Kaspersky Security Bulletin. Lo spam nell’anno 2015

Contenuti

L’anno in cifre

I dati raccolti ed elaborati da Kaspersky Lab evidenziano il seguente quadro riassuntivo:

  • Nel 2015, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento dell’11,48% rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 55,28%.
  • Il 79% dei messaggi di spam ha presentato dimensioni non superiori a 2 Kb.
  • Il 15,2% del volume complessivo di messaggi e-mail indesiderati diffusi su scala mondiale è risultato provenire dal territorio degli Stati Uniti.
  • Il maggior numero di e-mail dannose è stato recapitato agli utenti situati entro i confini della Germania (19%).
  • Si sono complessivamente registrati 146.692.256 rilevamenti eseguiti grazie al sistema “Anti-phishing”.
  • La graduatoria che tiene in considerazione il numero complessivo di rilevamenti (attacchi di phishing) registratisi nei vari Paesi del globo risulta capeggiata dalla Russia (17,8%).
  • Leader della speciale classifica relativa alle quote percentuali di utenti unici sottoposti ad attacco da parte dei phisher, sul numero totale di utenti nel Paese, è divenuto il Giappone (21,68 %).
  • Il 34,33% del volume totale degli attacchi di phishing rilevati nel corso del 2015 è risultato diretto agli utenti di siti web riconducibili ad organizzazioni di natura finanziaria (istituti bancari, sistemi di pagamento, negozi Internet).

Nuove zone di dominio nello spam

Avevamo già rilevato, proprio all’inizio dell’anno qui preso in esame, un repentino aumento del numero dei nuovi domini di primo livello impiegati nell’ambito degli invii di massa condotti dagli spammer. Il motivo di tutto questo è indubbiamente rappresentato dal crescente interesse degli spammer nei confronti del programma New gTLD, varato già nel mese di gennaio del 2014. Lo scopo di tale programma consiste nel mettere a disposizione di aziende, organizzazioni e community, a seconda del tipo di attività da esse svolto, un’ampia varietà di nomi relativi alle zone di dominio, con l’intento di soddisfare le specifiche esigenze di ognuno. Le nuove opportunità di business che reca in sé il programma New gTLD sono state salutate in maniera entusiastica dalla comunità di Internet; prova ne è il fatto che il processo di registrazione di nuovi nomi di dominio, condotto in maniera decisamente attiva, ha acquisito rapidamente slancio.

In modo parallelo, tuttavia, le nuove zone di dominio sono state immediatamente sfruttate per la diffusione su larga scala di spam di vario genere; i cybercriminali, da parte loro, hanno in effetti registrato nuovi domini in maniera a dir poco massiccia, per la realizzazione dei consueti mailing indesiderati. E se in un primo momento, in alcuni casi, si poteva talvolta riscontrare un’effettiva correlazione tra le tematiche presenti nelle campagne di spam condotte e la denominazione delle zone di dominio utilizzate, nel corso dell’anno tale tendenza non si è affatto mantenuta; in generale, quindi, i temi dello spam non sono risultati in alcun modo associati ai nomi di dominio di cui è stato fatto di volta in volta uso. Esistono, naturalmente, casi isolati in cui tale correlazione risulta tuttora ben visibile. Ad esempio, i siti web dedicati agli incontri online vengono spesso collocati nella zona di dominio .date.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

L’assenza di collegamento tra nome di dominio utilizzato e l’effettiva tematica del mailing di spam condotto è principalmente dovuta al costo dei nuovi domini. I malintenzionati, in effetti, cercano di scegliere, a livello di hosting, le varianti meno costose, visto che, in pratica, i siti vengono spesso utilizzati una sola volta, per la conduzione di una specifica campagna di spam; per tale ragione, non riveste un ruolo di particolare importanza l’appartenenza dei domini prescelti ad una determinata sfera di attività. Nella circostanza, il fattore decisivo diviene, piuttosto, il prezzo dei domini, al pari degli sconti che sono disposti a praticare i registrar minori in caso di acquisto in massa.

