Kaspersky Security Bulletin. Lo spam e il phishing nell’anno 2014

Contenuti

L’anno in cifre

I dati raccolti ed elaborati da Kaspersky Lab evidenziano il seguente quadro riassuntivo:

  • Nel 2014, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento del 2,84% rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 66,76%.
  • Il 74,5% dei messaggi di spam ha presentato dimensioni non superiori ad 1 Kb.
  • Il 16,71% del volume complessivo di messaggi e-mail indesiderati diffusi su scala mondiale è risultato provenire dal territorio degli Stati Uniti.
  • Il maggior numero di e-mail nocive è stato recapitato agli utenti situati entro i confini degli Stati Uniti (9,8%).
  • Si sono complessivamente registrati 260.403.422 rilevamenti eseguiti grazie al sistema “Anti-phishing”.
  • Leader della speciale graduatoria relativa alle quote percentuali più elevate di utenti rimasti vittima degli attacchi condotti dai phisher è divenuto il Brasile; nel Paese sudamericano è in effetti risultato oggetto di attacchi di phishing il 27,47% del numero complessivo di utenti dei prodotti Kaspersky Lab.
  • Il maggior numero di attacchi di phishing è stato condotto nei confronti degli utenti situati in Russia, Paese in cui si è registrato il 17,28% del volume totale degli attacchi eseguiti su scala mondiale.
  • Il 42,59% degli attacchi organizzati dai phisher nel corso del 2014 è stato indirizzato verso i portali Internet globali che offrono l’accesso ad un elevato numero di servizi mediante l’utilizzo di un unico account.

Lo spam sfrutta la crescente popolarità dei dispositivi mobile

Come è noto, il livello di popolarità dei dispositivi mobile è in continua crescita e ciò ha lasciato evidenti tracce anche nella tipologia di spam che ha caratterizzato i flussi di posta elettronica nel corso del 2014. In effetti, all’interno del traffico di spam, è risultato in sensibile aumento il numero dei messaggi e-mail volti a pubblicizzare quei particolari servizi appositamente allestiti per diffondere lo spam sui dispositivi mobile; è stata inoltre rilevata, al tempo stesso, una considerevole quantità di offerte promozionali indirizzate agli stessi spammer che si dedicano alla conduzione di tale genere di mailing di massa. Lungo tutto l’arco dell’anno qui preso in esame, hanno ampiamente sfruttato la crescente popolarità dei dispositivi mobile anche i malintenzionati dello spam: di fatto, nel 2014, all’interno del traffico di posta elettronica è stata da noi individuata la presenza di un cospicuo numero di e-mail nocive mascherate sotto forma di messaggi apparentemente provenienti dagli smartphone, oppure camuffate in veste di notifiche inviate attraverso applicazioni mobile largamente diffuse.

Pubblicità da/per gli spammer “mobile”

Nel corso dell’anno oggetto del presente report gli spammer hanno iniziato a proporre, sempre più di frequente, i servizi specificamente allestiti per recapitare agli utenti messaggi pubblicitari tramite SMS e popolari servizi di instant messaging, quali WhatsApp, Viber, etc. Gli spammer, abitualmente, cercano di procurarsi i committenti di tale genere di réclame mediante la conduzione di campagne di spam di stampo tradizionale; è stato così rilevato un significativo aumento anche di questa particolare tipologia di pubblicità.

In seno ai flussi e-mail del 2014 hanno fatto la loro comparsa anche i messaggi pubblicitari specificamente destinati agli spammer “mobile”: in sostanza, a questi ultimi vengono proposti database già pronti per l’uso, composti da numeri di telefono ed altre informazioni di contatto, realizzati sulla base di criteri specifici, con il preciso intento di attirare un determinato target di utenti della Rete. I database in questione vengono a loro volta allestiti mediante la conduzione di apposite mailing di massa, nel corso dei quali gli spammer inviano messaggi di phishing nelle e-mail box degli utenti, messaggi preposti a raccogliere i dati personali delle “vittime”.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Messaggi di spam camuffati sotto forma di e-mail inviate attraverso i dispositivi mobile

Nel traffico di spam che ha caratterizzato il 2014 sono risultati particolarmente popolari i messaggi di posta elettronica volti ad imitare le e-mail inviate tramite i dispositivi mobile. Ci siamo così imbattuti in numerosi messaggi del genere, composti in varie lingue, in cui si faceva esplicito riferimento a noti modelli di apparati mobile, quali iPad, iPhone, Samsung Galaxy ed altri ancora. Il tratto comune a questa particolare tipologia di messaggi contraffatti si è rivelato essere il testo estremamente conciso (a volte addirittura del tutto mancante), accompagnato, in calce, da una “firma” del tipo “Sent from my iPhone”. I messaggi di spam in causa contengono, in genere, pericolosi allegati dannosi.

Con ogni probabilità, gli spammer contano sul fatto che un messaggio di posta apparentemente inviato, ad esempio, da un iPhone – e-mail contenente un file allegato e la relativa “firma” – possa apparire, agli occhi del destinatario dell’e-mail, del tutto attendibile. Di fatto, nei messaggi di posta elettronica provenienti dai dispositivi mobile non si fa abitualmente uso di modelli particolarmente complessi. Coloro che li inviano, in genere, si limitano spesso ad inserire un file in allegato, oppure a riportare uno specifico link, visto che non sono davvero in molti quelli che amano comporre, attraverso la tastiera del proprio smartphone, testi lunghi ed articolati.

In alcuni casi, i messaggi di spam in questione contenevano un file archivio, denominato in maniera tale che sembrasse poter custodire, al suo interno, qualche non ben precisata fotografia. In realtà, in tal modo, i malintenzionati hanno distribuito programmi malware di vario tipo.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Nelle e-mail apparentemente provenienti dai dispositivi mobile si incontrano, talvolta, anche link pubblicitari appositamente inseriti dagli spammer per cercare di convogliare gli utenti – nella maggior parte dei casi – verso siti web preposti alla vendita illecita di farmaci. Riportiamo, qui di seguito, uno screenshot esemplificativo riguardante uno di tali messaggi, in cui, in qualità di testo, gli spammer hanno utilizzato esclusivamente alcune parole chiave.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Nell’intento di eludere i filtri antispam, gli spammer cercano spesso di contraffare anche le intestazioni tecniche dei messaggi e-mail (Data, X-Mailer, Message-ID), per fare in modo che questi ultimi sembrino essere stati effettivamente inviati tramite dispositivi mobile. Ad ogni caso, alla prova dei fatti, il contenuto di tali intestazioni si rivela essere non corretto.

Messaggi di spam mascherati da notifiche inviate attraverso applicazioni mobile

La diffusione capillare dei dispositivi mobile ha involontariamente dato vita ad un altro fenomeno, ovvero lo spam camuffato sotto forma di notifiche inviate (in apparenza) da varie applicazioni mobile, quali, in particolar modo, WhatsApp e Viber. Gli utenti sono già abituati alla sincronizzazione delle applicazioni cross-platform, e alla sincronizzazione – tra le varie applicazioni – delle informazioni di contatto, così come alle numerose notifiche provenienti dalle app mobile. Per tali motivi, sono in molti coloro che non si allarmano affatto se, magari, ricevono un’e-mail in cui si comunica la ricezione di un messaggio sul proprio messenger mobile. Come è noto, queste applicazioni mobile non sono di fatto collegate all’account di posta elettronica dell’utente; l’illegittimità dei suddetti messaggi e-mail, pertanto, è del tutto evidente.

