Nella propria attività di analisi di un caso di phishing, la società di sicurezza informatica Mandiant ha scoperto un nuovo meccanismo, ribattezzato Caffeine, che consente di facilitare questo tipo di attacco.
È infatti sempre più comune rilevare un avvicinamento al mondo del crimine informatico anche da parte di attori non tecnici e poco esperti. Questo avviene proprio mediante piattaforme web come Caffeine create ad hoc da gruppi più esperti che, fornendole come servizio, raccolgono guadagni in modalità passiva, non esponendo in prima persona la propria azione, ma lasciando che sia la creatività di terze parti a sferrare l’attacco alla vittima finale.
Come sappiamo, già da tempo il phishing è diventato un “servizio”, ma la nuova piattaforma Caffeine porta con sé alcuni elementi di novità che vale la pena approfondire.
Indice degli argomenti
PhaaS con Caffeine per un phishing adatto a tutti
Caffeine viene pubblicizzata all’interno di forum underground e persino con inserzioni in siti Web che offrono cracking di software a pagamento (nulled.to ecc.).
Con Caffeine, chiunque può lanciare campagne di phishing verso un target preimpostato e sfruttando il brand o il marchio più idoneo alla propria esigenza. Alla parte tecnica, invece, pensa direttamente la piattaforma.
L’applicazione Web prevede una registrazione degli utenti interessati al suo utilizzo e un pagamento di un canone mensile con un minimo di 250 dollari al mese, per il pacchetto base. Un prezzo fuori mercato (per le piattaforme di settore) che viene giustificato da particolari funzionalità anti-rilevamento e anti-analisi, nonché un servizio di assistenza clienti.
Dal punto di vista grafico, la piattaforma si presenta come una dashboard, facile da gestire. Dopo la creazione dell’account e l’iscrizione all’abbonamento, gli operatori possono procedere alla distribuzione del kit di phishing che, allo stato attuale, consiste in una finta pagina di accesso di Microsoft Office 365.
Al momento, la piattaforma supporta unicamente questo kit, ma i ricercatori riferiscono che non è escluso un arricchimento del modello di phishing.
È bene precisare che, per modello di phishing, Caffeine intende il template dell’e-mail che poi l’operatore andrà a distribuire ai contatti target della campagna. La piattaforma ne mette a disposizione tre differenti, di cui uno che impersona la classica schermata di file sharing via e-mail di Microsoft, un secondo prede di mira un provider di posta elettronica cinese e il terzo ha l’aspetto di Mail.ru.
Anche in questo caso, per quanto riguarda i template modello da utilizzare per la e-mail di phishing, si presume che la piattaforma possa in futuro implementarne di nuovi, per dare maggiori opportunità agli attaccanti.
La difesa dal phishing di Caffeine
Tra i metodi di difesa, risultato del report pubblicato dai ricercatori Mandiant, ci sono gli indici di compromissione e le note di rilevamento, che possono essere implementate nei propri strumenti di protezione degli endpoint.
Tuttavia, la stessa Mandiant avverte della bassa efficacia di questa azione, già nel breve periodo, proprio per via dell’alta volatilità delle operazioni che vengono lanciate da questa piattaforma e dall’alto grado di personalizzazione di cui gli attaccanti riescono a disporre.
La tabella seguente (fonte Mandiant), ad ogni modo, viene condivisa proprio per la diffusione di questi dati di rilevamento, attualmente importanti.
Dominio/URL | Risoluzione indirizzo IP | Note contestuali |
caffeinefiles[.]click | 104.21.6[.]210 | Una posizione di hosting attiva per i file della piattaforma Caffeine. Attualmente dietro Cloudflare. |
caffeina[.]spazio | 185.163.46[.]131 | Una posizione di hosting inattiva per i file della piattaforma Caffeine. |
caffeina[.]negozio | 104.26.7[.]11 | Il dominio principale del negozio di caffeina. Attualmente dietro Cloudflare. |
ip-api[.]io | 192.99.71[.]107 | Questo è un servizio apparentemente legittimo utilizzato da Caffeine per la geolocalizzazione dell’indirizzo IP. Di per sé non è intrinsecamente dannoso, ma quando l’attività per questo dominio compare insieme ad altri indicatori di caffeina, fornisce un immenso valore contestuale. |
telegramma[.]org | 149.154.167[.]99 | Un servizio di messaggistica crittografato legittimo utilizzato pesantemente da Caffeine. |
Come sempre più spesso accade, l’unica arma efficace rimane la consapevolezza e la formazione del “fattore umano”.
Mettere in sicurezza un’infrastruttura dal rischio phishing significa sempre di più anche questo: formare i dipendenti e tutto il personale a contatto con comunicazioni da e verso il pubblico, al rilevamento di sospetti messaggi fraudolenti, mediante il riconoscimento rapido del mittente e l’analisi veloce dei link contenuti all’interno.
Inoltre, è importante saper riconoscere in che misura ci si può aspettare un certo messaggio o meno.
Sono questi alcuni dei parametri con i quali è giusto prendere confidenza sempre più da vicino per difendersi dal phishing.