Gli attacchi di phishing che sfruttano l’emergenza COVID-19 sono sempre più numerosi. I ricercatori di Barracuda hanno osservato un recente picco in questo tipo di attacco, in crescita del 667 percento dalla fine di febbraio.
Tra l’1 e il 23 marzo Barracuda Sentinel ha rilevato 47.825 attacchi spear phishing email: 9.116 di questi rilevamenti erano collegati al COVID-19, il che rappresenta circa il 2 per cento degli attacchi. Per fare un raffronto, a febbraio sono stati rilevati 1.188 attacchi email relativi al Coronavirus e a gennaio solo 137. Sebbene il numero complessivo di questi attacchi sia ancora basso rispetto ad altri, la minaccia sta crescendo rapidamente.
La minaccia
Phishing collegato al Coronavirus — Diverse campagne di phishing stanno sfruttando la crescente attenzione rivolta al COVID-19 per diffondere malware, rubare credenziali e truffare gli utenti sottraendo loro denaro. Gli attacchi utilizzano tattiche di phishing comuni che si osservano regolarmente; tuttavia, un numero crescente di campagne fa leva sul coronavirus per tentare di ingannare gli utenti distratti, sfruttando la paura e l’assenza di certezze delle vittime designate. L’FBI ha recentemente diffuso un avviso su questo tipo di attacchi.
I dettagli
I ricercatori di Barracuda hanno individuato tre tipi principali di attacchi di phishing che utilizzano temi legati al Coronavirus COVID-19: truffa, brand impersonation e business email compromise. Degli attacchi correlati al Coronavirus rilevati da Barracuda Sentinel al 23 marzo, il 54% era costituito da truffe, il 34% da attacchi di brand impersonation e l’1% da compromissione della posta elettronica aziendale.
Gli attachi di phishing che sfruttano il COVID-19 stanno diventando sempre più sofisticati. Negli ultimi giorni, i ricercatori di Barracuda hanno registrato un numero significativo di tentativi di ricatto e qualche istanza di conversation hijacking. Di contro, fino a qualche giorno fa sono stati osservati prevalentemente tentativi di truffa. Al 17 marzo, degli attacchi di phishing legati al Coronavirus individuati da Barracuda Sentinel, 77 percento erano truffe, 22 percento tentativi di brand impersonation e 1 percento di business email compromise. Secondo gli esperti di Barracuda, la tendenza verso attacchi più sosfisticati è destinata a continuare.
Gli obiettivi degli attacchi vanno dalla diffusione di malware al furto di credenziali, al guadagno economico. Un nuovo tipo di ransomware rilevato dai sistemi di Barracuda ha persino assunto il nome di COVID-19 e si è soprannominato CoronaVirus.
Gli hacker più esperti sono bravi a far leva sulle emozioni per ottenere una risposta ai loro tentativi di phishing, come dimostrano le campagne di sextorsion, che riescono nell’intento di provocare imbarazzo e paura nelle persone al fine di sottrarre loro denaro. Con la paura, l’incertezza e la solidarietà derivanti dalla situazione attuale, gli hacker hanno individuato alcune emozioni chiave da sfruttare.
Ad esempio, è stato rilevato un tentativo di ricatto nel quale il criminale affermava di avere accesso alle informazioni personali della vittima, di sapere dove si trovasse, minacciando di infettare la vittima e la sua famiglia con il Coronavirus se non fosse stato pagato un riscatto. Barracuda Sentinel ha rilevato questo particolare attacco 1.008 volte nell’arco di due giorni.
Truffe
Molte delle truffe rilevate da Barracuda Sentinel sono basate sul tentativo di vendere cure per il Coronavirus o mascherine, oppure chiedono di versare del denaro a favore di finte aziende che starebbero sviluppando il vaccino. Le truffe sotto forma di richieste di donazioni per organizzazioni benefiche fasulle sono un altro popolare metodo di phishing che sfrutta il Coronavirus, rilevato dai ricercatori di Barracuda.
Ad esempio, una di queste truffe smascherate dai sistemi Barracuda affermava di provenire dalla World Health Community (che non esiste, ma che gioca sulla somiglianza del nome con quello della World Health Organization) e chiedeva donazioni attraverso un portafoglio Bitcoin fornito nella email.
