Per il report F5 Labs, Covid-19 è un fattore significativo nella crescita degli attacchi di phishing e frode da parte del cybercrime. La quarta edizionedel Report Phishing and Fraud ha rilevato che gli incidenti di phishing sono aumentati del 220% durante il culmine della pandemia globale, rispetto alla media annuale. Sulla base dei dati del Security Operations Center (SOC) di F5, il numero degli incidenti di phishing nel 2020 sarebbe ogni anno destinato ad aumentare del 15%. Un risultato ampiamente superato e che potrebbe ulteriormente variare a seguito della seconda ondata della pandemia.
Attacchi di phishing Covid
I tre obiettivi principali degli attacchi e di phishing tramite email che sfruttano Covid-19 come esca sono donazioni fraudolente a falsi enti di beneficenza, raccolta illecita di credenziali e diffusione di malware. L’opportunismo degli aggressori che sfruttano la pandemia è stato ulteriormente dimostrato dall’analisi svolta dagli F5 Labs dei log di Certificate Transparency. Il numero di certificati che utilizzano i termini “covid” e “corona” ha raggiunto la cifra record di 14.940 a marzo, con un aumento del 1102% rispetto al mese precedente.
I domini maggiormente utilizzati negli attacchi
Come già evidenziato nelle edizioni del report degli anni precedenti, la creatività dei truffatori quando si tratta di scegliere nomi e indirizzi dei loro siti di phishing è sempre in crescita. Da inizio 2020 ad oggi, il 52% dei siti destinati ad azioni di phishing ha utilizzato nomi e identità di brand scelti con cura per i propri indirizzi web. Utilizzando i dati di Webroot, gli F5 Labs hanno scoperto che Amazon è stato il brand più sfruttato nella seconda metà del 2020, con Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram nella lista dei 10 marchi “impersonificati” più diffusi.
Tracciando il furto di credenziali, gli F5 Labs hanno osservato come i criminali tentino di utilizzare le password rubate entro quattro ore dall’attacco di phishing. Alcuni attacchi si verificano addirittura in tempo reale, per finalizzare l’acquisizione di codici di sicurezza di autenticazione a più fattori (MFA). I criminali informatici sono diventati anche più efficienti nelle loro offerte per dirottare URL affidabili, spesso anche gratuitamente.
Attacchi di phishing Covid. Nascondersi alla luce del sole
Il 2020 ha visto anche i criminali intensificare i propri sforzi nel dissimulare i siti fraudolenti, facendoli apparire il più autentici e innocui possibile. Le statistiche del SOC di F5 hanno rilevato che la maggior parte dei siti di phishing sfrutta la crittografia. Quest’anno, il 100% delle drop zone – ovvero le destinazioni dei dati rubati dal malware – ha utilizzato la crittografia TLS (rispetto all’89% del 2019).
Minacce future
Secondo una recente ricerca di Shape Security, si profilano all’orizzonte due grandi tendenze nel panorama di queste particolari minacce. A causa del miglioramento dei controlli e delle soluzioni che analizzano il traffico bot (botnet), gli aggressori hanno iniziato a utilizzare le click farm. Esse comportano tentativi sistematici da parte di decine di individui di accedere da remoto a un sito web target utilizzando credenziali raccolte illecitamente. La connessione che proviene da un individuo umano che utilizza un browser web standard rende l’attività fraudolenta più difficile da rilevare.
L’impatto degli attacchi di phishing Covid
Anche un volume relativamente basso di attacchi, condotti in modo da poter essere ritenuti trascurabili, alla lunga ha un forte impatto. Shape Security ha analizzato 14 milioni di login mensili presso un’organizzazione di servizi finanziari rilevando un tasso di frode “manuale” dello 0,4%. Ciò equivale a 56.000 tentativi di accesso malevolo, e i numeri associati a questo tipo di attività sono destinati ad aumentare.
Inoltre, i ricercatori hanno registrato un aumento del volume di proxy di phishing real-time (RTPP) in grado di sottrarre e utilizzare codici di autenticazione a più fattori (MFA). L’RTPP agisce con tecniche di “man-in-the-middle” intercettando le transazioni della vittima con un sito web reale. Poiché l’attacco avviene in tempo reale, il sito web maligno può automatizzare il processo di acquisizione e riproduzione dell’autenticazione time-based come i codici MFA, e può anche rubare e riutilizzare i cookie di sessione.
