Gli F5 Labs, i laboratori di ricerca di F5 Networks, presentano la terza edizione del report annuale sul phishing e le frodi[1], che fornisce un’istantanea sull’evoluzione delle minacce e delle tattiche più comuni utilizzate per le violazioni.
La ricerca sfrutta i dati forniti dai Security Operation Center di F5 nel mondo e dal partner di F5 per l’intelligence sulle minacce Webroot.
Sulla base dell’analisi degli attacchi registrati nell’arco di un anno[2], gli F5 Labs sottolineano come il phishing sia ancora il metodo maggiormente utilizzato per violare i dati e che i settori che hanno le probabilità più elevate di essere compromessi siano l’ambito finanziario, sanitario, educativo, no profit e contabile.
“Il phishing continua a essere così diffuso semplicemente perché funziona”, spiega David Warburton, Principal Threat Evangelist, F5 Networks e co-autore del report. “Gli aggressori non devono preoccuparsi di hackerare un sistema attraverso un firewall, trovare un exploit zero-day o decifrare la crittografia. La difficoltà è solo quella di creare un’email convincente per persuadere le persone a cliccare su un sito falso”.
Con un numero di minacce che è destinato a crescere costantemente, gli F5 Labs sottolineano come il phishing non possa essere più considerato un fenomeno specifico di alcuni periodi dell’anno e non sia più prevedibile come una volta. Mentre lo scorso anno i SOC di F5 hanno registrato un aumento del 50% degli attacchi di phishing tra ottobre e gennaio, quest’anno il modello è cambiato.
“Nel 2019 abbiamo assistito a un cambiamento di paradigma rispetto ai due anni precedenti”, aggiunge Warburton. “L’ascesa dei social media rende i dati personali disponibili gratuitamente in qualsiasi momento. Una vasta gamma di eventi, non solo festività, ma anche competizioni sportive o avvenimenti politici, offrono ai malintenzionati quello spunto per creare una campagna di phishing convincente”.
Secondo gli F5 Labs, gli indirizzi a cui inviare le email di phishing provengono da una varietà smisurata di fonti, come liste spam e dall’intelligence open source. Le mail di phishing possono essere inviate a migliaia di potenziali vittime o a un individuo specifico, a seconda dell’approccio e dell’intensità con cui vengono colpite le vittime.[3]
Anatomia dell’attacco di phishing del 2019
Combinando i dati dettagliati raccolti da Webroot a partire dal mese di luglio 2019 con le ricerche condotte dai Labs nell’ultimo anno, F5 ha concluso che le e-mail di phishing hanno una probabilità tre volte maggiore di avere un collegamento dannoso rispetto a un allegato. I brand e i servizi più imitati sono Facebook, Microsoft Office Exchange e Apple.
Uno dei trend ricorrenti nel corso dell’anno è la tendenza del phishing verso livelli sempre più elevati di credibilità, che vede il 71% dei siti di phishing utilizzare indirizzi HTTPS per apparire più legittimi.
Gli F5 Labs hanno, inoltre, riscontrato che nell’85% dei casi analizzati i siti di phishing utilizzano certificati digitali che hanno ottenuto la firma di un’autorità di certificazione (CA) attendibile.
Nel 21% dei casi i certificati sui siti di phishing includono una convalida dell’organizzazione (Organization Validation), nel 20% dei casi, o una convalida estesa (EV -Extended Validation), nell’1% dei casi, entrambe pensate specificamente per definire livelli di fiducia più elevati.
“I certificati convalidati servono a garantire la proprietà del dominio da parte di un’organizzazione”, spiega David Warburton. “Sembra però che tutto questo non funzioni. In effetti, Chrome e Firefox hanno annunciato l’intenzione di togliere la visualizzazione degli EV dalla schermata principale. Safari di Apple gli ha già tolto priorità”.
I siti fake di phishing identificati erano situati su una vasta gamma di host Internet, i principali sono 4cn.org (2,7%), airproxyunblocked.org (2,4%), 16u0.com (1,0%) e awardforyouhere.com (1,0%).
Tra i principali siti di phishing unici, invece, figura blogspot.com, responsabile del 4% di tutte le istanze di phishing e del 43% del malware analizzato. La popolare piattaforma di blogging consente agli utenti di ospitare facilmente contenuti dannosi su un dominio ben riconosciuto che fornisce prontamente certificati TLS gratuiti, classificati come OV- Organization Validation per tutti i suoi siti.
Altri domini frequentemente compromessi solo 000webhostapp.com, ebaraersc.net e .info. Gli schemi che compaiono più frequentemente negli URL di phishing esaminati sono: htm (19,4%), .php (7,4%), login (3,0%) e admin (1,2%).
Gli F5 Labs hanno anche notato come oltre il 7% dei siti di malware abbia utilizzato connessioni crittografate su porte HTTPS non standard (ovvero 8443).
“Sfruttare la crittografia HTTPS per nascondere il malware ai sistemi di rilevamento delle intrusioni tradizionali (IDS) è una tattica comune che vediamo crescere nell’utilizzo, in linea con l’aumento della quantità degli attacchi. La maggior parte del malware non può essere rilevata senza l’ispezione SSL / TLS”, ha aggiunto Warburton.
L’ascesa dell’automazione
Un’ultima tendenza significativa evidenziata dal Phishing and Fraud Report del 2019 riguarda il numero crescente di autori del phishing che sfruttano l’automazione per ottimizzare gli attacchi.
I dati mostrano che molti siti di phishing ottengono certificati tramite servizi come cPanel (un pannello di controllo grafico per la gestione e l’amministrazione di siti internet e web hosting integrato con Comodo CA) e LetsEncrypt (una certification authority che automatizza gratuitamente la creazione, la validazione, il rilascio ed il rinnovo di certificati X.509 per il protocollo TLS).
Il 36% dei siti di phishing identificati possiede certificati che durano solo 90 giorni, il che suggerisce che sia stato scelto un processo di automazione dei certificati.
Il 95% dei domini di phishing analizzati ha registrato meno di 10 accessi e nel 47% dei casi un solo e unico accesso, a dimostrazione di come chi attacca stia sfruttando un processo completamente automatizzato di creazione di un sito di phishing per massimizzare il ritorno sugli investimenti.
“L’automazione consente a un phisher di orchestrare a livello di programmazione il processo di acquisto e distribuzione dei certificati su tutti i suoi domini “, spiega Warburton. “Come avevamo predetto lo scorso anno i certificati gratuiti hanno reso molto più semplice per i malintenzionati l’hosting di siti di phishing. Tuttavia, questo non dipende solo da servizi come LetsEncrypt; esistono molti altri modi per creare facilmente certificati TLS gratuiti. I phisher stanno diventando più parsimoniosi e tendono a riutilizzare i certificati nei siti di phishing e malware. Abbiamo scoperto che molti certificati avevano dei Subject Alternative Name, il che consentiva un utilizzo multiplo degli stessi certificati su molti domini.”
[1] https://www.f5.com/labs/articles/threat-intelligence/2019-phishing-and-fraud-report
[2] Analisi effettuate a partire dai dati del F5 Labs 2019 Application Protection Report
[3] Maggiori informazioni sui metodi utilizzati per raccogliere gli indirizzi da attaccare sono disponibili al seguente link F5 Labs 2018 Phishing and Fraud Report