Metodi e trucchi adottati dagli spammer: le peculiarità esistenti a livello di modalità di scrittura dei domini

È ben noto come gli spammer cerchino di conferire una connotazione di unicità ad ogni messaggio di posta elettronica di cui si compone il mailing allestito; questo viene fatto sia allo scopo di bypassare i filtri adibiti al rilevamento del carattere massivo del mailing, sia con l’intento di complicare considerevolmente il lavoro svolto dai filtri preposti a vagliare i contenuti delle e-mail di spam. Il testo del messaggio può essere diversificato adottando metodi piuttosto semplici: si possono sostituire i caratteri delle parole con caratteri similari, presi in prestito da altri alfabeti; può essere inoltre modificato l’ordine delle parole e delle frasi, e via dicendo. Rimane, tuttavia, l’indirizzo del sito di spam, che non può essere facilmente cambiato, visto che, cliccando sull’apposito link inserito nel corpo dell’e-mail, l’utente, secondo le intenzioni degli spammer, deve necessariamente raggiungere il sito web pubblicizzato, altrimenti la campagna di spam condotta non avrebbe alcun senso. Nel corso di questi ultimi anni, gli spammer hanno di fatto escogitato un gran numero di “trucchi” e tecniche di vario genere allo scopo di “nascondere” i loro siti ai filtri antispam: redirecting effettuati tramite siti precedentemente violati, generazione di link unici attraverso i servizi online adibiti alla creazione di URL brevi, utilizzo di noti servizi cloud in qualità di redirector, etc.

Nel 2015, gli spammer, oltre ai metodi sopra elencati, hanno dedicato particolari attenzioni alle modalità di scrittura dei domini e degli indirizzi IP. Esamineremo qui di seguito, in dettaglio, i trucchi da essi utilizzati, servendoci di opportuni esempi, estrapolati da messaggi di spam di vario genere.

Peculiarità e tratti caratteristici del protocollo IP: i vari formati utilizzati per la scrittura degli indirizzi IP

La modalità di scrittura utilizzata nell’ambito del protocollo IPv4 (la versione standard dell’Internet Protocol (IP), di cui fanno correntemente uso gli utenti della Rete) consiste nel formato “dotted decimal” (notazione decimale puntata), ovvero un tipo di scrittura realizzata sotto forma di quattro gruppi di cifre in base decimale, con valore da 0 a 255, separati dal carattere “punto”. Esistono, tuttavia, ulteriori formati a livello di “rappresentazione” dell’indirizzo IP, che vengono comunque interpretati correttamente dai browser. Si tratta, nella fattispecie, delle scritture binaria, ottale ed esadecimale; ad esse si aggiunge poi il formato “dword/Undotted Integer”, quando ogni byte dell’IP viene inizialmente convertito in formato esadecimale; in seguito tutti i byte vengono rappresentati mediante una cifra, nello stesso ordine in cui essi si trovavano nell’indirizzo IP. Tale numero, successivamente, viene convertito nel sistema decimale. Un’ulteriore sfumatura è costituita dal fatto che tutti i formati sopra indicati possono essere combinati tra loro, scrivendo ogni parte dell’indirizzo IP in modo diverso; anche in tale circostanza, tuttavia, il browser interpreterà in maniera corretta una simile modalità di scrittura!

Sono soliti avvalersi di tali metodi anche gli spammer; in effetti, essi, di frequente, scrivono gli stessi identici indirizzi IP servendosi di un’ampia gamma di modalità diverse, persino combinando tra loro i vari formati esistenti:

  • oct –hex

Kaspersky Security Bulletin. Lo spam nell'anno 2015

  • oct – dword

Kaspersky Security Bulletin. Lo spam nell'anno 2015

  • hex – dword

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Gli indirizzi in formato esadecimale possono essere rappresentati sia separando i vari numeri e lettere che li compongono per mezzo degli abituali punti, sia omettendo il simbolo “punto”:

ksb_spam_2015_it_5

Inoltre, nel formato Integer, al numero è possibile aggiungere 4294967296 (256*4) una quantità di volte qualsiasi; anche in tale occasione, il risultato verrà ugualmente interpretato dal browser come se si trattasse dell’effettivo IP originale.

Nel formato decimale, poi, si può aggiungere il numero 256 a qualunque parte dell’indirizzo IP, un numero arbitrario di volte, ma in maniera tale che il risultato ottenuto si mantenga comunque a tre cifre; anche in tal caso l’indirizzo verrà interpretato correttamente.

