Il Phishing and Fraud Report 2019 di F5 Networks rivela che il cybercrime utilizza sempre più spesso certificati digitali per risultare credibile e convincente. Sulla base dell’analisi degli attacchi registrati nell’arco di un anno, gli F5 Labs sottolineano come il phishing sia ancora il metodo maggiormente utilizzato per violare i dati e che i settori che hanno le probabilità più elevate di essere compromessi siano l’ambito finanziario, sanitario, educativo, no profit e contabile.
David Warburton, Principal Threat Evangelist, F5 Networks e co-autore del report
Il phishing continua a essere così diffuso semplicemente perché funziona. Gli aggressori non devono preoccuparsi di hackerare un sistema attraverso un firewall, trovare un exploit zero-day o decifrare la crittografia. La difficoltà è solo quella di creare un’email convincente per persuadere le persone a cliccare su un sito falso.
Con un numero di minacce che è destinato a crescere costantemente, gli F5 Labs sottolineano come il phishing non possa essere più considerato un fenomeno specifico di alcuni periodi dell’anno e non sia più prevedibile come una volta. Mentre lo scorso anno i SOC di F5 hanno registrato un aumento del 50% degli attacchi di phishing tra ottobre e gennaio, quest’anno il modello è cambiato.
Secondo gli F5 Labs, gli indirizzi a cui inviare le email di phishing provengono da una varietà smisurata di fonti, come liste spam e dall’intelligence open source. Le mail di phishing possono essere inviate a migliaia di potenziali vittime o a un individuo specifico, a seconda dell’approccio e dell’intensità con cui vengono colpite le vittime.
Anatomia dell’attacco di phishing del 2019
Combinando i dati dettagliati raccolti da Webroot a partire dal mese di luglio 2019 con le ricerche condotte dai Labs nell’ultimo anno, F5 ha concluso che le e-mail di phishing hanno una probabilità tre volte maggiore di avere un collegamento dannoso rispetto a un allegato. I brand e i servizi più imitati sono Facebook, Microsoft Office Exchange e Apple.
Uno dei trend ricorrenti nel corso dell’anno è la tendenza del phishing verso livelli sempre più elevati di credibilità, che vede il 71% dei siti di phishing utilizzare indirizzi HTTPS per apparire più legittimi. Gli F5 Labs hanno, inoltre, riscontrato che nell’85% dei casi analizzati i siti di phishing utilizzano certificati digitali che hanno ottenuto la firma di un’autorità di certificazione (CA) attendibile.
I siti fake di phishing identificati erano situati su una vasta gamma di host Internet, i principali sono 4cn.org (2,7%), airproxyunblocked.org (2,4%), 16u0.com (1,0%) e awardforyouhere.com (1,0%).
Tra i principali siti di phishing unici, invece, figura blogspot.com, responsabile del 4% di tutte le istanze di phishing e del 43% del malware analizzato. La popolare piattaforma di blogging consente agli utenti di ospitare facilmente contenuti dannosi su un dominio ben riconosciuto che fornisce prontamente certificati TLS gratuiti, classificati come OV- Organization Validation per tutti i suoi siti.
L’ascesa dell’automazione
Un’ultima tendenza significativa evidenziata dal Phishing and Fraud Report del 2019 riguarda il numero crescente di autori del phishing che sfruttano l’automazione per ottimizzare gli attacchi.
I dati mostrano che molti siti di phishing ottengono certificati tramite servizi come cPanel (un pannello di controllo grafico per la gestione e l’amministrazione di siti internet e web hosting integrato con Comodo CA) e LetsEncrypt (una certification authority che automatizza gratuitamente la creazione, la validazione, il rilascio ed il rinnovo di certificati X.509 per il protocollo TLS). Il 36% dei siti di phishing identificati possiede certificati che durano solo 90 giorni, il che suggerisce che sia stato scelto un processo di automazione dei certificati.
Il 95% dei domini di phishing analizzati ha registrato meno di 10 accessi e nel 47% dei casi un solo e unico accesso, a dimostrazione di come chi attacca stia sfruttando un processo completamente automatizzato di creazione di un sito di phishing per massimizzare il ritorno sugli investimenti.