Il messaggio qui sotto riportato, ad esempio, in cui si comunica che all’utente è stata inviata una foto attraverso WhatsApp, non può essere stato in alcun modo inviato da tale servizio di messaggistica, in quanto la registrazione a WhatsApp non prevede l’inserimento delle proprie coordinate di posta elettronica.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Inoltre, la presunta “foto” è addirittura contenuta all’interno di un archivio compresso; si tratta di un elemento che dovrebbe ugualmente destare dei sospetti, per due motivi ben precisi. Innanzitutto, la dimensione del file zippato, eccessivamente contenuta, non sembra presentare alcun vantaggio per l’eventuale compressione di un’immagine; oltre a ciò, i file archivio vengono spesso utilizzati dai malintenzionati per nascondere allegati maligni. E difatti, nell’occasione, l’archivio allegato al messaggio di posta elettronica conteneva un programma nocivo.

Facciamo un altro esempio: come si può vedere qui sotto, la notifica relativa al messaggio vocale apparentemente inviato tramite Hangouts contiene un collegamento ipertestuale, realizzato sotto forma di pulsante “Play”. Cliccando su “Play”, invece di ascoltare il messaggio, l’utente giungerebbe, attraverso il link, su un sito legittimo violato, dal quale, tramite un apposito JavaScript, verrebbe reindirizzato verso una pagina web di pubblicità.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

L’ulteriore messaggio e-mail qui sotto riportato, anch’esso riguardante un messaggio vocale, in apparenza inviato attraverso Viber, contiene poi il pulsante “Listen to Voice Message”; cliccando su tale link viene in realtà generato il download di un archivio contenente un temibile software maligno.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Lo spam ed i principali avvenimenti mondiali

L’anno 2014, ormai trascorso, si è dimostrato particolarmente ricco di avvenimenti di risonanza mondiale: la crisi in Ucraina, l’epidemia causata dal virus Ebola, le Olimpiadi di Sochi, il Campionato del Mondo di calcio svoltosi in Brasile. Gli spammer, da parte loro, hanno ampiamente sfruttato ognuno di tali eclatanti avvenimenti per cercare di attirare la massima attenzione possibile, da parte degli utenti della Rete, nei confronti delle campagne di spam da essi condotte.

Le Olimpiadi invernali e il Campionato del Mondo di calcio

Le Olimpiadi di Sochi e la Coppa del Mondo FIFA 2014, disputata in Brasile, costituiscono gli unici eventi sportivi da noi incontrati all’interno dei flussi di spam globali nel corso dell’anno qui preso in esame. È stato di particolare interesse rilevare come, in entrambi i casi, le ondate più consistenti di spam siano state osservate proprio nella lingua del paese dove ha avuto luogo la manifestazione sportiva; ciò significa in maniera inequivocabile che sono stati proprio gli abitanti locali a rappresentare il principale obiettivo dei malintenzionati.

A livello di spam pubblicitario, alla vigilia delle due importanti competizioni sportive, è stata da noi osservata la conduzione di una moltitudine di mailing di massa volti a reclamizzare prodotti di vario genere decorati con i relativi simboli ed emblemi. È piuttosto curioso e singolare osservare come, nell’occasione, non siano stati utilizzati esclusivamente i simboli che hanno contraddistinto le Olimpiadi invernali di Sochi 2014; alcuni produttori, in effetti, hanno addirittura proposto la vendita di articoli adornati con i simboli delle Olimpiadi di Mosca 1980.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Intanto, non sono certamente rimasti a guardare neppure i cosiddetti truffatori “nigeriani”. Così, prima dell’inizio dei Giochi Olimpici di Sochi, sono stati diffusi, nel traffico di spam, messaggi e-mail inviati, in apparenza, a nome di sedicenti tifosi ed appassionati di sport invernali, attraverso i quali si chiedeva di prestare assistenza sia per affittare un’abitazione nella località situata ai piedi del Caucaso, sia per perfezionare le operazioni di pagamento di servizi di vario genere. A quanto pare, gli “appassionati di sport” in questione erano pronti a trasferire la “modica” cifra di 850.000 euro sul conto bancario di una persona di fiducia, in grado di poterli aiutare. Di sicuro, al volonteroso utente sarebbe stata poi promessa una sostanziosa ricompensa per i servizi resi, per cui certe spese da sostenere preliminarmente sarebbero apparse tutt’altro che insostenibili, per la potenziale vittima del raggiro. Il fatto è che, se il generoso utente avesse eseguito un trasferimento di denaro in favore dei truffatori, non avrebbe certo mai e poi mai ricevuto sul proprio conto bancario le centinaia di migliaia di euro promesse, né, tantomeno, la lauta ricompensa prospettata; ovviamente, a seguito del messaggio fraudolento, non sarebbe poi giunto alcun ospite nella sede dei Giochi Olimpici.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Allo stesso modo, è stato da noi individuato, all’interno dei flussi di posta elettronica mondiali, un elevato numero di e-mail fraudolente attraverso le quali si comunicava ai destinatari del messaggio la fantomatica vincita “realizzata” grazie ad una “ricca” lotteria, ufficialmente allestita in occasione dello svolgimento del Campionato del Mondo di calcio. Naturalmente, per entrare in possesso dell’inatteso premio, si sarebbero dovute innanzitutto sostenere delle spese preliminari. In realtà, il “vincitore” non avrebbe in alcun caso ricevuto l’insperato premio, messo in palio attraverso una lotteria alla quale la potenziale vittima dell’inganno non aveva ovviamente preso parte.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Simili messaggi e-mail vengono continuamente distribuiti in Rete alla vigilia delle più importanti manifestazioni calcistiche internazionali.

Oltre alle pubblicità di prodotti ed articoli di vario genere, oltre ai messaggi di natura fraudolenta, prima dell’inizio del Campionato del Mondo di football Brasile 2014 sono state da noi individuate, nel traffico globale di spam, anche e-mail maligne contenenti link che, in apparenza, avrebbero dovuto condurre gli utenti-vittima verso un sito web dove si sarebbero potuti agevolmente acquistare i biglietti per assistere ai match in programma.

La morte di Nelson Mandela

È lecito presupporre che i truffatori “nigeriani” non si lascino intristire più di tanto dalla scomparsa di leader politici di caratura internazionale, visto che un avvenimento del genere si può prestare alla perfezione per inventare le fantasiose e consuete “storie” incentrate su testamenti e lasciti multimilionari. La morte di Nelson Mandela, ad esempio, avvenuta alla fine del 2013, ha involontariamente generato una vera e propria ondata di spam “nigeriano”. Nella circostanza, lasciando intravedere l’esistenza di ingenti capitali, i malintenzionati hanno comunicato al destinatario dell’e-mail che quest’ultimo era stato insignito di un ricco premio intitolato a Mandela; in altri casi, invece, sedicenti “funzionari di banca” privi di scrupoli hanno tranquillamente proposto la spartizione di un conto bancario segreto appartenente alla famiglia del leader sudafricano, e via dicendo. Certe volte, poi, le e-mail “nigeriane” in questione contenevano addirittura link in grado di condurre su siti di news del tutto reali, dove, a detta dei truffatori, l’utente avrebbe potuto verificare la veridicità delle informazioni riportate nel messaggio.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

