Cos'e' il phishing - Cover Giacomo Lanzi

Cos’è il phishing? Capire e individuare attacchi di ingegneria sociale

Tempo di lettura stimato: 7 minuti

Il phishing è un tipo di attacco di ingegneria sociale spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri delle carte di credito. Si verifica quando un aggressore, mascherato da un’entità fidata, inganna una vittima ad aprire un’e-mail, un messaggio istantaneo o un messaggio di testo.

Il destinatario viene quindi indotto a cliccare su un link dannoso, che può portare all’installazione di malware, al congelamento del sistema come parte di un attacco ransomware o alla rivelazione di informazioni sensibili.

Un attacco può avere risultati devastanti. Per gli individui, questo include acquisti non autorizzati, il furto di fondi o il furto di identità.

Cos'e' il phishing - Concept

Cos’è il phishing per le aziende?

Ancora più dannoso, il phishing è anche utilizzato per guadagnare un punto d’ingresso nelle reti aziendali o governative come parte di un attacco più grande, come un evento di minaccia avanzata persistente (APT – Advanced Persistent Threat). In quest’ultimo scenario, i dipendenti vengono compromessi al fine di aggirare i perimetri di sicurezza, distribuire malware all’interno di un ambiente chiuso, o ottenere un accesso privilegiato ai dati protetti.

Un’organizzazione che soccombe a un attacco di questo tipo in genere subisce gravi perdite finanziarie, oltre a un calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda della portata, un tentativo di phishing potrebbe degenerare in un incidente di sicurezza da cui un’azienda avrà difficoltà a riprendersi.

Come si presenta un attacco phishing

Sapere cos’è il phishing spesso non basta per proteggersi. La cosa migliore da fare è lavorare sulla resilienza agli attacchi e capire come individuarli prima di caderne vittima.

Come abbiamo accennato prima, infatti, le conseguenze possono essere di proporzioni enormi. Ma, se sembra semplice da fare quando si tratta di un singolo individuo, come fare se c’è un’intera azienda da proteggere? SOD offre un servizio orientato proprio a questo: formare intere aziende al riconoscimento e mitigazione del rischio di attacchi phishing.

Attraverso un primo attacco controllato, siamo in grado di capire quali sono i punti su cui lavorare. Successivamente vengono organizzate delle proposte formative per i dipendenti. Viene loro insegnato come riconoscere le minacce prima che queste diventino problematiche. Per saperne di più, è possibili visitare la pagina del servizio.

Ma vediamo come si presenta un attacco generico.

Esempio di attacco

1. Un’email fasulla apparentemente proveniente da lamiauniversita.edu viene distribuita in massa al maggior numero possibile di membri della facoltà.

2. L’email sostiene che la password dell’utente sta per scadere. Vengono date istruzioni per andare sul link lamiauniversita.edu/rinnovo per rinnovare la loro password entro 24 ore.

Possono accadere varie cose cliccando sul link proposto.

L’utente viene reindirizzato a lamiauniversita.edurinnovo.com, una pagina fasulla che appare esattamente come la vera pagina di rinnovo, dove vengono richieste sia la password nuova che quella esistente. L’attaccante, monitorando la pagina, dirotta la password originale per – ottenere l’accesso alle aree protette della rete universitaria.

– L’utente viene inviato alla vera pagina di rinnovo della password. Tuttavia, mentre viene reindirizzato, uno script maligno si attiva in background per dirottare il cookie di sessione dell’utente. Questo si traduce in un attacco di tipo Cross Site Scripting, dando all’autore l’accesso privilegiato alla rete universitaria.

Cos'e' il phishing - Concept

Logica di un attacco

L’email phishing è un gioco di grandi numeri. Un aggressore che invia migliaia di messaggi fraudolenti può ottenere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade nella truffa.

Gli hacker si impegnano a fondo nella progettazione di messaggi per un attacco phishing imitando le email reali di un’organizzazione camuffata. Usando lo stesso fraseggio, gli stessi caratteri tipografici, gli stessi loghi e le stesse firme, i messaggi appaiono legittimi.

Inoltre, un’altra cosa a cui prestare attenzione, è che gli aggressori di solito cercano di spingere gli utenti all’azione creando un senso di urgenza. Per esempio, come mostrato in precedenza, un’email potrebbe minacciare la scadenza dell’account e mettere il destinatario in una condizione di urgenza. L’applicazione di tale pressione porta l’utente ad essere meno diligente e più incline all’errore.

Infine, i link all’interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio scritto male o sottodomini extra. Nell’esempio precedente, l’URL lamiauniverista.edu/rinnovo è stato cambiato in lamiauniversita.edurinnovo.com. Le somiglianze tra i due indirizzi offrono l’impressione di un collegamento sicuro, rendendo il destinatario meno consapevole che un attacco è in corso.

