Geografia e percorsi di rete del phishing nella ricerca di Barracuda

Esaminando geografia e percorsi di rete è emerso che le email di phishing hanno in gran parte origine in alcuni Paesi europei ed extraeuropei.

phishing

Barracuda con la Columbia University ha analizzato l’origine geografica e i percorsi di rete che seguono le email di phishing. I Paesi di origine e la quantità di Paesi che le email attraversano per giungere alla destinazione finale rappresentano importanti segnali di allerta sugli attacchi di phishing. Esaminando la posizione geografica e l’infrastruttura di rete per oltre 2 miliardi di messaggi email inviati nel gennaio 2020,  è emerso che le email di phishing hanno in gran parte origine in alcuni Paesi dell’Est Europa, dell’America Centrale, Medio Oriente e Africa.

Inoltre molto probabilmente attraversano un numero di Paesi più alto delle email normali.  I ricercatori hanno inoltre scoperto un numero sorprendentemente elevato di attacchi originati da importanti fornitori cloud. Questo potrebbe essere dovuto al fatto che i criminali sono in grado di compromettere server legittimi e/o account email ospitati da questi provider.

phishing

Percorsi di rete del phishing. Come riconoscerlo e bloccarlo

I ricercatori hanno quindi fatto un’analisi dell’impatto che la geografia e l’infrastruttura di rete hanno sugli attacchi di phishing e le soluzioni che possono aiutare a porvi rimedio.
I criminali usano tattiche di social engineering per indurre le vittime a fornire informazioni personali come nomi utente, password, numeri di carta di credito o informazioni bancarie. L’individuazione del phishing si basa in massima parte sul contenuto delle email e sul comportamento dei criminali, ma più gli attacchi si fanno complessi, più i metodi di difesa devono essere sofisticati.

Barracuda percorsi rete phishing

Il team di ricerca ha esaminato le caratteristiche a livello di rete delle email di phishing e ha estratto gli indirizzi IP dai campi “received” delle intestazioni delle email dove sono registrate le informazioni sui server attraverso cui i messaggi sono transitati. Lo studio di questi dati ha fornito informazioni sui percorsi seguiti dalle email di phishing per giungere dal mittente al destinatario.

phishing

Dalla ricerca sono emersi tre fattori predominanti:

Le email di phishing seguono di preferenza percorsi che attraversano diversi Paesi. Oltre l’80% delle normali email viene instradato attraverso uno o due Paesi, mentre ciò è vero per circa il 60% del phishing. Questo suggerisce che un’utile funzione per un sistema di riconoscimento del phishing potrebbe essere l’esame del numero di singoli Paesi attraverso cui il messaggio transita.
I Paesi con la più alta probabilità di phishing si trovano nell’Est Europa, Centro America, Medio Oriente e Africa. Alcuni Paesi che danno origine a una grande quantità di phishing mostrano in realtà una probabilità di phishing molto bassa.

Ad esempio, 129.369 email di phishing presenti nel dataset risultano provenire dagli Stati Uniti, ma la probabilità di phishing dagli Usa è lo 0,02%. In generale, la maggior parte dei Paesi mostra una probabilità del 10% o inferiore.
Se non è ragionevole bloccare tutto il traffico proveniente da Paesi con alta probabilità di phishing, può essere comunque utile segnalare le email provenienti da lì per un’analisi più approfondita.

Barracuda percorsi rete phishing

Molte reti usate dai criminali sono sorprendentemente reti di grandi provider cloud del tutto regolari. Questo ha senso dato che gestiscono altissimi volumi di email. Per queste reti, la probabilità che ogni singola email sia phishing è estremamente bassa.
È probabile che molti degli attacchi che hanno origine da queste reti provengano da account email o server compromessi, di cui i criminali sono stati capaci di ottenere le credenziali.
I ricercatori hanno scoperto che alcuni dei mittenti a più alto volume di phishing (per rete) e che hanno anche la più alta probabilità che si tratti di phishing, fanno sempre riferimento a reti controllate da fornitori di servizi cloud (Rackspace, Salesforce). Queste reti hanno volumi di traffico email totale di diversi ordini di grandezza minore delle due reti principali, eppure inviano un numero significativo di phishing.

Come proteggersi

Scegliere soluzioni che utilizzano l’intelligenza artificiale. I cybercriminali perfezionano continuamente le tattiche per aggirare i gateway email e i filtri antispam. Per questo, è importante disporre di una soluzione in grado di riconoscere e proteggere dagli attacchi di spear-phishing, brand impersonation, business email compromise e account takeover.
È necessaria una soluzione che non si limiti a cercare link o allegati pericolosi, ma usi il machine learning per analizzare i normali pattern di comunicazione all’interno dell’organizzazione per individuare le anomalie che potrebbero indicare un attacco.

Implementare la protezione da account takeover. Alcuni degli attacchi di spear-phishing più convincenti e dannosi provengono da account interni compromessi e per questo è indispensabile impedire ai criminali di usare l’organizzazione come base di lancio per campagne di spear-phishing.
Qui servono tecnologie che sfruttano l’intelligenza artificiale per capire quando un account è stato compromesso e rimediare in tempo reale avvisando l’utente e rimuovendo le email malevole inviate dagli account compromessi.

Aumentare la conoscenza sulla sicurezza attraverso la formazione. È importante tenere gli utenti costantemente aggiornati sulle più recenti tattiche di spear-phishing organizzando sessioni ad hoc affinché il personale sappia riconoscere gli attacchi a come riportarli correttamente al team IT.
È consigliabile ricorrere alle simulazioni con email, voicemail e SMS per educare gli utenti a identificare i cyberattacchi, valutare l’efficacia della formazione e capire chi siano gli utenti più vulnerabili.