La crisi politica in Ucraina

Le situazioni politiche segnate dall’instabilità, così come i conflitti bellici, rappresentano, purtroppo, un’ulteriore fonte di ispirazione per i cosiddetti spammer “nigeriani”. Negli anni precedenti ci eravamo regolarmente imbattuti in campagne di spam fraudolento volte a sfruttare i conflitti in corso in vari paesi del globo, in particolar modo nella regione mediorientale. Nel 2014, tuttavia, le losche attenzioni dei “nigeriani” si sono esclusivamente concentrate sulla delicata situazione venutasi a determinare in Ucraina. Nella fattispecie, gli autori delle e-mail fraudolente si sono spesso spacciati per personaggi politici o imprenditori ucraini ormai caduti in disgrazia, desiderosi di trasferire all’estero somme milionarie bloccate entro i confini del loro paese. Nell’occasione, abbiamo ugualmente rilevato, nei flussi di posta elettronica, la presenza di mailing di massa condotte a nome di sedicenti uomini d’affari russi, in difficoltà a causa delle sanzioni imposte.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Come di solito avviene con le e-mail “nigeriane”, anche questa volta veniva offerta, al destinatario del messaggio, un’ingente somma di denaro in qualità di ricompensa, nel caso in cui quest’ultimo avesse prestato aiuto alla persona venutasi a trovare in una situazione di particolare difficoltà. In realtà, una volta entrata in corrispondenza con i truffatori, la vittima si sarebbe vista inevitabilmente spillare dei soldi per sostenere, in via preliminare, inesistenti spese aggiuntive: imposte e tasse di vario genere, biglietti aerei, soggiorni in hotel e via dicendo.

L’epidemia causata dal virus Ebola

Anche la grave emergenza sanitaria prodotta a livello globale dal virus Ebola ha attirato sensibilmente le attenzioni degli spammer. Nella circostanza, i “nigeriani” hanno in particolar modo distribuito nelle e-mail box degli utenti messaggi di posta provenienti, a prima vista, da sedicenti cittadini africani contagiati dal terribile virus, intenzionati a lasciare in beneficenza tutti i propri averi ad una persona di buoni sentimenti. Nell’ambito di tali campagne fraudolente un elemento di novità è stato rappresentato dall’invito alla potenziale vittima del raggiro, da parte dei truffatori, a prendere parte in qualità di ospite ad una conferenza allestita dall’Organizzazione Mondiale della Sanità (OMS); all’utente-vittima veniva ugualmente promessa, nell’occasione, una somma di ben 350.000 euro, nonché un’autovettura, per la futura attività di rappresentante dell’OMS che il destinatario del messaggio avrebbe dovuto poi svolgere in Gran Bretagna.

I criminali hanno poi sfruttato il naturale timore nei confronti della malattia mortale sopra menzionata inviando, a nome dell’OMS, messaggi e-mail contenenti un link apparentemente destinato a condurre verso informazioni relative alle misure di sicurezza da adottare per prevenire adeguatamente l’infezione da virus Ebola. Più tardi sono poi apparsi messaggi e-mail dall’analogo contenuto, nei quali le “informazioni fornite dall’OMS” erano state apparentemente compresse in un file archivio allegato al messaggio.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

In realtà, il file allegato al messaggio nocivo nascondeva un temibile software dannoso, preposto al furto dei dati personali del potenziale utente-vittima. L’e-mail qui sopra riprodotta, ad esempio, avrebbe recapitato al destinatario del messaggio il malware denominato Backdoor.Win32.DarkKomet.dtzn.

Metodi e trucchi adottati dagli spammer

In genere, nel corso di questi ultimi anni, gli spammer hanno attivamente utilizzato tecniche di vario tipo per cercare di eludere l’azione protettiva svolta dai filtri anti-spam, metodi che possiamo ormai definire “classici”.

Un chiaro esempio del ricorrente utilizzo, da parte degli spammer, di trucchi già noti da tempo è rappresentato dal cosiddetto spam “borsistico”, volto a pubblicizzare i titoli azionari riconducibili a società di piccole dimensioni. Questi messaggi di spam costituiscono una componente del noto schema fraudolento abitualmente definito con la colorita espressione “pump and dump”. Tale espressione significa, tradotta letteralmente dall’inglese,”pompa e sgonfia”, con riferimento al valore progressivamente assegnato, in maniera artificiale, ai titoli azionari oggetto di speculazione. Si tratta, quindi, di uno schema alquanto semplice: i truffatori provvedono innanzitutto ad acquistare titoli a buon mercato; in seguito, tramite apposite campagne di spam, essi diffondono false informazioni circa l’imminente aumento del valore di tali azioni, cercando di suscitare interesse e generare un’effettiva domanda riguardo a queste ultime. I titoli azionari originariamente acquisiti a prezzi molto contenuti vengono così immediatamente rivenduti non appena la loro quotazione si innalza in maniera considerevole. Il picco dei messaggi di spam ascrivibili a tale genere truffaldino si è registrato negli anni 2006-2007; pare proprio, ad ogni caso, che i malfattori continuino ad avvalersene così come nel recente passato.

Nel 2013, nell’ambito dello spam borsistico, sono stati esclusivamente diffusi messaggi e-mail con testi appositamente elaborati per pubblicizzare il corso di determinati titoli azionari, indicanti sia il valore del momento, sia quello previsto a lungo termine. In alcuni di questi messaggi veniva poi inserita, da parte degli spammer, una sorta di firma automatica per testimoniare l’assenza di virus e malware da tali e-mail, apparentemente sottoposte ad apposita scansione antivirus. La lingua utilizzata per comporre tale “firma” corrispondeva al dominio geografico nel quale risultava collocata la posta elettronica del destinatario. (Questo metodo, utilizzato per convincere il destinatario dell’e-mail riguardo alla legittimità e al sufficiente livello di sicurezza del messaggio ricevuto, si incontra molto spesso nel mondo dello spam.) Per aumentare le possibilità di eludere i filtri antispam, nei messaggi facenti parte di una di tali mailing di massa la denominazione della società veniva abitualmente modificata mediante l’utilizzo del carattere “_” o di appositi spazi; oltre a ciò, venivano di volta in volta modificati dei frammenti di testo.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Nel 2014 la composizione dei messaggi fraudolenti volti a reclamizzare certe azioni di borsa è decisamente cambiata; le e-mail in questione hanno difatti assunto un aspetto più credibile ed elaborato, mentre, al tempo stesso, il loro rilevamento è divenuto più complesso. Per cercare di ottenere tale risultato, gli spammer si sono avvalsi di metodi e trucchi già ampiamente noti, abitualmente utilizzati per bypassare i filtri anti-spam:

  1. Spam grafico. Il testo pubblicitario viene collocato direttamente all’interno dell’immagine; viene inoltre spesso utilizzato il logo della società. Nell’ambito di una stessa mailing di massa il contenuto delle immagini può variare, così come il colore e la dimensione dei caratteri, oppure il colore dello sfondo. (Ricordiamo, a tal proposito, come gli attuali filtri anti-spam facciano da tempo uso di analizzatori grafici, in grado di agire efficacemente nei confronti dello spam grafico).
  2. Nella parte finale di ogni messaggio viene appositamente collocato del testo “spazzatura”, realizzato in vari colori, non sempre prossimi al colore di sfondo. Nella circostanza vengono utilizzati frammenti di produzioni letterarie, ma anche semplici frasi estratte da “Wikipedia”. Questo metodo viene impiegato per far sì che, nel corso dell’analisi condotta, il filtro utilizzato non rilevi il messaggio di spam, ed interpreti invece lo stesso, ad esempio, come un frammento di un’opera letteraria, riconoscendo quindi all’e-mail realizzata dagli spammer un carattere di unicità.
  3. Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Con ogni probabilità, gli spammer intendono compensare la relativa “arcaicità” dei metodi utilizzati con i grossi volumi di spam prodotti; basti pensare che simili messaggi fraudolenti vengono di fatto distribuiti in Rete a centinaia di milioni.

