Il phishing kit è uno strumento software realizzato da attori malevoli e reso disponibile ad altri cyber criminali. Si tratta, in particolare, di software nati per agevolare la realizzazione della frode informatica cercando di automatizzare il più possibile tutti i passaggi dell’attacco. Offrendo, in questo modo, una piattaforma pronta anche per quei cyber criminali che non hanno particolari capacità tecniche.
Indice degli argomenti
Phishing: una minaccia difficile da estirpare
Questo spiega perché, all’interno dell’ecosistema del phishing, i phishing kit stanno velocemente acquisendo una sempre maggiore “popolarità”.
È vero, infatti, che il phishing rimane ancora una delle principali tecniche utilizzate dai cyber criminali che, inviando e-mail molto simili a quelle originali, impersonificano un’entità come per esempio l’eCommerce preferito, la propria banca, un sito visitato di recente, il portale di un servizio al quale non si accede da molto tempo.
Si tratta di e-mail particolari, fuori dal comune, inaspettate, sembrano “false” ma sono tanto desiderate.
Tutto gira attorno alla curiosità della vittima. Una tecnica di ingegneria sociale che funziona piuttosto bene nonostante da tanti anni si investe – e tanto – per la loro estinzione.
Le informazioni carpite dagli attaccanti vengono successivamente messe in vendita nel mercato nero presente sul Dark Web e raramente utilizzate direttamente, se non in alcuni casi particolari. Oggi il phishing rappresenta ancora uno dei principali vettori di penetrazione: specialmente utilizzato da cyber criminali in contesti opportunistici, si è molto evoluto nel tempo per adattarsi alla continua evoluzione dei metodi di difesa adottati dalle sempre più attente organizzazioni pubbliche e private.
Da queste premesse è nato il personale bisogno di investigare di più sul fenomeno dei phishing kit. Capire come i cyber criminali si stanno organizzando su questo fronte, per comprendere se ci sono delle somiglianze, individuare degli indicatori comuni e per comprendere come questa evoluzione può essere identificata.
Il tracciamento del fenomeno
Il progetto di tracciamento (o tracking) dei phishing kit è stato avviato più di due anni fa, come risposta alla forte esigenza personale di comprendere da vicino l’evoluzione di questi strumenti (oggi è un progetto rilasciato open source e disponibile su GitHub.
Il tracciamento attivo ha portato alla luce numerosi phishing kit. Molti di questi necessitavano di essere analizzati e sintetizzati in un modello predittivo basato su intelligenza artificiale (machine learning) affinché fosse possibile astrarre, dalle singole osservazioni, modelli generali utili alla classificazione, all’individuazione di similarità e al conseguente blocco.
L’aiuto dell’AI e la partnership con gli atenei
Per questo è stata attivata una collaborazione con alcune università del territorio per meglio studiare il fenomeno assieme a ricercatori che potessero investire tempo e conoscenza nel settore. Da questa idea, è nato un progetto di ricerca congiunto tra Alma Mater Studiorum, Università degli studi di Bologna, l’Università di Modena e Reggio Emilia e Yoroi.
Una ricerca che è durata per più di un anno e che ha visto i ricercatori universitari e cyber security analisti di operare “fianco a fianco” per studiare migliaia di phishing kit estraendo modelli e caratteristiche comuni.
Lo studio ha portato alla luce i seguenti risultati:
- Evoluzione. È stato possibile apprezzare l’evoluzione dei phishing kit verso sistemi di elusione delle tecnologie di disarmo, ovvero la capacità di questi software di evitare il blocco da parte di sistemi tradizionali “anti phishing”, utilizzando tecniche più o meno sofisticate e distribuite ma comunque innovative in questo contesto. È stato altresì possibile osservare la capacità di selezionare opportunamente la vittima, evitando vittime non desiderate o “fuori perimetro di attacco”.
- Collaborazioni tra attori malevoli. Il riutilizzo di tecniche e, in alcuni casi, di codice sorgente , ha reso possibile l’individuazione di punti di contatto (collaborazioni) tra attori differenti. Questa attività è sfociata nella redazione di vere e proprie schede informative relative ai threat actors, per osservarne la composizione e la modifica nel tempo.
- Modelli predittivi. L’attività di ricerca ha portato alla realizzazione di modelli predittivi utili per I cloud provider al fine di individuare e bloccare sul nascere la presenza di phishing kit all’interno dei loro sistemi condivisi. Ovvero attraverso questi strumenti, un cloud provider potrebbe processare autonomamente (senza investigazione umana) ogni gruppo di file caricato sulla propria infrastruttura digitale e comprendere se vi siano dei phishing kit. In caso positivo, il cloud provider può autonomamente decidere se rimuovere il file analizzato oppure semplicemente mantenerlo in osservazione.
Le nuove tecniche e la “doppia retribuzione”
Nella prima fase di analisi sono stati studiati (attraverso analisi manuale) centinaia phishing kit, leggendone codice e interpretandone funzioni per individuare le principali caratteristiche e similitudini di scrittura.
Sono state identificate nuove tecniche di evasione dei sistemi di controllo, nuovi metodi per mirare a singole vittime e “frodi nelle frodi”, ovvero funzioni nascoste introdotte dagli sviluppatori dei kit per “frodare” gli attaccanti, ovvero coloro che acquistando il phishing kit predispongono il vero attacco verso le vittime.
Queste funzioni nascoste permettono agli sviluppatori dei phishing kit di impiantare all’interno della pagina di phishing delle backdoor per prenderne il controllo e determinare così il doppio invio delle credenziali inserite dalla vittima.
In altre parole, quando la vittima introduce le credenziali, queste vengono inviate all’attaccante ma silentemente anche allo scrittore del phishing kit il quale in questo modo ha una doppia “retribuzione”: la vendita del kit e anche il “bottino” dell’attaccante (le credenziali rubate alla vittima), da poter riutilizzare o rivendere a piacere.
Le tre fasi di analisi automatica dei phishing kit
Dopo l’analisi manuale è stato possibile realizzare una pipeline di analisi automatica dei phishing kit. Tale pipeline prevede 3 fasi principali.
La prima prevede un classificatore deterministico capace di classificare il phishing kit in funzione di pattern deterministici presenti all’interno del codice sorgente. La seconda fase prevede l’estrazione (ovvero verificare la presenza o meno) di specifiche caratteristiche all’interno del codice sorgente le quali vanno ad alimentare un modello probabilistico che a sua volta – è la terza fase – ne esegue una classificazione utilizzando algoritmi di machine learning.
Il risultato della pipeline, non è semplicemente la verifica o meno della presenta del phishing kit ma anche la sua classificazione e associazione ad un attore attaccante. L’implementazione della pipeline ha prodotto una tecnologia prototipale capace di processare un elevato numero di artefatti (per lo più file compressi) e dichiarare se e quale tipologia di phishing kit ne fosse presente.
Un passo in avanti, ma non abbassare la guardia
Non mi aspetto da questa ricerca la soluzione a tutti i problemi legati al phishing. Le raccomandazioni di base continuano ad essere valide (verificare il reale mittente delle e-mail e non limitarsi all’alias, verificare la reale URL sulla quale si vuole navigare e verificare il certificato nel browser una volta aperta la pagina) ma credo che possa essere un importante miglioramento relativo alla threat intelligence di tali dispositivi e conseguentemente la realizzazione di modelli per la rilevazione ed il conseguente blocco.
Un piccolo passo in avanti nella lotta del phishing, ma contemporaneamente un buon esempio di collaborazione tra pubblico e privato, tra università ed organizzazioni private in un ambito non troppo scontato come quello del high tech digitale.