Allo stesso modo, nel formato ottale, risulta possibile aggiungere all’IP una quantità arbitraria di zeri, proprio nella parte iniziale di ognuno dei gruppi di cifre che formano l’indirizzo; quest’ultimo rimarrà sempre e comunque corretto:

ksb_spam_2015_it_6

Inoltre, può essere inserita nell’indirizzo una quantità qualsiasi di slash:

ksb_spam_2015_it_7

Desideriamo sottolineare, in ultima analisi, che sebbene in alcune librerie legittime gli indirizzi IP possono essere di fatto custoditi in vari formati, è vietato far uso, a livello di URL (ed anche nei link qui esaminati), di qualsiasi altro formato che non sia il “dotted decimal” standard.

Modalità di offuscamento dell’indirizzo IP, ovvero in quanti modi è possibile scrivere un numero utilizzando il sistema di codifica Unicode

Abbiamo più volte riferito, in passato, riguardo all’offuscamento delle parole chiave nell’ambito dello spam mediante l’utilizzo di un’ampia gamma di caratteri Unicode.

Tutti gli stessi identici trucchi risultano applicabili anche alla scrittura degli indirizzi IP e dei domini. Per quel che riguarda, nello specifico, gli IP, nel corso del 2015 gli spammer hanno spesso utilizzato le cifre Unicode riconducibili alla cosiddetta serie “full-size”. Normalmente, tale dimensione “maggiorata” viene utilizzata, nella maggior parte dei casi, con le lingue caratterizzate dall’impiego di ideogrammi, per far sì che le lettere e i numeri latini non appaiano troppo piccoli e ristretti rispetto agli ideogrammi stessi.

ksb_spam_2015_it_8

Ci siamo inoltre imbattuti, nei flussi di spam, in numeri scritti in maniera ancora diversa: cifre racchiuse all’interno di un cerchio, provviste di sottolineatura, etc.:

ksb_spam_2015_it_9

Offuscamento dei domini

Come abbiamo affermato in precedenza, questo genere di espediente funziona anche con i domini. In questo caso, la gamma dei caratteri Unicode di cui fanno uso gli spammer risulta ancora più estesa di quella utilizzata relativamente alla scrittura delle cifre. Di frequente, gli spammer hanno utilizzato vari set di caratteri per comporre un unico link (cambiando poi gli stessi in maniera casuale di messaggio in messaggio, allo scopo di aumentare il livello di “variabilità” all’interno degli invii di massa condotto).

Per conferire un carattere di unicità ancora maggiore ai link, gli spammer hanno poi offuscato in maniera analoga non il sito di spam, bensì i servizi di URL brevi, tramite i quali vengono abitualmente generati, in grande quantità, i collegamenti destinati a condurre al sito web principale:

ksb_spam_2015_it_10

Peculiarità a livello di interpretazione di alcuni caratteri degli URL

L’URL può presentare alcuni caratteri speciali, che gli spammer sfruttano ugualmente per camuffare il link. Si tratta, in primo luogo, del carattere “@”, che viene normalmente utilizzato per autorizzare l’accesso dell’utente al sito web. Un link quale, ad esempio,

http://login:password@domain.com sta a significare, di fatto, che l’utente vuole accedere al sito <domain.com>, utilizzando una specifica combinazione di login e password. Se poi il sito web non richiede alcuna autorizzazione, tutto quello che precede il carattere “@” verrà semplicemente ignorato. Sottolineiamo, a tal proposito, che ci siamo trovati di fronte sia a mailing in cui gli spammer hanno semplicemente collocato il simbolo “@” prima del dominio, sia a campagne di spam in cui prima del carattere “@” era stata inserita una sequenza casuale (o non casuale) di lettere e cifre:

ksb_spam_2015_it_11

È di particolare interesse rilevare come tale specifico metodo sia stato utilizzato per “inquinare” i link, nonostante esso venga considerato, in genere, una prerogativa tipica dei phisher. Il fatto è che, con una simile modalità di scrittura, il malintenzionato può cercare, a tutti gli effetti, di ingannare l’utente, inducendo quest’ultimo a ritenere che il link visualizzato possa condurre, di fatto, verso un sito web del tutto legittimo. Ad esempio, nel caso di un URL del tipo <http://google.com@spamdomain.com/anything>, il dominio “percepito” dal browser sarà <spamdomain.com>, e non, invece, <google.com>.