Nello spam, tuttavia, si incontrano attualmente anche metodi ben più “moderni” per “imbrattare” il testo. Gli spammer sono difatti in grado di “sporcare” anche il testo principale del messaggio, senza per questo compromettere la leggibilità dello stesso. Per realizzare ciò, in qualità di “spazzatura” vengono utilizzati i tag HTML. I tag di apertura e chiusura vengono in pratica inseriti dagli spammer nel testo principale del messaggio, direttamente nel codice HTML. Una volta aggiunti i tag con la “spazzatura”, per l’utente l’aspetto del messaggio comunque non cambia, mentre il filtro anti-spam valuta il messaggio modificato come unico.

Le statistiche

Quote di spam rilevate nel traffico di posta elettronica

Nel 2014 la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un decremento del 2,84% rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 66,76%. È di particolare interesse osservare come, dopo il picco dell’ 85,2% raggiunto nel 2009, la quota percentuale di e-mail di spam presenti nel traffico di posta elettronica sia risultata in costante diminuzione. Ciò trova una logica spiegazione nel fatto che la pubblicità di prodotti e servizi del tutto legittimi sta progressivamente migrando dal mondo dello spam verso piattaforme più convenienti ed efficaci, peraltro operanti nel rispetto della legalità.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Quote percentuali di spam rilevate mensilmente nel traffico di posta elettronica nel corso del 2014

Mentre nel 2013 l’indice percentuale relativo ai messaggi e-mail “spazzatura” individuati nel traffico di posta elettronica aveva presentato variazioni trascurabili di mese in mese, nel 2014 sono state invece osservate repentine oscillazioni di tale indice, soprattutto nel corso del primo semestre dell’anno. Il valore minimo (63,5%), nel periodo oggetto del presente report, è stato registrato nel mese di marzo, mentre già nel successivo mese di aprile l’indice in questione ha raggiunto il suo massimo annuale, pari al 71,1%. Per contro, la situazione relativa al secondo semestre del 2014 si è dimostrata nettamente più stabile.

Geografia delle fonti di spam

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Geografia delle fonti di spam rilevate nel corso del 2014 – Graduatoria su scala mondiale

Nel 2013, la graduatoria delle fonti dello spam mondiale relativa ai Paesi dal cui territorio vengono distribuite in Rete – verso tutti e cinque i continenti – le maggiori quantità di e-mail “spazzatura”, risultava capeggiata dalla Cina. Nel 2014, invece, la quota relativa ai messaggi di posta indesiderata inviati nelle e-mail box degli utenti dagli spammer insediati entro i confini del colosso asiatico è diminuita di ben 17,44 punti percentuali. Di conseguenza, la Cina è scesa al terzo posto del rating qui analizzato, cedendo la leadership agli Stati Uniti (- 1,08%); la Russia (+ 1,98%), da parte sua, è andata a collocarsi sul secondo gradino del podio virtuale.

Rileviamo, inoltre, come siano entrati a far parte della TOP-10 riservata alle fonti geografiche dello spam mondiale ben tre Paesi dell’Europa Occidentale: si tratta di Germania (+ 2,79%), Spagna (+ 2,56%) e Francia (+ 2,33%). Allo stesso tempo due Paesi asiatici, ovvero Corea del Sud (- 10,45%) e Taiwan (- 3,59%), i quali occupavano, rispettivamente, la terza e la quarta posizione dell’analoga graduatoria relativa al 2013, hanno perso entrambi dieci posizioni, andando in tal modo ad occupare il 13° ed il 14° posto della speciale classifica da noi stilata.

Dimensioni dei messaggi di spam

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Dimensioni delle e-mail di spam – Quadro relativo al 2014

All’interno dei flussi globali di spam si incontrano in misura sempre maggiore messaggi e-mail estremamente brevi: nel 2014, la quota relativa ai messaggi di posta elettronica con dimensioni non superiori ad 1 Kb è risultata pari al 77,26%, ovvero 2,76 punti percentuali in più rispetto al 2013.

I messaggi riconducibili a tale tipologia contengono essenzialmente link preposti a condurre i destinatari delle e-mail verso siti a carattere pubblicitario. Per comporre il testo dei messaggi gli spammer utilizzano dei robot, in grado di elaborare brevi frasi, contenenti solo alcune parole riprese da vocabolari tematici – oppure in grado di sostituire, di messaggio in messaggio, le parole del testo con appositi sinonimi. Si ottengono in tal modo e-mail uniche, le quali complicano considerevolmente l’azione svolta dai filtri antispam; le loro dimensioni particolarmente contenute, inoltre, consentono agli spammer notevoli risparmi a livello di traffico generato.

Allegati maligni rilevati nel traffico e-mail

Per il quarto anno consecutivo, i programmi malware individuati con maggior frequenza all’interno dei flussi e-mail sono risultati essere i software nocivi preposti a realizzare il furto dei dati confidenziali degli utenti, ed in special modo di login e password relativi agli account utilizzati per eseguire operazioni di banking online.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

TOP-10 relativa ai programmi malware maggiormente diffusi nel traffico di posta elettronica nel corso del 2014

Come avviene da alcuni anni a questa parte, la leadership della speciale TOP-10 da noi stilata è andata nuovamente ad appannaggio del malware denominato Trojan-Spy.HTML.Fraud.gen. Ricordiamo che tale oggetto maligno è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; tali moduli fasulli servono per carpire i dati confidenziali in essi introdotti dagli utenti-vittima.

Al secondo posto della graduatoria qui analizzata troviamo una vecchia conoscenza nell’ambito della TOP-10 in questione, ovvero il worm di posta elettronica denominato Email-Worm.Win32.Bagle.gt. La principale funzionalità di cui sono provvisti tutti gli e-mail worm, incluso Bagle, consiste nel raccogliere illecitamente gli indirizzi di posta presenti nei computer-vittima contagiati e realizzare il successivo processo di auto-diffusione in Rete, condotto tramite gli account di posta elettronica sottratti. I worm riconducibili alla famiglia Bagle, tuttavia, in aggiunta alla funzionalità standard qui sopra illustrata, risultano dotati di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire da remoto con il centro di controllo allestito dai cybercriminali, e di ricevere quindi da quest’ultimo appositi comandi volti a generare il download e la successiva installazione di altri software nocivi sui computer precedentemente infettati.

Sul terzo gradino del podio virtuale si è poi insediato il malware classificato come Trojan.JS.Redirector.adf, leader dell’analogo rating relativo al terzo trimestre del 2014. Esso viene abitualmente distribuito attraverso i flussi di posta elettronica, tramite un archivio ZIP non protetto da password. Tale software dannoso è stato elaborato dai suoi creatori sotto forma di una pagina HTML provvista di apposito script incorporato, il quale, all’apertura della pagina, reindirizza immediatamente l’utente verso un sito web fraudolento, allestito dai malintenzionati. In genere, su tale sito maligno viene proposto all’utente di effettuare il download di Binbot, la nota applicazione adibita al trading automatizzato su opzioni binarie.

