Nel corso del 2022, gli attacchi di phishing hanno mostrato un drammatico aumento. Il consorzio internazionale e gruppo di prevenzione delle frodi Anti-Phishing Working Group ha registrato quasi quattro milioni di attacchi di phishing nei primi tre trimestri dell’anno, solo il primo trimestre ha visto più di un milione di attacchi e il terzo trimestre ha segnato un record di 1.300.000 attacchi. L’incremento sembra destinato a continuare anche nel 2023, poiché sempre più soggetti si rivolgono al crimine informatico per ottenere un guadagno finanziario. La recessione economica di quest’anno potrebbe portare a un ulteriore aumento di frodi commesse, e molte organizzazioni finanziarie sembrano ancora impreparate a identificare e contrastare attacchi di frode mirati e coordinati.
Gli hacker possono ottenere un guadagno finanziario attraverso il furto di informazioni personali o bancarie di individui e l’utilizzo o la vendita delle stesse. Inoltre, possono accedere a informazioni riservate detenute dalle società con l’obiettivo di estorcere l’azienda o di venderle ad altri attori malintenzionati presenti sul dark web. Questi criminali possono utilizzare diversi canali, come messaggi di testo, social media ed e-mail, per inviare il phishing. Per riuscire a rubare le informazioni, gli hacker utilizzano una vasta gamma di tecniche.
Attacchi diretti a singoli individui
Gli hacker che utilizzano attacchi di phishing cercano di ingannare le loro vittime presentandosi come aziende legittime. Questo perché le persone tendono a fidarsi di fonti ritenute affidabili e quindi hanno maggiori probabilità di cliccare su un collegamento o di fornire informazioni personali quando credono di essere in contatto con un’azienda reale. Gli attacchi di phishing sono spesso finalizzati alla raccolta di credenziali di accesso, dati personali o informazioni di pagamento, che possono essere venduti ad altri attori malintenzionati sul dark web o utilizzati per commettere frodi con carte di credito o furti di identità.
Per apparire il più possibile credibili, queste truffe sono progettate per sembrare legittime e spesso utilizzano canali di comunicazione tipicamente implementati dalle aziende, come la posta elettronica.
Utilizzare un indirizzo e-mail falsificato con l’etichetta “no-reply” e un numero di riferimento, può far sembrare un messaggio più attendibile. Tuttavia, i criminali informatici possono anche ricorrere al phishing testuale, noto come SMSishing, per fingersi un’azienda autentica.
Phishing che prende di mira le aziende
Anche le aziende e i loro dipendenti possono essere bersaglio di attacchi di phishing, noti come attacchi di spear phishing. Questi attacchi sono sempre più diffusi, e la maggior parte degli attaccanti li utilizza come principale vettore di attacco.
Lo scopo è quello di raccogliere dati sensibili dei clienti dell’azienda o di accedere alle informazioni interne dell’azienda stessa.
Un insidioso sistema di raccolta dati
I criminali informatici utilizzano attacchi di spear phishing per raccogliere grandi quantità di dati sensibili dei clienti custoditi dalle aziende. Possono farlo per estorcere denaro alle aziende minacciando di divulgare i dati, per vendere le informazioni sul dark web o a intermediari o per altri scopi malevoli, come il furto di identità.
Nell’agosto 2022, un attacco di phishing contro la società di comunicazioni Twilio, ha causato una violazione dei dati per 163 aziende, ognuna con centinaia di clienti coinvolti nell’incidente. Questa violazione, conosciuta come Oktapus, è stata effettuata attraverso un attacco di spear phishing mirato ai dipendenti di Twilio, per ottenere accesso non autorizzato ai server dell’azienda e ai dati dei clienti.
Twilio ha dichiarato di aver identificato 163 clienti i cui dati sono stati esaminati senza autorizzazione per un periodo limitato di tempo. Inoltre, 93 utenti dell’app di autenticazione a due fattori Authy, di proprietà di Twilio, hanno subito un accesso non autorizzato ai propri account e ad altri dispositivi registrati. In risposta alla violazione, Twilio ha informato tutti gli utenti coinvolti e ha rimosso tutti i dispositivi non autorizzati.