Cos’è lo spear phishing

Cos'e' il phishing - Spear phishing

Lo spear phishing prende di mira una specifica persona o impresa, al contrario degli utenti casuali. È una versione più approfondita del phishing che richiede una conoscenza speciale di un’organizzazione, compresa la sua struttura di potere.

Un attacco potrebbe svolgersi nel seguente modo:

– Un hacker ricerca i nomi dei dipendenti all’interno del dipartimento di marketing di un’organizzazione e ottiene l’accesso alle ultime fatture dei progetti.
Fingendosi il direttore del marketing, l’aggressore invia un’email a un project manager del dipartimento utilizzando un oggetto che dice: Fattura aggiornata per le campagne Q3. Il testo, lo stile e il logo incluso duplicano il modello di email standard dell’organizzazione.
– Un link nell’e-mail reindirizza a un documento interno protetto da password, che è in realtà una versione falsificata di una fattura rubata.
– Al direttore marketing viene richiesto di effettuare il login per visualizzare il documento. L’attaccante ruba le sue credenziali, ottenendo l’accesso completo alle aree sensibili all’interno della rete dell’organizzazione.

Fornendo all’attaccante credenziali di accesso valide, lo spear phishing è un metodo efficace per eseguire la prima fase di un attacco di tipo ransomware.

Cos’è il whale phishing

Il whale phishing, o whaling, è una forma di spear phishing che mira ai pesci molto grossi: CEO o altri obiettivi di alto valore. Molte di queste truffe prendono di mira i membri del consiglio di amministrazione di un’azienda, che sono considerati particolarmente vulnerabili. Infatti, essi hanno una grande autorità all’interno dell’azienda, ma poiché non sono dipendenti a tempo pieno, spesso usano indirizzi email personali per la corrispondenza relativa al business, che non ha le protezioni offerte dalle email aziendali.

Raccogliere abbastanza informazioni per ingannare un obiettivo di alto valore potrebbe richiedere tempo, ma può avere un ritorno sorprendentemente alto. Nel 2008, i criminali informatici hanno preso di mira i CEO aziendali con e-mail che sostenevano di avere allegati i mandati di comparizione dell’FBI. In realtà, hanno installato keylogger sui computer dei dirigenti. Il tasso di successo dei truffatori è stato del 10%, catturando quasi 2.000 vittime.

Come difendersi

La protezione contro un attacco phishing richiede l’adozione di misure sia da parte degli utenti che delle imprese.

Per gli utenti, la vigilanza è la chiave. Un messaggio contraffatto spesso contiene errori sottili che espongono la sua vera natura. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come visto nell’esempio dell’URL precedente. Gli utenti dovrebbero domandarsi quale sia il motivo per cui stanno ricevendo una certa e-mail.

Cos'e' il phishing - Difesa

Per le imprese, una serie di misure possono essere prese per mitigare sia il phishing che gli attacchi di spear phishing:

L’autenticazione a due fattori (2FA) è il metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni sensibili. La 2FA si basa sul fatto che gli utenti abbiano due cose: qualcosa che conoscono, come una password e un nome utente, e qualcosa che hanno con sé, come il loro smartphone. Anche quando i dipendenti vengono compromessi, 2FA impedisce l’uso delle loro credenziali compromesse, poiché queste da sole non sono sufficienti per entrare.

Oltre all’uso di 2FA, le aziende dovrebbero applicare rigorose politiche di gestione delle password. Per esempio, ai dipendenti dovrebbe essere richiesto di cambiare frequentemente le loro password e di non essere autorizzati a riutilizzare una password per più applicazioni.

Infine, le campagne educative possono anche aiutare a diminuire la minaccia di attacchi di phishing facendo rispettare pratiche sicure, come non cliccare su link esterni alle email. A questo proposito vorrei ricordare il servizio di phishing etico di SOD, che ha proprio l’intento di testare l’azienda e organizzare formazioni mirate per mitigare i rischi.

Non è sufficiente sapere cos’è il phishing, è necessario anche saperlo riconoscere.

Useful links:

Link utili:

Phishing

Mitre Att&ck

Ransomware a doppia estorsione

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • Microsoft leak of PlayReady developer / Warbird libs Giugno 21, 2024
    Posted by Security Explorations on Jun 21Hello All, On Jun 11, 2024 Microsoft engineer posted on a public forum information about a crash experienced with Apple TV service on a Surface Pro 9 device [1]. The post had an attachment - a 771MB file (4GB unpacked), which leaked internal code (260+ files [2]) pertaining to […]
  • Business Logic Flaw and Username Enumeration in spa-cartcmsv1.9.0.6 Giugno 16, 2024
    Posted by Andrey Stoykov on Jun 15# Exploit Title: Business Logic Flaw and Username Enumeration in spa-cartcmsv1.9.0.6 # Date: 6/2024 # Exploit Author: Andrey Stoykov # Version: 1.9.0.6 # Tested on: Ubuntu 22.04 # Blog: https://msecureltd.blogspot.com/2024/04/friday-fun-pentest-series-5-spa.html Description - It was found that the application suffers from business logic flaw - Additionally the application is vulnerable […]
  • APPLE-SA-06-10-2024-1 visionOS 1.2 Giugno 12, 2024
    Posted by Apple Product Security via Fulldisclosure on Jun 11APPLE-SA-06-10-2024-1 visionOS 1.2 visionOS 1.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT214108. Apple maintains a Security Releases page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: Apple Vision Pro Impact: An app may be […]
  • CyberDanube Security Research 20240604-0 | Multiple Vulnerabilities in utnserver Pro/ProMAX/INU-100 Giugno 9, 2024
    Posted by Thomas Weber via Fulldisclosure on Jun 09CyberDanube Security Research 20240604-0 ------------------------------------------------------------------------------- title| Multiple Vulnerabilities product| SEH utnserver Pro/ProMAX / INU-100 vulnerable version| 20.1.22 fixed version| 20.1.28 CVE number| CVE-2024-5420, CVE-2024-5421, CVE-2024-5422 impact| High homepage| https://www.seh-technology.com/...
  • SEC Consult SA-20240606-0 :: Multiple critical vulnerabilities in Kiuwan SAST on-premise (KOP) & cloud/SaaS & Kiuwan Local Analyzer (KLA) Giugno 9, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Jun 09SEC Consult Vulnerability Lab Security Advisory < 20240606-0 > ======================================================================= title: Multiple critical vulnerabilities product: Kiuwan SAST on-premise (KOP) & cloud/SaaS Kiuwan Local Analyzer (KLA) vulnerable version: Kiuwan SAST
  • Blind SQL Injection - fengofficev3.11.1.2 Giugno 9, 2024
    Posted by Andrey Stoykov on Jun 09# Exploit Title: FengOffice - Blind SQL Injection # Date: 06/2024 # Exploit Author: Andrey Stoykov # Version: 3.11.1.2 # Tested on: Ubuntu 22.04 # Blog: https://msecureltd.blogspot.com/2024/05/friday-fun-pentest-series-6.html Steps to Reproduce: 1. Login to application 2. Click on "Workspaces" 3. Copy full URL 4. Paste the HTTP GET request into […]
  • Trojan.Win32.DarkGateLoader (multi variants) / Arbitrary Code Execution Giugno 9, 2024
    Posted by malvuln on Jun 09Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/afe012ed0d96abfe869b9e26ea375824.txt Contact: malvuln13 () gmail com Media: x.com/malvuln Threat: Trojan.Win32.DarkGateLoader (multi variants) Vulnerability: Arbitrary Code Execution Description: Multiple variants of this malware look for and execute x32-bit "urlmon.dll" PE file in its current directory. Therefore, we can...
  • SQL Injection Vulnerability in Boelter Blue System Management (version 1.3) Giugno 9, 2024
    Posted by InfoSec-DB via Fulldisclosure on Jun 09Exploit Title: SQL Injection Vulnerability in Boelter Blue System Management (version 1.3) Google Dork: inurl:"Powered by Boelter Blue" Date: 2024-06-04 Exploit Author: CBKB (DeadlyData, R4d1x) Vendor Homepage: https://www.boelterblue.com Software Link: https://play.google.com/store/apps/details?id=com.anchor5digital.anchor5adminapp&hl=en_US Version: 1.3 Tested on: Linux Debian 9 (stretch), Apache 2.4.25, MySQL >= 5.0.12 CVE:...
  • CyberDanube Security Research 20240528-0 | Multiple Vulnerabilities in ORing IAP-420 Maggio 30, 2024
    Posted by Thomas Weber via Fulldisclosure on May 29CyberDanube Security Research 20240528-0 ------------------------------------------------------------------------------- title| Multiple Vulnerabilities product| ORing IAP-420 vulnerable version| 2.01e fixed version| - CVE number| CVE-2024-5410, CVE-2024-5411 impact| High homepage| https://oringnet.com/ found| 2024-01-19 by| T. Weber...
  • HNS-2024-06 - HN Security Advisory - Multiple vulnerabilities in Eclipse ThreadX Maggio 30, 2024
    Posted by Marco Ivaldi on May 29Hi, Please find attached a security advisory that describes multiple vulnerabilities we discovered in Eclipse ThreadX (aka Azure RTOS). * Title: Multiple vulnerabilities in Eclipse ThreadX * OS: Eclipse ThreadX < 6.4.0 * Author: Marco Ivaldi * Date: 2024-05-28 * CVE IDs and severity: * CVE-2024-2214 - High - […]

Customers

Newsletter

{subscription_form_2}