La quarta e la settima posizione della TOP-10 da noi stilata risultano occupate da due temibili rappresentanti della famiglia di malware denominata Bublik. Come è noto, le principali funzionalità di cui sono provvisti tali programmi dannosi – riconducibili, per tipologia, alla forma più classica e diffusa di trojan-downloader – consistono, per l’appunto, nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi maligni, a totale insaputa dell’utente. Spesso, tali software nocivi provvedono a generare il download, sul computer sottoposto ad attacco, del famigerato Trojan bancario conosciuto con l’appellativo di ZeuS/Zbot. I Trojan appartenenti alla famiglia Bublik altro non sono se non dei pericolosi file eseguibili, provvisti di estensione .EXE; essi, tuttavia, si mascherano abitualmente in veste di documenti Adobe (con tanto di relativa icona), allo scopo di trarre in inganno le potenziali vittime.

La quinta posizione della speciale TOP-10 è andata ad appannaggio dell’insidioso malware denominato Email-Worm.Win32.Mydoom.l. Ricordiamo che tale worm viene abitualmente distribuito dai cybercriminali sotto forma di allegato ai messaggi di posta elettronica, nonché attraverso le reti di condivisione dei file e le risorse di rete disponibili per operazioni di scrittura. Il compito principale che si prefigge Mydoom.l è quello di effettuare la raccolta degli indirizzi e-mail custoditi nei computer sottoposti ad attacco, per poi realizzare il consueto processo di auto-diffusione in Rete tramite gli account carpiti. Il worm in questione, inoltre, fornisce ai propri “padroni” la ghiotta opportunità di controllare da remoto il computer precedentemente infettato.

Il malware Trojan-Banker.Win32.ChePro.ink, collocatosi alla sesta posizione della graduatoria, è stato realizzato dai propri autori sotto forma di applet dotato di estensione CPL (componente del pannello di controllo), e risulta preposto a scaricare pericolosi programmi Trojan sul computer sottoposto ad attacco; tali programmi nocivi, a loro volta, vengono in seguito utilizzati dai cybercriminali per compiere il furto delle informazioni confidenziali legate alla sfera finanziaria della vittima. Sino ad ora, i malware riconducibili a tale specifica tipologia hanno principalmente preso di mira gli istituti bancari brasiliani e portoghesi.

L’ottava posizione della classifica risulta occupata dal trojan-downloader classificato come Trojan-Downloader.Win32.Dofoil.ea. Tale malware provvede innanzitutto a generare il download e l’esecuzione di un ulteriore file dannoso sul computer-vittima, il quale realizza poi il furto delle più svariate informazioni sensibili custodite dall’utente (in particolar modo le password) ed invia i dati illecitamente carpiti ai malintenzionati di turno.

Al nono posto della graduatoria è andato poi a collocarsi Backdoor.Win32.Androm.dax, malware riconducibile alla famigerata famiglia battezzata dagli esperti di sicurezza informatica con l’appellativo di Andromeda (altrimenti conosciuta come Gamarue), la quale raggruppa diverse varianti di bot modulare universale, sulla cui base risulta possibile, per i malfattori, creare ed organizzare estese botnet provviste delle più svariate possibilità. Le principali funzionalità di cui sono dotati tali bot modulari sono le seguenti: download di un file eseguibile, il quale sarà successivamente archiviato ed eseguito all’interno del computer-vittima; download e caricamento di determinate DLL nocive (senza che le stesse vengano necessariamente salvate su disco); possibilità di effettuare auto-aggiornamenti ed auto-rimuoversi dal sistema sottoposto ad attacco informatico. A tal proposito, è di particolare interesse sottolineare come i cybercriminali, di fatto, siano soliti estendere le funzionalità qui sopra descritte tramite appositi plug-in, i quali possono essere, in qualunque momento, agevolmente caricati dai malintenzionati, nelle quantità che si rivelano di volta in volta necessarie.

Chiude la TOP-10 in questione l’oggetto maligno denominato Exploit.JS.CVE-2010-0188.f. Si tratta di un exploit che assume le sembianze di un file PDF, per poi sfruttare una determinata vulnerabilità rilevata nelle versioni 9.3 ed inferiori di Acrobat Reader. Desideriamo sottolineare come la vulnerabilità in questione sia nota già da diverso tempo; pertanto, per gli utenti che provvedono ad effettuare con regolarità gli update del software di cui dispongono, tale exploit non rappresenta una particolare minaccia. Tuttavia, se la versione del programma Adobe risulta ormai obsoleta, una volta che la falla di sicurezza sarà stata “debitamente” sfruttata dall’exploit, all’interno del computer-vittima verrà installato, e successivamente avviato, un pericoloso file eseguibile, rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Dropper.Win32.Agent.lcqs. Il dropper in causa, a sua volta, provvede all’installazione e all’esecuzione di un temibile script nocivo (Backdoor.JS.Agent.h), preposto a raccogliere tutta una serie di informazioni relative al sistema informatico sottoposto ad attacco, per poi inviare le stesse al server appositamente allestito dai malintenzionati e ricevere, al contempo, vari comandi provenienti da quest’ultimo. I comandi impartiti dal server – al pari degli specifici risultati che ne derivano in termini di attività nocive eseguite sul computer preso di mira – vengono costantemente trasmessi in forma criptata.

Se consideriamo non i singoli programmi malware, bensì le famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale, rileviamo come, nel 2014, l’analoga graduatoria risulti capeggiata dalla famiglia di malware denominata Andromeda. La quota ascrivibile a tale famiglia è risultata pari all’ 11,49% del volume complessivo di programmi nocivi rilevati dalle nostre soluzioni di sicurezza IT in seno al traffico di posta elettronica mondiale, e più precisamente negli allegati maligni recapitati nelle e-mail box dei potenziali utenti-vittima. Si tratta, in sostanza, di software nocivi che consentono ai criminali informatici di assumere il pieno controllo del computer sottoposto a contagio informatico, all’insaputa dell’utente. Inoltre, i computer infettati da programmi malware di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati.

La seconda posizione della classifica in questione risulta occupata dai software dannosi riconducibili alla famigerata famiglia di malware classificata con l’appellativo di ZeuS/Zbot (9,52%); tali programmi maligni si contraddistinguono per il fatto di essere particolarmente complessi e sofisticati; nello specifico, essi risultano preposti ad attaccare sia i server che i computer degli utenti, allo scopo di intercettare e carpire dati di natura sensibile e riservata. Nella fattispecie, l’interesse dei cybercriminali si concentra in particolar modo sul furto delle informazioni sensibili collegate agli account bancari e, di conseguenza, sulle risorse finanziarie possedute dagli utenti-vittima. Il malware ZeuS/Zbot viene spesso caricato sul computer della vittima da appositi programmi nocivi preposti alle operazioni di downloading, anch’essi molto diffusi nell’ambito dello spam nocivo.

Il terzo gradino della speciale classifica riservata alle famiglie di malware che si incontrano con maggior frequenza nel traffico e-mail globale risulta occupato da Bublik, con una quota pari all’ 8,53%. Bublik è una famiglia di software nocivi adibiti al download di ulteriori programmi dannosi; tali malware, ad esempio, provvedono spesso a caricare sul computer infetto i temibili programmi nocivi riconducibili alla famiglia Zeus/Zbot, qui sopra menzionata.