Sempre in relazione al mascheramento dei nomi di dominio, un ulteriore trucco visivo di cui, nel corso dell’anno, si sono avvalsi gli spammer, è rappresentato dall’aver registrato un elevato numero di domini inizianti per “com-“. Così, riguardo a certi domini di terzo livello, i link presenti nei messaggi e-mail di spam apparivano nel modo seguente:

http://learnmore.com-eurekastep.eu/find

Se non si presta particolare attenzione, si può essere facilmente indotti a ritenere che il dominio principale sia < learnmore.com>, mentre, in realtà, esso è rappresentato da <com-eurekastep.eu>.

Oltre all’utilizzo del carattere “@”, gli spammer hanno provveduto a camuffare gli URL ricorrendo all’impiego di ulteriori caratteri:

www.goo&zwj.g&zwjl/0Gsylm

In tal caso, ad esempio, all’interno del dominio <goo.gl> è possibile individuare il frammento “&zwj”. Esso è stato inserito in maniera casuale in varie parti del dominio, rendendo così unico ed esclusivo il link presente in ogni messaggio di spam inviato in Rete. Un simile inserimento viene definito, dal punto di vista tecnico, “Zero-width joiner”; esso viene utilizzato, ad esempio, per riunire in un singolo carattere sia alcuni caratteri non collegati tra loro, presenti nelle lingue indù, sia gli emoticon. Il frammento in questione non apporta alcun significato semantico all’interno del dominio; in pratica, esso non fa altro che “imbrattare” il link di spam.

Un’ulteriore variante è poi rappresentata dal camuffamento del link di spam per mezzo del “soft hyphen” (SHY), ovvero il trattino discrezionale. Nel linguaggio HTML lo SHY è un carattere speciale, non visibile all’interno del testo normale; tuttavia, se la parola in cui si trova tale carattere è situata al termine della riga, e non può essere contenuta per intero da quest’ultima, la parte della parola posta dopo il soft hyphen verrà spostata alla linea successiva, mentre alla prima parte della parola sarà aggiunto un trattino. In genere, browser e client di posta elettronica ignorano il suddetto carattere, quando lo stesso si trova all’interno di un link; per tale motivo, gli spammer possono inserire lo SHY, nell’URL, in qualsiasi posizione, ed in qualsiasi quantità. Ci siamo ad esempio imbattuti in mailing di spam in cui il carattere speciale in causa era stato addirittura inserito oltre 200 volte nell’ambito del dominio (nella codifica esadecimale):

ksb_spam_2015_it_12

Oltre al “soft hyphen”, si possono incontrare, a livello di scrittura del dominio, altri caratteri speciali; si tratta, nella fattispecie, dell’indicatore ordinale maschile (º) e degli esponenti uno e due (¹, ²). Tali caratteri possono essere interpretati da alcuni browser, rispettivamente, come la lettera “o” ed i numeri “1” e “2”.

Molteplici ripetizioni di un famoso dominio

Un ulteriore metodo di camuffamento del link, a dir la verità piuttosto originale, da noi individuato nell’ambito di varie campagne di spam nel corso del 2015, è poi rappresentato dall’utilizzo di un noto dominio in qualità di redirector. Non si tratta in alcun modo di un metodo nuovo, ma stavolta gli spammer non hanno affatto lesinato i loro sforzi, ed hanno quindi aggiunto più e più volte, all’interno dell’URL di spam, lo stesso identico dominio, naturalmente ben noto all’utente della Rete:

ksb_spam_2015_it_13

Messaggi di spam privi di URL

Vale la pena ricordare, a parte, anche i casi in cui, nelle e-mail di spam, tali domini risultavano semplicemente assenti. Così, in alcuni invii di massa, abbiamo rilevato la presenza di codici QR, anziché dei consueti URL.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

ksb_spam_2015_it_15

In altre campagne di spam, infine, è stato proposto all’utente di inserire nel motore di ricerca una sequenza di lettere di tipo casuale; il link destinato a condurre verso il sito web allestito (o pubblicizzato) dagli spammer sarebbe in tal modo comparso in cima all’elenco dei risultati restituiti dal search engine:

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Lo spam ed i principali avvenimenti mondiali

