I paesi di origine delle e-mail e la quantità di paesi che esse attraversano per giungere alla destinazione finale rappresentano importanti segnali di allerta sugli attacchi di phishing.
I ricercatori della Columbia University insieme agli esperti di Barracuda hanno analizzato l’origine geografica delle e-mail di phishing e i percorsi che esse seguono. Esaminando la posizione geografica e l’infrastruttura di rete per oltre due miliardi di messaggi di posta elettronica inviati nel gennaio 2020, di cui 218.000 di phishing, è emerso che le e-mail di phishing hanno in gran parte origine in alcuni paesi dell’Est Europa, dell’America Centrale, Medio Oriente e Africa e molto probabilmente attraversano un numero di paesi più alto delle e-mail normali.
È stato inoltre scoperto un numero sorprendentemente elevato di attacchi originati da grossi fornitori cloud, ipotizzando che questo sia dovuto al fatto che i criminali sono in grado di compromettere server legittimi e/o account e-mail ospitati da questi provider.
Indice degli argomenti
I dettagli della minaccia
Negli attacchi di phishing, i criminali usano tattiche di social engineering per indurre le vittime a fornire informazioni personali come nomi utente, password, numeri di carta di credito o informazioni bancarie.
L’individuazione del phishing si basa in massima parte sul contenuto delle e-mail e sul comportamento dei criminali, ma più gli attacchi si fanno complessi, più i metodi di difesa devono essere sofisticati.
I team di ricerca hanno esaminato le caratteristiche a livello di rete delle e-mail di phishing, in quanto queste sono più persistenti e difficili da manipolare, e hanno estratto gli indirizzi IP dai campi “received” delle intestazioni dei messaggi di posta elettronica dove sono registrate le informazioni sui server attraverso cui i messaggi sono transitati. Lo studio di questi dati ha fornito preziose informazioni sui percorsi seguiti dalle e-mail di phishing per giungere dal mittente al destinatario.
I dettagli degli attacchi di phishing
Sono emersi tre fattori predominanti, che possiamo analizzare nel dettagli.
I percorsi di rete seguiti dalle e-mail di phishing
Le email di phishing seguono di preferenza percorsi che attraversano diversi paesi. Oltre l’80% delle normali email viene instradato attraverso uno o due paesi, mentre ciò è vero per circa il 60% del phishing.
Questo suggerisce che un’utile funzione per un sistema di riconoscimento del phishing potrebbe essere l’esame del numero di singoli paesi attraverso cui il messaggio transita.
L’origine geografica degli attacchi di phishing
I paesi con la più alta probabilità di phishing si trovano nell’Est Europa, Centro America, Medio Oriente e Africa. La probabilità che un’email sia phishing in base al paese del mittente è stata determinata identificando il paese di origine mediante i dati di geolocalizzazione e calcolando la probabilità per ciascun paese dividendo il numero di e-mail di phishing per il numero totale di e-mail.
Alcuni paesi che danno origine a una grande quantità di phishing mostrano in realtà una probabilità di phishing molto bassa. Ad esempio, 129.369 email di phishing presenti nel dataset risultano provenire dagli Stati Uniti, ma la probabilità di phishing dagli Usa è solamente dello 0,02%. In generale, la maggior parte dei paesi mostra una probabilità del 10% o inferiore.
I mittenti che producono i più alti volumi di phishing (più di 1.000 email nel periodo) e con la più alta probabilità di phishing si trovano in questi paesi (in ordine decrescente):
- Lituania
- Lettonia
- Serbia
- Ucraina
- Russia
- Bahamas
- Porto Rico
- Colombia
- Iran
- Palestina
- Kazakistan
Se non è ragionevole bloccare tutto il traffico proveniente da paesi con alta probabilità di phishing, può essere comunque utile segnalare le email provenienti da questi paesi per un’analisi più approfondita.
Il phishing sfrutta le reti dei provider
Molte delle reti usate dai criminali sono sorprendentemente reti di grossi provider cloud del tutto regolari. Le reti con il più alto numero di attacchi di phishing sono sorprendentemente controllate dai grandi cloud provider; in effetti, questo ha senso dato che gestiscono altissimi volumi di e-mail.
Per queste reti, la probabilità che ogni singola email sia phishing è estremamente bassa (come mostrato nella tabella sottostante in cui sono indicate le prime quattro reti per volumi inviati e relativa probabilità che una email inviata da queste reti sia phishing).
È probabile che molti degli attacchi che hanno origine da queste reti provengano da account email o server compromessi, di cui i criminali sono stati capaci di ottenere le credenziali.
Email di phishing | Proprietà della rete | Probabilità di phishing |
1 | Amazon | 0,000224 |
2 | Microsoft | 0,000429 |
3 | Amazon | 0,000124 |
4 | 0,00212 |
I team di ricerca hanno scoperto che alcuni dei mittenti a più alto volume di phishing (per rete) e che hanno anche la più alta probabilità che si tratti di phishing, fanno sempre riferimento a reti controllate da fornitori di servizi cloud (Rackspace, Salesforce).
Queste reti hanno volumi di traffico email totale di diversi ordini di grandezza minore delle due reti principali, eppure inviano un numero significativo di phishing.
Pertanto, la probabilità che ogni singola email partita dai loro server sia malevola è molto più alta (tabella sottostante, Alcuni esempi di reti con alti volumi e alta probabilità di phishing).
Email di phishing | Proprietà della rete | Probabilità di phishing |
9 | LayerHost | 0.277 |
13 | UnrealServers | 0.334 |
17 | REG.RU | 0.836 |
18 | Cherry Servers | 0.760 |
20 | Rackspace | 0.328 |
Come proteggersi dagli attacchi di phishing
- Scegliere soluzioni che utilizzano l’intelligenza artificiale. I cybercriminali perfezionano continuamente le tattiche per aggirare i gateway e-mail e i filtri antispam: per questo, è importante disporre di una soluzione in grado di riconoscere e proteggere dagli attacchi di spear phishing, brand impersonation, Business Email Compromise (BEC) e account takeover. È necessaria una soluzione che non si limiti a cercare link o allegati pericolosi, ma usi il machine learning per analizzare i normali pattern di comunicazione all’interno dell’organizzazione per individuare le anomalie che potrebbero indicare un attacco.
- Implementare la protezione da account takeover. Non bisogna pensare solo ai messaggi provenienti dall’esterno. Alcuni degli attacchi di spear-phishing più convincenti e dannosi provengono da account interni compromessi e per questo è indispensabile impedire ai criminali di usare l’organizzazione come base di lancio per campagne di spear phishing. Qui servono tecnologie che sfruttano l’intelligenza artificiale per capire quando un account è stato compromesso e rimediare in tempo reale avvisando l’utente e rimuovendo le email malevole inviate dagli account compromessi.
- Aumentare la conoscenza sulla sicurezza attraverso la formazione. È importante tenere gli utenti costantemente aggiornati sulle più recenti tattiche di spear phishing organizzando sessioni ad hoc affinché il personale sappia riconoscere gli attacchi a come riportarli correttamente al team IT. È consigliabile ricorrere alle simulazioni con e-mail, voicemail e SMS per educare gli utenti a identificare i cyber attacchi, valutare l’efficacia della formazione e capire chi siano gli utenti più vulnerabili.