Paesi maggiormente bersagliati dalle mailing di massa dannose

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del 2014

Osserviamo, in primo luogo, come per il terzo anno consecutivo sia rimasta invariata la composizione della triade che capeggia il rating annuale relativo ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail. Si tratta, più precisamente, di Stati Uniti, Gran Bretagna e Germania. Gli USA, con una quota pari al 9,80%, si sono nuovamente collocati nella posizione di assoluto vertice della classifica, nonostante l’indice attribuibile al paese nordamericano abbia presentato una significativa flessione, pari a 2,22 punti percentuali. Da parte sua, la Gran Bretagna (9,63%) ha guadagnato una posizione nell’ambito di tale graduatoria ed è pertanto andata ad occupare il secondo posto del rating; la quota ascrivibile al Regno Unito, rispetto al 2013, ha fatto registrare un incremento dell’ 1,63%. La Germania, seconda nell’analoga graduatoria stilata un anno fa, con un indice pari al 9,22% ha invece perso una posizione in classifica, collocandosi in tal modo sul terzo gradino del podio virtuale del 2014.

È inoltre di particolare rilevanza l’ascesa in graduatoria della Francia (3,16%), salita, nell’arco di un anno, dalla sedicesima alla nona posizione del rating da noi elaborato.

La Russia, infine, con un indice pari al 3,24%, è passata dal nono all’ottavo posto della speciale classifica.

Metodi e trucchi utilizzati dai malintenzionati

Nel 2014, per recapitare allegati maligni nelle e-mail box degli utenti e cercare di trarre in inganno questi ultimi, i malintenzionati hanno fatto ricorso sia agli abituali metodi adottati in passato, sia a nuovi trucchi nocivi.

Sono stati ad esempio da noi individuati messaggi e-mail contenenti, in allegato, file archivio provvisti di estensione .arj. Si tratta di un particolare formato creato diverso tempo fa, attualmente non molto utilizzato. Questo è il motivo per cui, anche quegli utenti che generalmente prendono davvero con le pinze i file archivio allegati ai messaggi di posta ricevuti, non sempre percepiscono la potenziale pericolosità di un simile allegato. Un ulteriore vantaggio derivante dall’utilizzo dell’archiviatore ARJ è rappresentato dalla considerevole riduzione delle dimensioni dei file che esso garantisce.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Oltre agli archivi dal formato piuttosto inconsueto, i malintenzionati hanno ugualmente distribuito messaggi nocivi contenenti, in allegato, file provvisti di estensioni alquanto inusuali, ad esempio .scr. I file con tale estensione sono, in genere, degli screensaver, ad esempio gli screensaver di Windows.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Una delle tipologie più diffuse di spam e phishing nocivo è indubbiamente costituita dai messaggi e-mail fasulli camuffati sotto forma di notifiche e comunicazioni ufficiali provenienti (in apparenza!) da istituti bancari. Nel corso dell’anno oggetto del presente report gli spammer hanno iniziato a rendere più complessa la composizione dei messaggi contraffatti, aggiungendo un maggior numero di link preposti a condurre verso le risorse web ed i servizi online ufficiali delle organizzazioni a nome delle quali vengono inviate le false notifiche. Evidentemente, i malintenzionati hanno contato sul fatto che in tal modo, sia gli utenti, sia i filtri antispam, avrebbero molto probabilmente ritenuto del tutto leciti i messaggi provvisti di alcuni link di natura legittima. Tuttavia, all’interno dei messaggi e-mail in questione è stato appositamente lasciato un link dannoso; cliccando su di esso sarebbe stato generato il download di un archivio contenente un programma maligno.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

In alcuni casi, poi, per mascherare l’effettivo collegamento ipertestuale, i cybercriminali hanno fatto ricorso ad un apposito servizio di link brevi, il quale, in sostanza, avrebbe reindirizzato l’utente-vittima verso un popolare servizio di cloud storage. Qui i malfattori avevano di fatto collocato un pericoloso programma malware, camuffato sotto forma di un documento di particolare importanza.

Phishing

Per elaborare i dati statistici relativi al fenomeno phishing è stato utilizzato il metodo impiegato, per la prima volta, nell’ambito del nostro report “Le cyber-minacce finanziarie nell’anno 2013“, pubblicato nel mese di aprile 2014. In considerazione di ciò, i dati statistici relativi all’evoluzione del phishing nel corso del 2014 sono stati debitamente confrontati con i dati presenti nel suddetto report (e non nell’analogo report “Lo spam nell’anno 2013”).

Fonte dei dati raccolti

Il presente report si avvale dei dati ottenuti grazie ai rilevamenti eseguiti dal sistema “Anti-phishing”, poi raccolti tramite il Kaspersky Security Network. L’apposito sistema di protezione nei confronti del phishing è costituito da tre diversi componenti:

2 deterministici:

  • Anti-phishing offline – Esso contiene il database delle phishing wildcard* più recenti e si trova nei dispositivi degli utenti. Il rilevamento avviene quando il sistema analizza un link che corrisponde ad una delle phishing wildcard presenti nel database.
  • Anti-phishing in-the-cloud – Esso contiene tutte le phishing wildcard*. Il sistema si rivolge al cloud quando l’utente si imbatte in un link la cui wildcard non risulta presente nel database locale dell’anti-phishing. I database situati nel cloud vengono aggiornati molto più rapidamente rispetto a quelli locali.

1 euristico:

  • Componente web euristico del sistema “Anti-phishing” – Avvalendosi di una serie di regole euristiche, tale componente entra in azione nel momento stesso in cui l’utente clicca su un link nocivo preposto a condurre verso una pagina di phishing, nel caso specifico in cui le informazioni relative a tale pagina non risultino ancora presenti all’interno dei database appositamente allestiti da Kaspersky Lab.

*Una “phishing wildcard” è, in pratica, un set di simboli che descrive un gruppo di link rilevati dal sistema come link di phishing. Una singola wildcard consente di effettuare il rilevamento di diverse migliaia di link attivi, preposti a condurre gli utenti verso pagine di phishing.

Nel 2014, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 260.403.422 rilevamenti eseguiti grazie al sistema “Anti-phishing”. Il 55% di essi (143.827.512) è rappresentato da rilevamenti ascrivibili ai componenti deterministici, mentre il restante 45% (116.575.910) è riconducibile ai rilevamenti effettuati grazie al componente web euristico.

I componenti deterministici del sistema “Anti-phishing” (in-the-cloud e offline) provvedono alla verifica dei link sia sul browser dell’utente, sia a livello dei messaggi ricevuti tramite i programmi di messaggistica istantanea o la posta elettronica. Di tutti i rilevamenti effettuati da tali componenti, solo il 6,4% è riconducibile a link presenti all’interno di messaggi e-mail. Ciò significa, in maniera evidente, che i phisher hanno iniziato a preferire altri metodi di diffusione per tali link dannosi – e, di conseguenza, nuovi schemi fraudolenti – rispetto alle classiche e-mail di phishing.

I link preposti a convogliare gli utenti verso i siti di phishing vengono sempre più frequentemente diffusi attraverso i social network. Il discorso non riguarda soltanto l’utilizzo degli account rubati, ma anche l’attrarre un sempre più consistente numero di utenti, del tutto ignari, verso un processo di “autodiffusione” dei link di phishing, tramite le amicizie strette sui social network.

