Uno studio condotto da Yoroi – Tinexta Group insieme all’Università di Bologna e a quella di Modena-Reggio Emilia ha individuato oltre 2000 Phishing kit ad uso dei criminali per truffare le loro vittime.
Applicando tecniche di apprendimento automatico lo studio ha classificato gli strumenti usati dai criminali per aggirare le difese messe in atto dai fornitori di servizi online e gestori dei siti web dando un importante contributo alla sicurezza della vita online.
L’importanza di questo lavoro di ricerca sta nel fatto che il phishing è una tattica fraudolenta molto diffusa che, sfruttando la fiducia di chi riceve un messaggio email, cerca di rubare dati sensibili come le credenziali di accesso a un servizio online, i numeri del conto corrente o le informazioni relative alle carte di credito.
Un tipico messaggio di phishing può presentarsi così: “Gentile cliente, ti aspettiamo nel nuovo negozio di via San Martino 12F a Milano. Per te sconto di 30€ per ogni 150€ di spesa, valido fino al 5/10/2022. Non perdere l’occasione. Info privacy bit.ly/dT57?N0ud”.
Una volta cliccato sul link il gioco è fatto: si viene rediretti su un sito web dove immettere credenziali che verranno usati dai criminali per truffe successive.
Questi messaggi e il loro invio tramite email sono pensati per arrivare a quante più vittime possibili e quindi la procedura per comporli, inviarli e raccoglierne i frutti è basata sui grandi numeri. Proprio per questo i criminali usano procedure automatizzate e veri e propri kit di phishing.
Secondo Marco Ramilli di Yoroi-Tinexta: “Se ci focalizzassimo maggiormente sui Kit generatori di pagine di phishing, probabilmente potremmo introdurre nuove policies a livello di ISP e Cloud Provider permettendo l’ispezione automatica e dinamica dei contenuti caricati bloccando sul nascere eventuali tentativi di frode o di furto d’identità digitale. Sarebbe un cambio di paradigma”.
Cosa sono i Phishing kit
I Phishing kit sono strumenti pronti all’uso che consentono una rapida creazione di siti web per il phishing. Distribuiti nel Darkweb rappresentano una grave minaccia per la sicurezza informatica in quanto garantiscono la possibilità di effettuare attività di phishing anche a criminali inesperti.
Per questo Yoroi, Unibo e UniMoRe hanno creato una nuova classificazione basata su più di 2000 kit di phishing recenti a partire dalle tecniche di evasione e offuscamento usate per una prima profilazione degli autori, i threat actors, con l’adozione di classificatori di machine learning addestrati per rilevare kit evasivi e offuscati da strutture ripetute e modelli di progettazione.
Gli autori infatti mantengono le stesse abitudini di codifica nel tempo e tendono a riutilizzare parti di kit precedenti in nuovi strumenti.
Solo in Italia si assiste ogni settimana a circa 20 campagne di phishing a tema che sfruttano email fasulle di banche, istituzioni e imprese per irretire le loro vittime. Il phishing è una costante degli attacchi informatici basati sull’ingegneria sociale, attacchi in continua evoluzione con l’usuale obbiettivo di raccogliere le credenziali delle future vittime ma anche per realizzare altri attacchi e diffondere malware, anche di tipo ransomware. Dal punto di vista dell’attaccante la creazione di una buona copia del sito legittimo costa lavoro perciò i Phishing kit che l’automatizzano vanno molto di moda nell’underground criminale.
L’evoluzione delle tecniche di phishing
Gli attacchi di phishing possono essere diversi poiché i malintenzionati diventano sempre più sofisticati e creativi nelle loro tecniche. I tipi di phishing più comuni sono lo spear phishing, cioè il phishing mirato a certe categorie di bersagli; il clone phishing, basato sulla costruzione di siti ad hoc; il vishing e lo Smisihing, le telefonate e i messaggi fraudolenti; le violazioni delle email aziendali note come truffe BEC, Business email compromise.
Una recente tecnica è nota come Multi-Factor Authentication (MFA) Fatigue. Il criminale in questo caso esegue uno script in cui tenta di accedere più volte a servizi altrui con le credenziali rubate, inviando così un’ondata di richieste MFA all’utente fino a che per sbaglio la vittima arrivi ad accettare la richiesta fraudolenta.
“Oggi però abbiamo maturato una nuova conoscenza operativa”, dice Marco Ramilli, “come applicare tecniche di machine learning per l’individuazione di similarità testuali, utilizzabile in altri settori nella cybersecurity, e abbiamo maturato conoscenze di intelligence, mappando i principali threat actors che operano attraverso tecniche di Phishing Kit, ed abbiamo realizzato uno stack applicativo per effettuare un veloce detection del problema. Un buon risultato che ci induce a proseguire su questa strada”, continua, “la ricerca avanzata nel settore è il processo che adottiamo in Yoroi per comprendere meglio ogni attività che può aiutarci a difendere meglio l’ecosistema cibernetico. Il supporto del gruppo di ricerca con il quale abbiamo collaborato è stato fondamentale per l’ottenimento di questi ottimi risultati. Un ringraziamento per tutto questo va al gruppo del professore Michele Colajanni che ha saputo analizzare ed affrontare le difficoltà tecnologiche che abbiamo riscontrato durante un lungo anno di ricerca”.
