L’IC3 ha ricevuto oltre 20mila segnalazioni relative a casi di business email compromise ed email account compromise

BEC Supplier Fraud: attenzione alle fatture fraudolente

Secondo il 2018 Internet Crime Report, l’Internet Crime Complaint Center (IC3) dell’FBI ha ricevuto, lo scorso anno, oltre 20mila segnalazioni relative a casi di BEC e AEC – business email compromise ed email account compromise – per un impatto totale complessivo superiore ai 1,2 miliardi di dollari. Il report evidenzia come questi attacchi siano diventati sempre più sofisticati nel corso degli ultimi anni.

Il report di IC3 ha anche messo in evidenza come nel 2018 siano state 6.379 le vittime di phishing/vishing/smishing/pharming, con perdite complessive pari a oltre 48 milioni di dollari. Il phishing è tipicamente il vettore iniziale di attacco di un’altra truffa evidenziata nel report, chiamata payroll divertion. In questo caso, i criminali usano email di phishing per ottenere le credenziali di accesso dei dipendenti e accedere al conto cui vengono accreditati i loro stipendi.

Da qui, i criminali tipicamente modificano le regole del conto del dipendente, impedendo nella norma che gli vengano comunicate le variazioni apportate. Successivamente, vengono modificate le corrispondenze di deposito, tipicamente dirottando i fondi presenti su un conto controllato dai criminali, di solito una carta prepagata.

L’IC3 ha segnalato circa 100 casi di payroll diversion nel 2018, con una perdita complessiva di 100 milioni di dollari. Education, healthcare e trasporto aereo commerciale si sono rivelati I settori più colpiti da questa truffa.

È da notare che queste statistiche si riferiscono solamente alle segnalazioni effettuate direttamente all’IC3. È molto probabile che i numeri reali siano decisamente più alti.

Altre notizie e statistiche in tema di phishing

Gli alias email sempre più nel mirino degli hacker

Il più recente report Protecting People: A Quarterly Analysis of Highly Targeted Attacks di Proofpoint analizza gli attacchi più mirati condotti verso aziende Fortune Global 500. Questo report condotto su base trimestrale, si basa su dati raccolti tra ottobre e dicembre 2018.

I ricercatori Proofpoint hanno trovato come quasi il 30% degli attacchi di malware e phishing più mirati fossero rivolti ad account email generici, tipicamente condivisi tra due o più dipendenti di un’organizzazione. Indirizzi generici come “sales@company.com” hanno particolare valore per gli hacker per tre motivi principali:

  • Raggiungono target più numerosi
  • Sono facili da ottenere, di solito sono pubblici
  • Sono più difficili da proteggere – l’autenticazione multi-fattore, ad esempio, non è del tutto efficace su indirizzi email condivisi da più colleghi

Servizi SaaS e Webmail sotto attacco

Il più recente Phishing Activity Trends Report dell’Anti-Phishing Working Group (APWG) ha trovato una leggera diminuzione nel numero di casi unici e siti individuali di phishing nel Q4 2018 rispetto al resto del 2018. Questo calo potrebbe indicare una variazione degli obiettivi e delle tecniche degli attori delle minacce. Ad esempio, l’APWG indica che I siti di phishing sono diventati più difficili da identificare perché gli hacker sempre più celano gli URL di phishing sotto redirect differenti.

Di seguito alcune statistiche aggiuntive:

  • I servizi SaaS e webmail si sono rivelati il settore più attaccato in Q4, raccogliendo il 29,8% di tutti gli attacchi, rispetto al 20.1% di Q3 – un aumento del 48%
  • Gli attacchi portati a siti di cloud storage e file hosting sono diminuiti nel corso del 2018, dell’11.3% di tutti gli attacchi nel Q1 a solo il 4% in Q4
  • In Q4, il numero di siti di phishing che utilizzano crittografia HTTPS è calato leggermente per la prima volta da quando l’APWG ha iniziato a controllare questo aspetto, pur mantenendo il trend generale, con quasi metà di tutti i siti di phishing che usa crittografia HTTPS

Cresce il phishing rivolto a OneDrive

I ricercatori Proofpoint hanno identificato una tendenza delle minacce di phishing secondo cui messaggi compromessi invitano i destinatari a visionare o scaricare un documento su Microsoft OneDrive. Il link contenuti in queste email portano gli utente a pagine di autenticazione su OneDrive, che appaiono legittime ma non lo sono, pensate per sottrarre le loro credenziali – come parte di un crescente trend di attacchi mirati a compromettere le credenziali. Questa campagna di phishing diretta a OneDrive colpisce numerosi settori e può essere diretta a ogni individuo all’interno di un’organizzazione.

Campagne di phishing legate alla dichiarazione dei redditi

Come lo scorso anno, anche il 2019 ha visto un incremento delle campagne di phishing, in corrispondenza con il periodo della dichiarazione dei redditi negli USA. Le campagne identificare dai ricercatori Proofpoint hanno visto gli hacker calarsi nei panni degli uffici nazionali delle entrate di USA, Canada e Nuova Zelanda, tra gli altri. Un blog realizzato dal team di Threat Insight di Proofpoint illustra una serie di esempi di email di phishing e false pagine di login che possono apparire convincenti.

Secondo il blog, “gli attori utilizzano tecniche di social engineering nell’oggetto, indirizzi email contraffatti e link truffaldini che conducono a legittimi uffici delle entrate, molti dei quali fuori dagli Stati Uniti. Le campagne identificate corpono una serie di aree geografiche, dimostrando come il tema delle imposte possa funzionare come esca a livello quasi universale.”

False offerte di lavoro distribuiscono malware

Offerte troppo belle per essere vere possono sollevare sospetti. Ma cosa succede se arriva un contatto che sembra ragionevole da parte di un operatore qualificato? Un recente blog del Proofpoint Threat Insight Team ha analizzato un modello di social engineering in cui chi attacca impersona agenzie legittime per il lavoro. I truffatori cercano inizialmente di stabilire un rapporto con le loro vittime potenziali, sfruttando il servizio di messaggistica diretta di LinkedIn. Poi utilizzano email dirette di follow-up, siti web fasulli e allegati pericolosi per distribuire malware.

Questa campagna fa parte di un trend verso “malware e attività di social engineering sempre più sofisticate”, secondo il blog. In questo caso, “il responsabile offre esempi avanzati di questi nuovi approcci, utilizzando il canale LinkedIn oltre a contatti su più vettori e in più passaggi, esche personalizzate e differenti tecniche di attacco per distribuire il downloader More_eggs, che può poi distribuire un malware di sua scelta sulla base dei profili di sistema trasmessi all’autore delle minacce.”