Nonostante i prossimi Giochi Olimpici estivi si tengano a Rio de Janeiro, in Brasile, nel mese di agosto del 2016, già nel corso del 2015 i truffatori dello spam hanno inviato ai potenziali utenti-vittima false notifiche relative a fantomatiche vincite ottenute grazie a speciali lotterie dedicate al popolare evento sportivo. I messaggi nocivi contenevano allegati in formato PDF, attraverso i quali si comunicava al destinatario dell’e-mail che l’indirizzo di quest’ultimo era stato casualmente selezionato tra milioni di altri indirizzi di posta elettronica. Per entrare in possesso della somma “vinta” sarebbe stato assolutamente necessario rispondere al messaggio ricevuto, fornendo le informazioni personali richieste. Nella circostanza, gli allegati contenevano non solo testo, ma anche vari elementi grafici (loghi, fotografie, ed altro ancora). Desideriamo sottolineare, a tal proposito, come le notifiche fraudolente relative ad inesistenti vincite a lotterie di vario genere, presentino, in genere, un testo piuttosto esteso e, proprio per tale motivo, vengano spesso inviate sotto forma di allegato al messaggio e-mail, allo scopo di eludere i filtri antispam.

ksb_spam_2015_it_17

Nel 2015, i cosiddetti truffatori “nigeriani” hanno sfruttato, per i loro loschi fini, la complessa e delicata situazione socio-politica attraversata dall’Ukraina, la cruenta guerra in Siria, le elezioni presidenziali svoltesi in Nigeria e lo spaventoso terremoto verificatosi in Nepal, nel tentativo di convincere i destinatari dei messaggi di posta da essi elaborati riguardo all’autenticità e alla veridicità delle fantasiose “storie” riportate nelle e-mail. In particolar modo, gli autori dei messaggi “nigeriani” hanno come al solito richiesto assistenza riguardo al possibile investimento di ingenti somme di denaro a loro disposizione, oppure hanno pregato il destinatario dell’e-mail di fornire qualche indispensabile aiuto finanziario. Nella circostanza, i truffatori hanno fatto uso dei tradizionali trucchi e sotterfugi che abitualmente contraddistinguono le e-mail “nigeriane”, allo scopo di raggirare i destinatari dei messaggi fraudolenti e sottrarre quindi agli stessi significative somme di denaro.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Le e-mail aventi per tema la guerra in Siria hanno spesso raccontato storie di profughi e cittadini siriani in cerca di asilo nei Paesi europei. Alcuni messaggi risultavano essere stati inviati, in apparenza, direttamente dai campi profughi e contenevano lamentele riguardo alle condizioni precarie esistenti in tali strutture di accoglienza.

Le statistiche

Quote di spam rilevate nel traffico di posta elettronica

Nel 2015 la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un decremento di 11,48 punti percentuali rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 55,28%.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Quote percentuali di spam rilevate mensilmente nel traffico di posta elettronica globale
nel corso del 2015

La diminuzione più significativa di tale importante indice si è registrata nei primi mesi del 2015; la quota di spam è in effetti passata dal 61,86% rilevato in gennaio al 53,63% fatto segnare nel successivo mese di aprile. In seguito, lungo tutto l’arco dell’anno, la quota relativa ai messaggi di spam individuati nei flussi e-mail mondiali ha subito soltanto lievi variazioni, contenute entro un valore di 1-2 punti percentuali.

Geografia delle fonti di spam

ksb_spam_2015_it_20

Geografia delle fonti di spam rilevate nel corso del 2015 – Graduatoria su scala mondiale

Nel 2015, non sono intervenuti cambiamenti di particolare rilievo riguardo alla composizione della “trojka” dei Paesi leader della speciale graduatoria relativa alle fonti dello spam mondiale, riguardante i Paesi dal cui territorio vengono distribuite in Rete – verso tutti e cinque i continenti – le maggiori quantità di e-mail indesiderate; osserviamo, tuttavia, come non faccia più parte delle tre posizioni di vertice la Cina (6,12%), nonostante la quota attribuibile al Paese dell’Estremo Oriente sia aumentata dello 0,59% rispetto all’anno precedente. Al terzo posto del rating si è così insediato il Vietnam (6,13%), il cui indice ha evidenziato un incremento di 1,92 punti percentuali. La Russia (6,15%), da parte sua, conserva la seconda posizione della graduatoria; la quota percentuale ad essa ascrivibile ha fatto registrare un lieve aumento, pari allo 0,22%. Per contro, l’indice relativo al Paese che detiene la leadership della classifica riservata alle fonti geografiche dello spam mondiale, ovvero gli Stati Uniti (15,16%), risulta diminuito dell’1,5%; gli USA continuano tuttavia a capeggiare la graduatoria in questione con un ampio margine percentuale rispetto agli altri Paesi.

