La recente violazione dei dati di Equifax ha messo molte persone in stato di allerta, spingendole a dedicare un po’ più attenzione al controllo degli estratti conto bancari e delle carte di credito. Pertanto, in questo periodo è più probabile che le persone aprano mail inviate dalla banca che in altri tempi avrebbero ignorato. Controllare gli estratti conto è sempre una buona idea; tuttavia, Barracuda ha recentemente rilevato un’allarmante quantità di minacce via email che dovrebbero indurre a pensarci due volte prima di aprire una mail della banca.
La minaccia
Nella rubrica Threat Spotlight di questo mese, gli esperti di Barracuda analizzano l’attacco Secure Bank Message Impersonation: un attacco email diffuso da messaggi che sembrano provenire da istituzioni finanziarie
I dettagli
Il “camuffamento” è una delle tattiche più comuni usate negli attacchi email per una ragione molto semplice: funziona. Questo particolare esempio non fa eccezione e Barracuda sta registrando un flusso consistente di email che fingono messaggi sicuri inviati da un’istituzione finanziaria. Le istituzioni finanziarie citate nelle email qui sotto riportate non sono state colpite da hacker: i loro nomi sono però usati dai malviventi per convincere i destinatari a reagire al messaggio.
In questo primo esempio il messaggio sembra essere una richiesta da parte della Bank of America che chiede al destinatario di scaricare il documento allegato o di rispondere al messaggio.
Tuttavia, se diamo un’occhiata all’analisi di questo particolare messaggio, vediamo che c’è un alto rischio di comportamento malevolo.
In quest’altro esempio, l’email dice di essere un messaggio sicuro che elenca una serie di istruzioni che il destinatario dovrebbe eseguire. Ancora, se osserviamo l’analisi, è evidente il rischio di comportamenti malevoli.
Tipicamente, i “messaggi sicuri” di questo genere sono destinati a clienti di private banking, che hanno assistenti che si occupano delle transazioni bancarie, del monitoraggio e anche dell’apertura di messaggi cifrati. Obiettivi interessanti per i cybercriminali, perché di alte disponibilità e già in frequente contatto con la propria banca. I criminali apprezzano anche il fatto che, per reagire ai messaggi, gli obiettivi devono essere collegati a Internet poiché la visualizzazione avviene in un portale web, il che significa che sono vulnerabili al download di materiale pericoloso.
In quest’ultimo esempio possiamo vedere che il mittente dice: “Per visualizzare la mail sicura è necessario essere collegati a Internet”.
Abbiamo osservato diverse varianti di questa minaccia negli ultimi mesi e sfortunatamente le conseguenze per chi esegue le azioni suggerite non sono mai buone. In alcuni casi, questi messaggi hanno un documento Word allegato che contiene uno script malevolo che nei sistemi Windows, all’apertura del documento, provvederà a riscrivere i file nella directory dell’utente. A seconda del tipo di script contenuto nell’allegato c’è un rischio potenziale che il software antivirus non riconosca la minaccia in quanto l’antivirus potrebbe considerare “sani” i documenti Word allegati al “messaggio sicuro” e consentirne il download e l’apertura. Una volta che il documento è scaricato, i criminali ottengono l’accesso e possono aggiornare lo script successivamente rendendolo più pericoloso.
I criminali, inoltre, usano registrare domini che assomigliano a quelli legittimi e passano inosservati, o perché i destinatari non sanno a cosa stare attenti o perché molti client email mostrano solo il nome del mittente e non il dominio completo. I criminali usano questa tattica per convincere i destinatari ad aprire e reagire all’email, tattica che però viene facilmente riconosciuta da un utente addestrato. Queste minacce purtroppo sfruttano il rapporto di fiducia tra la banca e i suoi clienti.
Riassumendo, le tecniche usate in questo attacco sono:
- Impersonation: i criminali fingono di essere vere istituzioni finanziarie, sfruttando la naturale fiducia che si stabilisce tra queste istituzioni e i loro clienti.
- Email spoofing: i domini usati in questi attacchi sono costruiti per somigliare a quelli delle mail che i clienti ricevono abitualmente dalla loro banca.
- Phishing: i criminali inviano mail sotto forma di “messaggi sicuri” che chiedono agli utenti di compiere un’azione.
Come agire
Formazione degli utenti: il personale dovrebbe essere regolarmente formato per aumentarne la consapevolezza e la conoscenza dei diversi tipi di attacchi. Gli attacchi simulati sono certamente il metodo di formazione più efficace. È necessario controllare sempre il dominio delle email che chiedono di compiere una qualsiasi azione, dal semplice clic all’inserimento di informazioni.
Aggiungere alla formazione del personale una soluzione per la sicurezza delle mail che offra protezione avanzata e tecniche di sandboxing dovrebbe bloccare il malware prima ancora che raggiunga i server di posta aziendali. È inoltre possibile installare un sistema di protezione antiphishing che cerca i link ai siti che contengono codice malevolo. Tutti i link a siti compromessi vengono bloccati anche se sono nascosti nel contenuto di un documento.