F5 Networks, contrastare un cybercrime sempre più evoluto

F5 Networks, contrastare un cybercrime sempre più evoluto

Il Phishing and Fraud Report 2019 di F5 Networks rivela che il cybercrime utilizza sempre più spesso certificati digitali per risultare credibile e convincente. Sulla base dell’analisi degli attacchi registrati nell’arco di un anno, gli F5 Labs sottolineano come il phishing sia ancora il metodo maggiormente utilizzato per violare i dati e che i settori che hanno le probabilità più elevate di essere compromessi siano l’ambito finanziario, sanitario, educativo, no profit e contabile.

David Warburton, Principal Threat Evangelist, F5 Networks e co-autore del report
Il phishing continua a essere così diffuso semplicemente perché funziona. Gli aggressori non devono preoccuparsi di hackerare un sistema attraverso un firewall, trovare un exploit zero-day o decifrare la crittografia. La difficoltà è solo quella di creare un’email convincente per persuadere le persone a cliccare su un sito falso.

Con un numero di minacce che è destinato a crescere costantemente, gli F5 Labs sottolineano come il phishing non possa essere più considerato un fenomeno specifico di alcuni periodi dell’anno e non sia più prevedibile come una volta. Mentre lo scorso anno i SOC di F5 hanno registrato un aumento del 50% degli attacchi di phishing tra ottobre e gennaio, quest’anno il modello è cambiato.

Secondo gli F5 Labs, gli indirizzi a cui inviare le email di phishing provengono da una varietà smisurata di fonti, come liste spam e dall’intelligence open source. Le mail di phishing possono essere inviate a migliaia di potenziali vittime o a un individuo specifico, a seconda dell’approccio e dell’intensità con cui vengono colpite le vittime.

Anatomia dell’attacco di phishing del 2019
Combinando i dati dettagliati raccolti da Webroot a partire dal mese di luglio 2019 con le ricerche condotte dai Labs nell’ultimo anno, F5 ha concluso che le e-mail di phishing hanno una probabilità tre volte maggiore di avere un collegamento dannoso rispetto a un allegato. I brand e i servizi più imitati sono Facebook, Microsoft Office Exchange e Apple.

Uno dei trend ricorrenti nel corso dell’anno è la tendenza del phishing verso livelli sempre più elevati di credibilità, che vede il 71% dei siti di phishing utilizzare indirizzi HTTPS per apparire più legittimi. Gli F5 Labs hanno, inoltre, riscontrato che nell’85% dei casi analizzati i siti di phishing utilizzano certificati digitali che hanno ottenuto la firma di un’autorità di certificazione (CA) attendibile.

I siti fake di phishing identificati erano situati su una vasta gamma di host Internet, i principali sono 4cn.org (2,7%), airproxyunblocked.org (2,4%), 16u0.com (1,0%) e awardforyouhere.com (1,0%).
Tra i principali siti di phishing unici, invece, figura blogspot.com, responsabile del 4% di tutte le istanze di phishing e del 43% del malware analizzato. La popolare piattaforma di blogging consente agli utenti di ospitare facilmente contenuti dannosi su un dominio ben riconosciuto che fornisce prontamente certificati TLS gratuiti, classificati come OV- Organization Validation per tutti i suoi siti.

L’ascesa dell’automazione
Un’ultima tendenza significativa evidenziata dal Phishing and Fraud Report del 2019 riguarda il numero crescente di autori del phishing che sfruttano l’automazione per ottimizzare gli attacchi.

I dati mostrano che molti siti di phishing ottengono certificati tramite servizi come cPanel (un pannello di controllo grafico per la gestione e l’amministrazione di siti internet e web hosting integrato con Comodo CA) e LetsEncrypt (una certification authority che automatizza gratuitamente la creazione, la validazione, il rilascio ed il rinnovo di certificati X.509 per il protocollo TLS). Il 36% dei siti di phishing identificati possiede certificati che durano solo 90 giorni, il che suggerisce che sia stato scelto un processo di automazione dei certificati.

Il 95% dei domini di phishing analizzati ha registrato meno di 10 accessi e nel 47% dei casi un solo e unico accesso, a dimostrazione di come chi attacca stia sfruttando un processo completamente automatizzato di creazione di un sito di phishing per massimizzare il ritorno sugli investimenti.