La quinta posizione del ranking qui analizzato risulta occupata, così come nel 2014, dalla Germania (4,24%), la cui quota ha fatto segnare un incremento dello 0,24%. Seguono poi, nell’ambito della speciale classifica, Ukraina (3,99%; + 0,99%), Francia (3,17%; + 0,62%), India (2,96%) – la cui quota, nell’arco di un anno, è rimasta invariata – e Argentina (2,90%); l’indice relativo al Paese sudamericano ha invece fatto registrare una flessione dello 0,65% rispetto al 2014. In ultima posizione, all’interno della TOP-10 da noi stilata, troviamo infine il Brasile (2,85%; + 0,42%).

Dimensioni dei messaggi di spam

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Dimensioni delle e-mail di spam – Quadro relativo al 2015

Nel 2015, all’interno dei flussi globali di spam, ha fatto segnare un ulteriore lieve incremento la quota relativa ai messaggi di posta elettronica aventi dimensioni estremamente contenute (sino a 2 kilobyte); tale indice si è in effetti attestato su un valore medio pari al 79,13%. Per contro, risulta diminuita in maniera significativa la quota inerente alle e-mail “spazzatura” con dimensioni comprese tra i 2 Kb ed i 5 Kb (9,08%). Complessivamente, nel corso dell’anno oggetto del presente report, si è mantenuta invariata la tendenza che vede una progressiva riduzione delle dimensioni dei messaggi di posta indesiderata.

Allegati nocivi rilevati nel traffico e-mail

Kaspersky Security Bulletin. Lo spam nell'anno 2015

TOP-10 relativa ai programmi malware maggiormente diffusi nel traffico di posta elettronica
nel corso del 2015

La prima posizione della speciale classifica annuale relativa ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale, risulta nuovamente occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen, un vero e proprio “habitué” del rating qui esaminato. Si tratta di un software nocivo ampiamente conosciuto, appartenente ad una famiglia di programmi Trojan realizzati sotto forma di pagine HTML fasulle. Tale oggetto nocivo viene distribuito attraverso la posta elettronica, camuffato in veste di importante comunicazione o notifica proveniente (in apparenza!) da famosi istituti bancari, celebri negozi Internet, software house di primaria importanza, etc. In pratica, se l’utente inserisce i propri dati confidenziali all’interno dei campi presenti nella pagina HTML contraffatta, allegata al messaggio di posta, e provvede poi a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali da egli introdotte nel form nocivo cadranno direttamente ed inevitabilmente nelle mani di cybercriminali senza scrupoli.

Al secondo posto della graduatoria da noi stilata troviamo poi il malware denominato Trojan-Downloader.HTML.Agent.aax, mentre alla nona e alla decima posizione della TOP-10 qui sopra riportata spicca la presenza, rispettivamente, di Trojan-Downloader.HTML.Meta.as e Trojan-Downloader.HTML.Meta.ay. Si tratta, nella fattispecie, di oggetti nocivi confezionati dai virus writer in veste di pagine HTML contenenti un apposito codice per reindirizzare l’utente-vittima verso il sito web dannoso allestito dai cybercriminali. In genere, su tale sito nocivo, la vittima si imbatte in una pagina di phishing, o in qualche proposta relativa al download di un programma adibito al trading automatizzato su opzioni binarie. I tre suddetti software dannosi vengono distribuiti dai malfattori tramite appositi allegati dannosi di posta elettronica e si differenziano, in pratica, solo per il link attraverso il quale l’utente viene rediretto verso il sito web nocivo.

Il terzo gradino del “podio” virtuale risulta occupato dal malware denominato Trojan-Banker.Win32.ChePro.ink. Si tratta, più precisamente, di un downloader realizzato dai propri autori sotto forma di applet dotato di estensione CPL (componente del pannello di controllo), preposto a scaricare temibili programmi Trojan sul computer sottoposto ad attacco; tali programmi nocivi, a loro volta, vengono in seguito utilizzati dai cybercriminali per compiere il furto delle informazioni confidenziali legate alla sfera finanziaria dell’utente-vittima. Sino ad ora, i malware riconducibili a tale specifica tipologia hanno principalmente preso di mira i clienti di istituti bancari brasiliani e portoghesi.