In tal modo, ad esempio, nel mese di luglio 2014, nell’ambito dei social network, è stato distribuito un link per condurre gli utenti verso una falsa petizione a sostegno di Luis Alberto Suárez, il noto calciatore uruguaiano. Per sottoscrivere tale petizione, gli utenti avrebbero dovuto innanzitutto inserire i propri dati personali, i quali sarebbero stati inevitabilmente carpiti dai phisher. In seguito, si proponeva alla potenziale vittima di condividere il link alla petizione con i propri amici su Facebook. Così, il link destinato a condurre verso l’apposita pagina di phishing si è rapidamente diffuso tra gli appassionati di calcio ed i loro amici.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Esempio di diffusione di una pagina web di phishing attraverso gli utenti di un social network

Le e-mail di phishing

Quanto appena descritto non significa, tuttavia, che i malintenzionati abbiano di fatto abbandonato il più tradizionale schema che prevede la distribuzione dei link di phishing mediante la posta elettronica. Tra l’altro, così come in precedenza, questo rimane tuttora il metodo più popolare per la distribuzione di collegamenti ipertestuali in grado di far giungere la potenziale vittima su pagine web fasulle a prima vista appartenenti ad organizzazioni operanti nella sfera finanziaria. È probabilmente per tale motivo che i truffatori della Rete preferiscono inviare le e-mail con i link ai siti di phishing proprio nei giorni feriali, quando gli utenti controllano sicuramente la propria posta elettronica, trovandosi sul luogo di lavoro.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Grafico dei rilevamenti eseguiti dai componenti deterministici del sistema “Anti-phishing” nei client di posta elettronica degli utenti

Risultano ugualmente popolari, presso le folte schiere dei malintenzionati, anche quei schemi fraudolenti che prevedono l’utilizzo di e-mail di phishing recanti in allegato file maligni, file HTML oppure form HTML inseriti direttamente nel corpo del messaggio.

I file HTML o i form HTML allegati al messaggio di posta consentono ai malfattori di poter ridurre le spese da sostenere per l’eventuale gestione di pagine web in Rete. Lo schema dell’attacco condotto è di tipo standard: l’utente riceve un’e-mail, apparentemente proveniente da una determinata organizzazione, in cui si comunica l’avvenuto blocco dell’account, si notifica una perdita di dati oppure si informa riguardo ad un’attività sospetta in corso. In ragione di tali spiacevoli episodi, si invita l’utente ad aggiornare le proprie informazioni personali, inserendo i relativi dati nell’apposito file/form allegato al messaggio. Lungo tutto l’arco dell’anno qui esaminato abbiamo individuato un considerevole numero di simili campagne nocive, condotte (in apparenza!) a nome di varie organizzazioni, principalmente di natura finanziaria.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Esempio di messaggio e-mail contenente, in allegato, un file HTML

Spesso, nel corso degli attacchi di phishing che fanno uso di allegati in formato HTML, indirizzati ai clienti di una determinata organizzazione, i truffatori cercano di sottrarre alla vittima il maggior numero possibile di informazioni legate alla sfera finanziaria dell’utente, dati sensibili non necessariamente collegati alla suddetta organizzazione.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Esempio di messaggio e-mail contenente, in allegato, un file HTML

Come si vede negli screenshot esemplificativi qui sopra riportati, i malfattori cercano di carpire non solo i dati necessari per accedere all’account in essere presso l’organizzazione presa di mira, ma anche ulteriori informazioni personali dell’utente, tra cui i dati relativi alla carta di credito.

Caccia grossa

Come abbiamo detto in precedenza, i malintenzionati, nell’attaccare i clienti di varie organizzazioni, cercano spesso di ottenere non solo i dati relativi agli account delle vittime, ma anche i dati sensibili inerenti alle carte di credito degli utenti, al pari di informazioni confidenziali di altro genere. In tal modo, alcuni malfattori raccolgono indirizzi di posta elettronica attivi, i quali possono divenire poi oggetto di una successiva operazione di vendita agli spammer. Altri, invece, camuffati nelle vesti dell’organizzazione sottoposta ad attacco, cercano di carpire le informazioni legate alla sfera finanziaria dell’utente, per poi impadronirsi del denaro posseduto da quest’ultimo.

L’elevata pericolosità di simili schemi di phishing consiste in questo: per quanti metodi di lotta nei confronti del phishing possano essere intrapresi dall’organizzazione i cui clienti rimangono vittima di attacchi da parte dei phisher (procedure di doppia o addirittura tripla autenticazione, utilizzo di password monouso, etc.), essa potrà proteggere esclusivamente l’account dell’utente. Quindi, se l’utente ha già trasmesso involontariamente ai truffatori altri dati personali, l’organizzazione sottoposta ad attacco non potrà in alcun modo intervenire riguardo a ciò.

Qui sopra abbiamo riportato alcuni esempi di un simile attacco di phishing, con l’utilizzo di allegati HTML inseriti nel messaggio di posta nocivo. Esaminiamo, adesso, un ulteriore esempio di attacco, ordito nei confronti del sistema di pagamento PayPal. Secondo il più classico degli schemi fraudolenti utilizzati in simili occasioni, la vittima giunge innanzitutto su una pagina web di phishing, appositamente allestita dai malintenzionati per cercare di imitare il sito ufficiale del noto sistema di pagamento. L’utente non particolarmente attento inserisce quindi il proprio login e la propria password, inviando di fatto gli stessi ai truffatori in agguato. Successivamente si apre un’ulteriore pagina web, provvista di appositi campi per l’inserimento dei dati relativi alla carta di credito e per l’introduzione di ulteriori informazioni personali. L’utente pensa di trovarsi nell’ambito del proprio account PayPal ed inserisce così i propri dati personali, senza adottare la benché minima precauzione. Una volta che questi ultimi sono stati ormai trasmessi ai malintenzionati, la vittima viene ridiretta sul sito ufficiale di PayPal, in maniera tale che non abbia sospetti dell’avvenuto furto di dati sensibili.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Esempio di attacco di phishing condotto nei confronti del sistema di pagamento PayPal

Può darsi che, nella circostanza, i malintenzionati non riescano ad accedere all’account PayPal di cui è titolare la vittima, visto che tale società si occupa in maniera efficace della sicurezza dei propri clienti e propone, inoltre, misure aggiuntive per proteggere adeguatamente gli account degli utenti. I malfattori, tuttavia, riceveranno comunque abbastanza informazioni per riuscire a sottrarre alla vittima una parte dei mezzi finanziari posseduti, persino non utilizzando in alcun modo l’account aperto da quest’ultima su PayPal.

Un altro esempio di attacco di phishing riconducibile a tale tipologia è rappresentato da quello condotto dai phisher nei confronti di una delle più importanti società operanti nel campo delle telecomunicazioni. Apparentemente, i malfattori sembrano richiedere soltanto login e password utilizzati per il normale accesso da parte dell’utente al proprio account. Tuttavia, una volta che l’utente è entrato nell’account fasullo, i truffatori richiedono di inserire, attraverso l’apposito form nocivo, non solo i dati relativi alla carta di credito, ma anche tutte quelle informazioni che si possono poi rivelare utili, per i cybercriminali, per cercare di sottrarre denaro alla vittima.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Esempio di attacco di phishing con tentativo di carpire i dati personali dell’utente-vittima

Geografia degli attacchi

Nel corso dell’anno 2014 si sono registrati attacchi di phishing praticamente in tutti i Paesi e territori del mondo.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Leader della speciale classifica relativa alle quote percentuali di utenti unici sottoposti ad attacco, sul numero totale di utenti nel Paese, è divenuto il Brasile (27,47%).

