Barracudamette in guardia contro l’airline phishing, attacco cyber che utilizza tecniche diverse per acquisire dati sensibili e creare un Advanced Persistent Threat.
L’airline phishing è una nuova variante di un vecchio phishing via email. Barracuda lo ha potuto osservare in particolare nei settori che comportano frequenti spedizioni di merci o trasferte del personale, come la logistica, le spedizioni e il settore manifatturiero.
La prima tecnica dell’attacco consiste nel fingersi qualcun altro, per esempio un addetto delle risorse umane che invia un biglietto aereo. L’email pericolosa è fatta in modo da apparire lecita ad un utente poco formato. Negli attacchi più efficaci, inoltre, sarà confezionata in modo specifico per il target, per esempio selezionando una linea aerea e una destinazione che appaiano legittimi nel contesto dell’attacco.
La seconda tecnica consiste in un Advanced Persistent Threat incorporato nell’allegato dell’email “maligna”. L’allegato, in genere una conferma della prenotazione o una ricevuta, è tipicamente un documento Pdf o Docx. Il malware sarà quindi eseguito all’apertura del documento. Barracuda ha dimostrato che nel 90% dei casi il destinatario apre la mail e attiva il malware, una percentuale di successo straordinaria nella storia degli attacchi phishing. Barracuda ha inoltre identificato attacchi che comprendevano link a siti phishing “credibili”, congegnati per raccogliere i dati sensibili delle vittime e spingerle a inserire nel finto sito le credenziali aziendali.
L’attacco si basa su tre tecniche principali:
Analisi della struttura organizzativa e degli schemi di comunicazione dell’azienda, in modo da creare email che sembrano legittime.
Uso di un Advanced Persistent Threat, che viene introdotto nella rete all’apertura dell’allegato. La vittima è ignara dell’attacco per via del contenuto falsamente credibile della mail.
Raccolta delle credenziali della vittima usando una falsa pagina di login. Una volta ottenute tali credenziali, il cyber-criminale ottiene l’accesso ai dati e alle comunicazioni dell’azienda. Questi passaggi consentono inoltre di lanciare attacchi diversi, come il ransomware, o rimanere in modalità nascosta e studiare la rete target, cosa che consente di ottenerne il controllo.
Per bloccare tali attacchi, le aziende dovrebbero adottare un approccio security multilivello.
Sandboxing: un sistema di sandboxing e di prevenzione degli Advanced Persistent Threat efficace può bloccare il malware prima ancora che raggiunga i mail server aziendali
Protezione antiphishing: i motori di phishing avanzati dotati di Link Protection cercano nei siti web i link che contengono codice malevolo. Tali link vengono bloccati, anche se sono nascosti nei documenti
Formazione delle persone: il personale formato è maggiormente in grado di riconoscere gli attacchi personalizzati.
Barracuda propone inoltre il suo Email Threat Scanner,un tool gratuito che effettua la scansione degli account Office365 alla ricerca di rischi di phishing e di Advanced Persistent Threat. La scansione offre una valutazione accurata del rischio e delle condizioni di protezione.