Alla quarta posizione della speciale graduatoria incontriamo poi il malware classificato con la denominazione di Email-Worm.Win32.Mydoom.l; ci troviamo di fronte, nella circostanza, ad un insidioso worm di rete, provvisto, oltretutto, di specifiche funzionalità di backdoor. Ricordiamo, con l’occasione, che tale software nocivo viene abitualmente distribuito sotto forma di allegato ai messaggi e-mail, nonché attraverso le reti di condivisione dei file e le risorse di rete disponibili per operazioni di scrittura. Il compito principale che si prefigge Mydoom.l è quello di effettuare la raccolta degli indirizzi e-mail custoditi nei computer sottoposti ad attacco, per poi realizzare il consueto processo di auto-diffusione in Rete tramite gli account carpiti. Per inviare i messaggi infetti il worm in questione stabilisce una connessione diretta con il server SMTP del destinatario dell’e-mail.

In quinta e in sesta posizione si sono poi collocati, rispettivamente, Trojan.JS.Agent.csz e Trojan-Downloader.JS.Agent.hhi, ovvero due programmi downloader elaborati in linguaggio JavaScript. Questi due software dannosi possono contenere, nel loro codice, vari indirizzi (domini), ai quali si connetterà, in seguito, il computer infetto. Se l’esito della connessione è positivo, sarà effettuato l’upload, nella cartella “temp”, di un file dannoso provvisto di estensione EXE, il quale verrà successivamente eseguito.

L’ottava posizione della speciale TOP-10 elaborata dagli esperti di Kaspersky Lab è andata ad appannaggio del programma malware classificato come Trojan-PSW.Win32.Fareit.auqm. I software nocivi riconducibili alla famiglia Fareit risultano abitualmente preposti al furto dei cookie presenti nei browser web e, allo stesso tempo, delle password utilizzate nell’ambito dei client FTP e dei programmi di posta elettronica; i dati confidenziali sottratti agli utenti-vittima vengono in seguito inoltrati al server remoto nocivo predisposto dai cybercriminali.

Famiglie di malware maggiormente diffuse nel traffico di spam globale

Se consideriamo non i singoli programmi nocivi, bensì le famiglie di software nocivi maggiormente diffuse nell’ambito dei flussi e-mail mondiali, osserviamo come l’analoga graduatoria risulti capeggiata dalla famiglia di malware denominata Upatre, la quale ha occupato il primo posto del ranking in questione lungo tutto l’arco dell’anno qui preso in esame. Nella maggior parte dei casi, i software dannosi riconducibili a tale specifica famiglia di malware vengono adibiti al download di un temibile Trojan bancario, attualmente noto con tre diversi appellativi – Dyre/Dyzap/Dyreza.

La seconda e la terza posizione della graduatoria risultano poi occupate, rispettivamente, dalle famiglie denominate MSWord.Agent e VBS.Agent. I software nocivi appartenenti alla famiglia MSWord.Agent si presentano sotto forma di file provvisti di estensione DOC, con tanto di apposita macro incorporata, scritta in VBA (Visual Basic for Applications), la quale viene automaticamente eseguita al momento dell’apertura del documento. Nella circostanza, è la stessa macro che, di fatto, provvede a generare il download e la successiva esecuzione sul computer-vittima di ulteriore malware, il quale può essere ad esempio costituito da uno dei software nocivi riconducibili alla famiglia di backdoor Andromeda.VBS.Agent; quest’ultima, come traspare dalla stessa denominazione, si avvale di uno script VBS incorporato. Per realizzare il download e la conseguente esecuzione, sul computer sottoposto ad attacco, di malware di vario genere, i programmi nocivi appartenenti a tale famiglia ricorrono alla tecnologia ADODB.Stream.

Alla quarta posizione della speciale classifica da noi stilata troviamo la famiglia Andromeda. Essa è composta, in sostanza, da software nocivi che consentono ai cybercriminali di assumere il pieno controllo del computer sottoposto a contagio informatico, all’insaputa dell’utente. Inoltre, i computer infettati da programmi malware di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati. Ricordiamo, a tal proposito, come nel 2014 la famiglia Andromeda occupasse la prima posizione dell’analoga graduatoria.