Dopo l’attacco di phishing, diverse aziende hanno riferito di essere state colpite dalla violazione dei dati. Ad esempio, l’app di messaggistica Signal ha dichiarato che circa 1.900 utenti potrebbero aver avuto i loro numeri di telefono esposti dagli hacker e, alcuni di essi, sono stati specificamente presi di mira.
Anche la società di consegna di cibo DoorDash ha confermato che una piccola percentuale dei suoi clienti ha avuto i propri dati personali compromessi, tra cui il nome, l’indirizzo e-mail, l’indirizzo di consegna e il numero di telefono. Inoltre, un numero limitato di clienti ha subito l’accesso non autorizzato alle informazioni di base dell’ordine e delle carte di pagamento.
Dopo la violazione, Twilio ha adottato una serie di ulteriori misure interne per proteggersi da tali attacchi, tra cui il potenziamento dei controlli di sicurezza a più livelli.
Attacchi per la raccolta di dati aziendali
Gli attacchi di spear phishing possono essere utilizzati dai malintenzionati anche per acquisire dati proprietari dell’azienda, come ad esempio informazioni sul codice sorgente o per accedere alla rete interna. Il codice sorgente di Dropbox è stato violato nel mese di ottobre 2022, dopo che i suoi dipendenti sono stati presi di mira in un attacco di phishing. La piattaforma di integrazione e consegna del codice CircleCI è stata impersonata da un attore malintenzionato, che è riuscito a raccogliere le credenziali di accesso e i codici di autenticazione dai dipendenti. L’hacker ha inoltre ottenuto l’accesso all’account Dropbox sul sito di repository di codice GitHub, utilizzando le informazioni di accesso raccolte da CircleCI. Come risultato, il codice contenuto in 130 repository di Dropbox è stato copiato, ma non c’erano informazioni relative alle app o alle infrastrutture principali.
Dopo aver notato attività sospette sul suo account, Dropbox è stata avvisata della violazione da GitHub. La società ha rassicurato gli utenti che non è stato compromesso l’accesso ai contenuti di alcun account Dropbox, password o informazioni di pagamento. Tuttavia, l’hacker è stato in grado di accedere ad alcune migliaia di nomi e indirizzi e-mail di dipendenti Dropbox, clienti attuali e passati, lead di vendita e fornitori.
Nel settembre 2022, GitHub ha segnalato un attacco di phishing simile, in cui malintenzionati si sono finti CircleCI per ottenere l’accesso a diversi account utente.
Il sito di phishing utilizzato dagli hacker ha permesso loro di ottenere, in tempo reale, le Time-based one-time password (TOTP), utilizzate per i codici di autenticazione a due fattori, consentendogli di accedere agli account protetti dall’autenticazione TOTP. L’attacco ha consentito ai malintenzionati di accedere e scaricare più repository di codice privato. Inoltre, sono state utilizzate tecniche per mantenere l’accesso all’account anche nel caso in cui l’utente o l’organizzazione compromessi avessero modificato la propria password.
Attacchi contro le criptovalute
I malintenzionati che lanciano attacchi di phishing, hanno come obiettivo principale il guadagno finanziario, sia attraverso il furto di informazioni di pagamento o bancarie, sia vendendo informazioni raccolte attraverso gli attacchi stessi. In un contesto in cui le criptovalute come Bitcoin, Ethereum e Tether hanno raggiunto capitalizzazioni di mercato rispettivamente di 330,6 miliardi, 152,6 miliardi e 68,2 miliardi di dollari, i trader e i portafogli di criptovaluta possono essere un obiettivo molto attraente per gli attacchi di phishing. In effetti, la piattaforma di dati Blockchain Chainanalysis ha riferito che nel 2022 sono stati rubati un totale di 3,8 miliardi di dollari di criptovaluta. Gli attacchi di phishing contro i proprietari di criptovaluta possono portare a pagamenti sostanziosi. Ad esempio, nell’ottobre 2022, un hacker noto come Monkey Drainer ha utilizzato attacchi di phishing per rubare 1 milione di dollari in Ethereum e NFT in soli 24 ore. Monkey Drainer è famoso per utilizzare tecniche di hacking basate sul phishing, creando falsi siti web di criptovalute e NFT per frodare le vittime.