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati, nel corso del 2014, rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 inerente ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Paese % di utenti
1 Brasile 27,45
2 Australia 23,76
3 India 23,08
4 Francia 22,92
5 Ecuador 22,82
6 Russia 22,61
7 Kazakhstan 22,18
8 Canada 21,78
9 Ucraina 20,11
10 Giappone 19,51

Nel 2014 la quota relativa agli utenti presi di mira dai phisher in Brasile ha fatto registrare un aumento di ben 13,81 punti percentuali rispetto al 2013, anno in cui il Brasile si era situato al 23° posto della speciale graduatoria. Un interesse così elevato da parte dei phisher nei confronti del paese sudamericano è molto probabilmente dovuto al recente svolgimento, proprio in Brasile, del Campionato del Mondo di calcio, avvenimento sportivo che ha richiamato un gran numero di tifosi e appassionati da tutto il mondo.

Ripartizione degli attacchi per Paesi

La graduatoria che tiene in considerazione il numero complessivo di attacchi di phishing registratisi nei vari paesi del globo risulta capeggiata dalla Russia (17,28%). Nell’arco di un anno, la quota relativa ai rilevamenti eseguiti dal sistema “Anti-phishing” sui computer degli utenti ubicati nel territorio della Federazione Russa, rispetto al numero complessivo di rilevamenti effettuati dal nostro prodotto in tutto il mondo, ha fatto segnare un incremento di 6,08 punti percentuali.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Ripartizione per Paesi degli attacchi di phishing – Situazione relativa al 2014

È possibile che Il significativo aumento del numero di attacchi condotti dai phisher nei confronti degli utenti situati in Russia sia collegato al peggioramento della situazione finanziaria del Paese nel corso del 2014. È in effetti aumentato il numero delle transazioni finanziarie; le persone cercano di investire i propri risparmi, effettuano un maggior numero di acquisti su Internet, eseguono operazioni con i loro conti bancari. Oltre a ciò, molti utenti sono allarmati. Questo significa che, parallelamente, si presentano ai truffatori della Rete maggiori possibilità di azione, mentre i metodi di ingegneria sociale da essi utilizzati divengono, nella circostanza, ancor più efficaci.

Gli Stati Uniti (7,2%), leader del rating dell’anno precedente, sono scesi sul secondo gradino del podio; l’indice attribuibile al Paese nordamericano risulta drasticamente diminuito (- 23,6%). La terza e la quarta posizione della classifica sono andate ad appannaggio di India (7,15%) e Brasile (7,03%), i cui indici hanno presentato un incremento, rispettivamente, di 3,7 e 5,11 punti percentuali.

Quadro delle organizzazioni sottoposte agli attacchi di phishing

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli attacchi di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare tutte le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link dannosi presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – nel caso in cui i collegamenti ipertestuali che conducono a tali pagine non risultino ancora inseriti nei database di Kaspersky Lab.

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del 2014

Nel 2014 la categoria “Social network e blog” (15,77%) ha visto diminuire il proprio indice di ben 19,62 punti percentuali, ed ha in tal modo ceduto la leadership della classifica alla categoria “Portali Internet globali” (42,59%), la cui quota è invece aumentata del 19,29% (precisiamo che nel report relativo al 2013 la categoria “Portali Internet globali” corrispondeva, di fatto, alla categoria “Posta elettronica”). La situazione che si è venuta a creare non costituisce motivo di particolare sorpresa: le società Google, Yahoo!, Yandex, ed altre ancora, sviluppano costantemente i servizi online offerti al pubblico della Rete, fornendo agli utenti opportunità sempre maggiori, dalla posta elettronica ai social network, sino a mettere a disposizione persino i portafogli elettronici. L’ampia gamma di servizi è in genere accessibile, per l’utente, mediante l’utilizzo di un unico account; questo, purtroppo, si rivela conveniente non solo per l’utente stesso, ma anche, involontariamente, per i malintenzionati in agguato. Questi ultimi, realizzando un solo attacco dall’esito positivo, possono difatti disporre, in seguito, di numerose opportunità per organizzare ulteriori atti cybercriminali. Non c’è quindi da sorprendersi se Google e Yahoo! risultano presenti nella TOP-3 relativa alle organizzazioni più frequentemente bersagliate dai phisher.

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Organizzazione % di link di phishing
1 Yahoo! 23,3%
2 Facebook 10,02%
3 Google 8,73%

L’indice relativo a Yahoo! (23,3%), rispetto all’anno precedente, ha fatto registrare un sensibile aumento, pari a 13,3 punti percentuali (anche in ragione del repentino aumento, all’inizio del mese di gennaio 2014, del numero di link nocivi preposti a condurre i potenziali utenti-vittima verso pagine web fasulle volte ad imitare i servizi offerti online da Yahoo!).

La quota inerente agli attacchi di phishing rivolti alle organizzazioni di natura finanziaria è risultata pari al 28,74%, con una diminuzione di 2,71 punti percentuali rispetto al 2013. Se esaminiamo la ripartizione di tale genere di attacchi in base alle varie tipologie di organizzazioni prese di mira, emerge subito chiaramente come la quota relativa agli attacchi di phishing eseguiti nei confronti degli istituti bancari risulti sensibilmente diminuita (- 13,79% rispetto all’analogo valore rilevato per l’anno 2013). Per contro, nell’arco di un anno, l’indice attribuibile alla categoria “Negozi Internet” ha evidenziato un aumento di ben 4,78 punti percentuali; addirittura superiore si è poi rivelato l’incremento fatto registrare dalla categoria “Sistemi di pagamento” (+ 9,19%).

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Quadro relativo agli attacchi di phishing complessivamente rivolti, nel corso del 2013, alla categoria “Finanze online”

Kaspersky Security Bulletin. Lo spam e il phishing nell'anno 2014

Ripartizione del phishing “finanziario” in base alle varie categorie di organizzazioni sottoposte ad attacco nel corso del 2014

Maggiori informazioni sul phishing finanziario sono disponibili all’interno del nostro report “Le cyber-minacce finanziarie nel 2014: le cose sono cambiate“.

Conclusioni

La quota dello spam presente nel traffico di posta elettronica continua a diminuire; riteniamo, tuttavia, che nel 2015 la variazione di tale indice non risulterà particolarmente significativa.

In un simile scenario si mantiene inalterata la specifica tendenza che vede progressivamente decrescere, all’interno dei flussi e-mail globali, il numero dei messaggi di spam pubblicitario, mentre risulta invece in aumento lo spam di natura fraudolenta. Cresce, pertanto, la quantità di messaggi (più o meno) abilmente contraffatti, in cui i malintenzionati, per trarre in inganno gli utenti, fanno uso di metodi e trucchi di vario genere (ad esempio allegando alle e-mail distribuite in Rete dei file nocivi provvisti di estensioni inusuali, quali “.arj” o “.scr”).

Per diffondere i contenuti di phishing, i malfattori ricorrono ai metodi più diversi. Sono comunque ancora attuali e frequenti le mailing di massa volte a distribuire insidiose e-mail di phishing; molto probabilmente, esse continueranno ad essere utilizzate dai malintenzionati ancora per lungo tempo.

Per condurre gli attacchi di phishing, i malfattori “scelgono” le società e le organizzazioni maggiormente popolari presso il pubblico degli utenti, con il preciso scopo di aumentare, in tal modo, le probabilità di successo degli attacchi eseguiti. Vi è poi un elevato numero di attacchi di phishing che si prefigge di ottenere il maggior numero possibile di informazioni personali relative agli utenti-vittima, in particolar modo quelle riguardanti la sfera finanziaria degli stessi. Riteniamo che tale specifica tendenza possa rimanere invariata anche nell’immediato futuro.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *