Barracuda e i ricercatori della Columbia University hanno recentemente collaborato per analizzare l’origine geografica delle email di phishing e i percorsi che esse seguono. I paesi di origine delle email e la quantità di paesi che esse attraversano per giungere alla destinazione finale, infatti, rappresentano importanti segnali di allerta sugli attacchi di phishing. Esaminando la posizione geografica e l’infrastruttura di rete per oltre 2 miliardi di messaggi email inviati nel gennaio 2020, di cui 218.000 di phishing, è emerso che le email di phishing hanno in gran parte origine in alcuni paesi dell’Est Europa, dell’America Centrale, Medio Oriente e Africa e molto probabilmente attraversano un numero di paesi più alto delle email normali.
I ricercatori hanno inoltre scoperto un numero sorprendentemente elevato di attacchi originati da grossi fornitori cloud, ipotizzando che questo sia dovuto al fatto che i criminali sono in grado di compromettere server legittimi e/o account email ospitati da questi provider.
Di seguito, un’analisi dell’impatto che la geografia e l’infrastruttura di rete hanno sugli attacchi di phishing e le soluzioni che possono aiutare a riconoscerli, bloccarli e porvi rimedio.
La minaccia
Posizione geografica e caratteristiche di rete degli attacchi di phishing — In questo tipo di attacchi, i criminali usano tattiche di social engineering per indurre le vittime a fornire informazioni personali come nomi utente, password, numeri di carta di credito o informazioni bancarie. L’individuazione del phishing si basa in massima parte sul contenuto delle email e sul comportamento dei criminali, ma più gli attacchi si fanno complessi, più i metodi di difesa devono essere sofisticati.
Il team di ricerca ha esaminato le caratteristiche a livello di rete delle email, in quanto queste sono più persistenti e difficili da manipolare, e ha estratto gli indirizzi IP dai campi “received” delle intestazioni delle email dove sono registrate le informazioni sui server attraverso cui i messaggi sono transitati. Lo studio di questi dati ha fornito preziose informazioni sui percorsi seguiti dalle email di phishing per giungere dal mittente al destinatario.
I dettagli
Sono emersi tre fattori predominanti:
- Le email di phishing seguono di preferenza percorsi che attraversano diversi paesi
Oltre l’80% delle normali email viene instradato attraverso uno o due paesi, mentre ciò è vero per circa il 60% del phishing. Questo suggerisce che un’utile funzione per un sistema di riconoscimento potrebbe essere l’esame del numero di singoli paesi attraverso cui il messaggio transita.
- I paesi con la più alta probabilità di phishing si trovano nell’Est Europa, Centro America, Medio Oriente e Africa
La probabilità che un’email sia phishing in base al paese del mittente è stata determinata identificando il paese di origine mediante i dati di geolocalizzazione e calcolando la probabilità per ciascun paese con la seguente formula.
Alcuni paesi che danno origine a una grande quantità di phishing mostrano in realtà una probabilità molto bassa. Ad esempio, 129.369 email di phishing presenti nel dataset risultano provenire dagli Stati Uniti, ma la probabilità di phishing dagli Usa è solamente dello 0,02%. In generale, la maggior parte dei paesi mostra una probabilità del 10% o inferiore.
I mittenti che producono i più alti volumi di phishing (più di 1.000 email nel periodo) e con la più alta probabilità di phishing si trovano in questi paesi (in ordine decrescente):
- Lituania
- Lettonia
- Serbia
- Ucraina
- Russia
- Bahamas
- Porto Rico
- Colombia
- Iran
- Palestina
- Kazakistan
Se non è ragionevole bloccare tutto il traffico proveniente da paesi con alta probabilità di phishing, può essere comunque utile segnalare le email provenienti da questi paesi per un’analisi più approfondita.
- Molte delle reti usate dai criminali sono sorprendentemente reti di grossi provider cloud del tutto regolari
Le reti con il più alto numero di attacchi di phishing sono sorprendentemente controllate dai grandi cloud provider; in effetti, questo ha senso dato che gestiscono altissimi volumi di email. Per queste reti, la probabilità che ogni singola email sia phishing è estremamente bassa. È probabile che molti degli attacchi che hanno origine da queste reti provengano da account email o server compromessi, di cui i criminali sono stati capaci di ottenere le credenziali.
I ricercatori hanno scoperto che alcuni dei mittenti a più alto volume di phishing (per rete) e che hanno anche la più alta probabilità che si tratti di phishing, fanno sempre riferimento a reti controllate da fornitori di servizi cloud (Rackspace, Salesforce). Queste reti hanno volumi di traffico email totale di diversi ordini di grandezza minore delle due reti principali, eppure inviano un numero significativo di phishing. Pertanto, la probabilità che ogni singola email partita dai loro server sia malevola è molto più alta.
Come proteggersi dagli attacchi di phishing
- Scegliere soluzioni che utilizzano l’intelligenza artificiale. I cybercriminali perfezionano continuamente le tattiche per aggirare i gateway email e i filtri antispam: per questo, è importante disporre di una soluzione in grado di riconoscere e proteggere dagli attacchi di spear-phishing, brand impersonation, business email compromise e account takeover. È necessaria una soluzione che non si limiti a cercare link o allegati pericolosi, ma usi il machine learning per analizzare i normali pattern di comunicazione all’interno dell’organizzazione per individuare le anomalie che potrebbero indicare un attacco.
- Implementare la protezione da account takeover. Non bisogna pensare solo ai messaggi provenienti dall’esterno. Alcuni degli attacchi di spear-phishing più convincenti e dannosi provengono da account interni compromessi e per questo è indispensabile impedire ai criminali di usare l’organizzazione come base di lancio per campagne di spear-phishing. Qui servono tecnologie che sfruttano l’intelligenza artificiale per capire quando un account è stato compromesso e rimediare in tempo reale avvisando l’utente e rimuovendo le email malevole inviate dagli account compromessi.
- Aumentare la conoscenza sulla sicurezza attraverso la formazione. È importante tenere gli utenti costantemente aggiornati sulle più recenti tattiche di spear-phishing organizzando sessioni ad hoc affinché il personale sappia riconoscere gli attacchi a come riportarli correttamente al team IT. È consigliabile ricorrere alle simulazioni con email, voicemail e SMS per educare gli utenti a identificare i cyberattacchi, valutare l’efficacia della formazione e capire chi siano gli utenti più vulnerabili.