Malware
Una varietà di ‘normale’ malware viene distribuita tramite phishing correlato al coronavirus, in particolare con varianti modulari che consentono ai criminali di distribuire diversi moduli di payload attraverso lo stesso malware. Il primo malware a sfruttare il coronavirus è stato Emotet, un famoso Trojan bancario, diventato modulare l’anno scorso. IBM X-Force ha scoperto che Emotet veniva distribuito nelle e-mail giapponesi che affermavano di provenire da un fornitore di servizi per disabili. Le e-mail di phishing contenevano un documento che scaricava e installava Emotet quando le macro erano abilitate, una pratica comune per la distribuzione di malware in questi giorni.
LokiBot è un altro malware modulare, che spesso mira a rubare credenziali e dati di accesso, ed è stato diffuso in almeno due diverse campagne di phishing collegate al Coronavirus che Comodo ha monitorato. Una campagna utilizzava il trucco delle fatture allegate, che contenevano LokiBot, aggiungendo delle scuse per il ritardo nell’invio dovuto al Coronavirus. L’altra campagna affermava di essere un aggiornamento di notizie e “Una cosa che devi fare” (una variante di “Uno strano trucco”, molto comune nello spam), e conteneva un collegamento al malware. I sistemi Barracuda hanno rilevato numerosi esempi di email che utilizzano la scusa della fattura, come quella in calce, che è stata rilevata più di 3.700 volte.
Altri malware che sfruttano il COVID-19 per il furto di informazioni includono AzorUlt, che viene diffuso da un sito di phishing sotto forma di una mappa dei contagi, e TrickBot, che sta circolando in Italia tra le email di phishing.
Furto di credenziali
Oltre alla diffusa raccolta di credenziali da parte di malware che rubano informazioni, gli attacchi di phishing con collegamenti a pagine di accesso contraffatte utilizzano anche il Coronavirus come esca. Una di queste varianti rilevata dai sistemi Barracuda sostiene di provenire dai CDC (Centri statunitensi per il controllo e la prevenzione delle malattie) e tenta di rubare le credenziali di Microsoft Exchange quando si clicca sul link pericoloso.
Come proteggersi
Anche se le email di phishing che sfruttano il Coronavirus sono nuove, valgono comunque le stesse precauzioni di sempre per la sicurezza della posta elettronica:
- Diffidare di qualsiasi email che cerchi di indurre gli utenti ad aprire allegati o a cliccare sui link. Le soluzioni anti-malware e anti-phishing possono essere particolarmente utili per impedire a email e payload dannosi di raggiungere i destinatari predestinati, ma anche con tali protezioni in atto si dovrebbe sempre usare cautela poiché nessuna soluzione è efficace al 100%.
- Fare attenzione a tutte le comunicazioni che sostengono di provenire da fonti dalle quali normalmente non si ricevono email. Questi sono probabilmente tentativi di phishing. Mentre ricevere email relative al coronavirus da liste di distribuzione legittime a cui si appartiene sta diventando frequente, le email di organizzazioni dalle quali non si ricevono regolarmente messaggi dovrebbero essere esaminate attentamente.
- Usare cautela con le email provenienti da organizzazioni con cui si comunica regolarmente. La brand impersonation è piuttosto diffusa negli attacchi email relativi al coronavirus; è necessario quindi fare attenzione quando si aprono email che si prevede di ricevere da una determinata organizzazione. Ciò è particolarmente vero per coloro che operano nel settore sanitario poiché vengono presi di mira dagli attacchi informatici che approfittano della pressione derivante dalla gestione di un flusso enorme di casi di coronavirus.
- Cercare enti di beneficenza affidabili e donare direttamente. Una tattica comune delle truffe legate al coronavirus è la richiesta di donazioni per aiutare le persone colpite dalla pandemia. Per evitare di cadere vittima di uno di questi attacchi, non rispondere alle richieste via email di donazioni. Invece, è meglio individuare enti di beneficenza conosciuti e donare direttamente a loro per essere sicuri che i fondi finiscano dove possono fare del bene piuttosto che nelle mani dei truffatori. È anche altamente improbabile che qualsiasi organizzazione benefica legittima richieda donazioni attraverso i portafogli Bitcoin, quindi vedere questo in un’email dovrebbe essere un campanello d’allarme.
