuni algoritmi o test che non puoi eseguire su ogni URL, perché il calcolo è enorme e alla fine il prezzo diventa proibito", dice. "Per farlo al momento del clic, dobbiamo solo eseguire i test sugli URL su cui gli utenti fanno effettivamente clic, che è una frazione, quindi l'1% dei collegamenti totali nelle e-mail".
Inoltre, le crescenti difese si basano sull'apprendimento automatico e sull'intelligenza artificiale per classificare URL e file dannosi in modi che i sistemi basati su regole non possono, afferma Clay di Trend Micro.
"Trattare con allegati armati può essere difficile per quei controlli di sicurezza che si basano ancora solo sulle firme e non dispongono di tecnologie avanzate in grado di scansionare il file utilizzando ML o una sandbox, entrambi i quali potrebbero rilevare molti di questi file malware", afferma .
Inoltre, precedenti dichiarazioni di Microsoft hanno notato che Office 365 include molte delle funzionalità di protezione della posta elettronica discusse da altri fornitori, inclusa la protezione dalla rappresentazione, la visibilità nelle campagne di attacco e l'utilizzo di euristica avanzata e machine learning per riconoscere gli attacchi di phishing che interessano un'intera organizzazione o settore.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