Monkey Drainer, noto per i suoi attacchi di phishing ai danni di possessori di criptovalute, si presenta come siti blockchain legittimi, tra cui RTFKT e Aptos, per rendere più credibili i suoi siti falsi. Le vittime che effettuano l’accesso ai siti fraudolenti di Monkey Drainer inseriscono dettagli sensibili sui loro portafogli di criptovaluta e firmano le transazioni, consentendo al malintenzionato di accedere ai loro portafogli e ai loro fondi. Le vittime più importanti dell’attacco dell’ottobre 2022 sono state identificate solo come 0x02a e 0x626. Questi utenti hanno subito una perdita complessiva di 370.000 dollari tramite siti di phishing gestiti da Monkey Drainer, 0x02a ha perso 12 NFT dal valore di circa 150.000 dollari. All’epoca dell’attacco, 0x626 deteneva circa 2,2 milioni di dollari nel proprio portafoglio di criptovalute, tuttavia alcune delle transazioni forzate da Monkey Drainer sono state respinte dalla rete sulla quale cui era tenuto il portafoglio, poiché erano contrassegnate come sospette. Di conseguenza, la perdita effettiva complessiva ammonta a 220.000 dollari di criptovaluta.
Prevenzione degli attacchi di phishing
Per prevenire danni nel caso in cui gli aggressori compromettano le credenziali, le aziende dovrebbero adottare un approccio di sicurezza a più livelli, utilizzando protocolli di difesa dalle minacce. Questi protocolli dovrebbero essere progettati per difendersi e mitigare gli attacchi, sia quelli di base, come gli attacchi web, che quelli più sofisticati basati sull’automazione e sull’ambiente cloud.
Gli aggressori stanno infatti sviluppando attacchi sempre più sofisticati, che richiedono difese avanzate. Un approccio a più livelli potrebbe includere l’utilizzo di un mix di tecnologie di sicurezza, quali la crittografia, l’accesso basato sui ruoli e la protezione a livello di rete. Inoltre, un sistema di sicurezza efficace dovrebbe prevedere l’addestramento del personale, per prevenire la divulgazione di informazioni sensibili e l’implementazione di politiche di sicurezza stringenti. I protocolli dovrebbero essere costantemente aggiornati per rimanere al passo con le minacce emergenti.
Quando si tratta di attacchi di phishing mirati alle persone, è importante seguire alcune linee guida per proteggere sé stessi e le proprie informazioni:
- Verificare sempre i link prima di cliccare su di essi. Passare il mouse sopra il link per verificare se l’indirizzo corrisponde a quello atteso.
- Evitare di inviare informazioni sensibili tramite e-mail o SMS.
- Eseguire regolarmente il backup delle informazioni in modo da disporre di una copia di sicurezza.
- Mantenere il software aggiornato applicando le patch di sicurezza.
- Filtrare le e-mail di spam.
- Bloccare gli indirizzi IP, i nomi di dominio e i tipi di file che sono notoriamente dannosi.
- Verificare la legittimità della comunicazione chiamando il mittente (ad esempio, se si riceve un messaggio dalla propria banca).
- Utilizzare un software anti-phishing che aderisce ai criteri DMARC (Domain-based Message Authentication, Reporting, and Conformance).
- Limitare la quantità di informazioni personali pubblicate online (ad esempio, numeri di telefono e interni dei dipendenti).
- Stabilire protocolli e procedure per verificare internamente le comunicazioni sospette, inclusa una modalità per segnalare gli attacchi di phishing.
- Utilizzare l’autenticazione a più fattori su tutti i sistemi, in particolare sugli account aziendali condivisi.
