Il furto d’identità è stato e continua ad essere la minaccia principale che colpisce sia gli utenti che le organizzazioni che forniscono servizi on-line.
L’RSA, la divisione di sicurezza di EMC Corporation, ha annunciato il 20 marzo che il furto d’identità (phishing) resta una delle principali minacce on-line e colpisce sia gli utenti come le organizzazioni che offrono servizi sulla rete. Solo nel 2012 ci sono stati, in media, più di 37.000 attacchi di phishing ogni mese, causando perdite stimate a 1,500 miliardi di dollari.
Kits per il furto d’identità
RSA recentemente ha analizzato dei kit usati per il furto d’identità (phishing kits) dove hanno scoperto una tattica sempre più usata dai criminali. Il sistema prevede diversi reindirizzamenti da un sito web ad un altro, in genere il primo è un sito web legittimo che è stato fatto proprio dai criminali, senza apportare alcuna modifica. Utilizzando questo sito come un trampolino di lancio, inducono ai navigatori di entrare per poi essere reindirizzati a un secondo sito: la vera pagina di phishing.
L’uso dei due siti ha uno scopo molto chiaro: evitare che i messaggi di posta elettronica siano bloccati dai filtri di sicurezza, siccome il primo sito è “pulito” ed è quello che viene analizzato dal filtro antiphising. Non è possibile accedere al sito dannoso se non si è entrato precedentemente al primo URL legittimo.
Altri attacchi rilevati sono quelli chiamati di “azione ritardata”. Questi non sono nuovi, ma vengono utilizzati sempre di più dai criminali. Questa variante utilizza anche un sito legittimo o pulito, il cui URL è distribuito via e-mail, ma è interrotto o fermato, i contenuti dannosi si caricheranno solo uno o due giorni dopo.
Di solito questi sono attacchi di fine settimana, dove i messaggi malware sono inviati la domenica, cancella i sistemi di posta elettronica e i contenuti illegali saranno disponibili il Lunedì. Lo stesso schema è utilizzato per le campagne d’infezione di virus trojan e furto d’identità per obiettivi specifici.
Gli analisi della RSA mostrano che il venerdì è il giorno preferito dai criminali per inviare e-mail di phishing con obiettivi specifici. Perché il venerdì? E’ stato stabilito che verso la fine della settimana, i dipendenti hanno meno carico di lavoro, in modo che sono meno attenti e più soggetti a cadere per attacchi di phishing. Di solito il venerdì i dipendenti dedicano più tempo a cancellare la posta elettronica arrivata in settimana e a navigare di più su Internet, aumentando la possibilità di cliccare su un link ricevuto quel giorno.
Altre forme di phishing
I criminali del furto d’identità sono noti per la loro creatività nella progettazione di attacchi dannosi. Uno di questi è l’esproprio di URL, un modo comune per ingannare gli utenti del Web a farli credere che visitano un URL legittimo quando si tratta di un “gemello cattivo”. Questo attacco si basa sulla registrazione di un sito web con un dominio molto simile a quello legittimo o che imbrogli al navigatore.
Le forme più comuni d’esproprio di URL sono quelli di scambiare lettere (ad esempio Twitter per iwitter), aggiungere una lettera alla fine o ripetere alcune (Milano per Millano) e scambiare lettereo visivamente simili (i per l). Per evitare di entrare in questi siti dobbiamo leggere attentamente l’URL, tuttavia, la maggior parte degli utenti controlla la posta elettronica inmerso nelle difficili ore di lavoro, il che rende più fattibile fare clic su (anche accidentale) un link maligno.
“Dietro la facciata o le pagina per il furto d’identità, ci sono dei kit sempre più sofisticati che registrano le visite e le coordinate dell’utente, lo instradano da un posto al altro, lo guidano furviamente ai siti di infezione in cui rubano le informazioni” ha dichiarato Mark Nehme, CTO per l’America Latina e i Caraibi di RSA. “Secondo un recente studio in materia, le variazioni di queste tattiche sono dovuti ai tentativi di apprendere modelli di comportamento umano dalle statistiche degli utenti, conoscenza che di seguito è usata per gli attacchi.”
L’RSA Anti-Fraud Command Center ha più di 130 analisti dedicati a identificare e affrontare le varie minacce online, come phishing, pharming e attacchi di Trojan. L’AFCC ha aperto la strada attraverso i risultati, il raggiungimento degli obiettivi e annunciando importanti scoperte di frode. Uno dei suoi più grandi successi è stata la chiusura di oltre 750.000 attacchi online in tutto il mondo.