Il quinto posto del rating annuale qui analizzato è invece andato ad appannaggio della famigerata famiglia di malware denominata Zbot. Tali software dannosi si contraddistinguono per il fatto di essere particolarmente complessi e sofisticati; nello specifico, essi risultano preposti ad attaccare sia i server che i computer degli utenti, allo scopo di intercettare e carpire dati di natura sensibile e riservata. Sebbene i Trojan ZeuS/Zbot siano in grado di eseguire attività dannose di vario genere, nella maggior parte dei casi essi vengono utilizzati proprio per compiere il furto delle informazioni bancarie custodite nei computer degli utenti, incluso – ovviamente – i dati sensibili relativi alle carte di credito.

Paesi maggiormente bersagliati dalle mailing di massa nocive

ksb_spam_2015_it_23

Ripartizione per P

Paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del 2015

Mentre nei tre anni precedenti la composizione della “trojka” dei Paesi leader della speciale graduatoria relativa alle aree geografiche verso le quali vengono inviate le maggiori quantità di spam nocivo — ovvero i Paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail — era rimasta sostanzialmente invariata (si trattava, più precisamente, di Stati Uniti, Gran Bretagna e Germania), nel corso del 2015 gli spammer hanno di fatto cambiato la propria tattica, così come i bersagli presi principalmente di mira. Ne è conseguito che la leadership della classifica analizzata nel presente capitolo del nostro report annuale dedicato al fenomeno spam è andata ad appannaggio della Germania (19,06%; + 9,84%). In seconda posizione si è collocato il Brasile (7,64%; + 4,09%); ricordiamo, a tal proposito, che nell’analoga graduatoria del 2014 il Paese sudamericano occupava soltanto la sesta posizione del rating.

La sorpresa maggiore del terzo trimestre dell’anno, e di tutto il 2015 in senso lato, è risultata essere l’ascesa della Russia sino al terzo posto del ranking qui esaminato (6,30%; + 3,06%). Nel 2014, in effetti, la Federazione Russa occupava solo l’ottava posizione della graduatoria, avendo fatto registrare una quota percentuale non superiore al 3,24%.

Riteniamo ad ogni caso lecito presupporre che, nonostante la precisa tendenza emersa in questi ultimi trimestri, la quantità di campagne e-mail nocive dirette verso il territorio della Russia sia destinata a diminuire. Si prevede, tuttavia, che nel corso del 2016 il numero complessivo degli allegati nocivi inviati attraverso la posta elettronica risulterà in evidente crescita; i programmi malware più diffusi nell’ambito dei flussi e-mail globali saranno, verosimilmente, i software nocivi preposti al furto dei dati personali, così come i famigerati Trojan “estorsori”.

Peculiarità e tratti caratteristici dello spam nocivo

Nel 2015, nell’ambito dello spam nocivo, è stato rilevato un repentino aumento del numero delle mailing di massa preposti a convogliare temibili virus macro nelle caselle di posta elettronica degli utenti. La quantità più elevata di messaggi e-mail di spam contenenti virus macro è stata riscontrata nel primo trimestre dell’anno; nella circostanza, tali oggetti dannosi sono stati distribuiti attraverso appositi allegati nocivi con estensione .doc o .xls, e sono risultati appartenere, più precisamente, alla categoria dei Trojan-Downloader, malware adibiti al download di ulteriori software dannosi sui computer sottoposti ad attacco.

In genere, gli allegati dannosi sono apparsi camuffati sotto forma di documenti di vario genere, legati alla sfera finanziaria: notifiche fasulle relative a multe, trasferimenti di denaro, fatture insolute, pagamenti, così come denunce e reclami, biglietti elettronici, ordini commerciali. Spesso, le e-mail contraffatte sono risultate provenire (in apparenza!) da impiegati e funzionari operanti presso società ed organizzazioni realmente esistenti.

La notevole pericolosità dei macrovirus non si limita al fatto che gli stessi siano ampiamente accessibili e disponibili, e non è nemmeno esclusivamente dovuta alla relativa semplicità con cui questi insidiosi oggetti nocivi possono essere creati dai virus writer. Un macrovirus, in sostanza, è in grado di infettare non solo il documento aperto inizialmente, ma anche la macro globale comune a tutti i file simili e, di conseguenza, tutti i documenti dell’utente correlati all’utilizzo della macro globale. Non bisogna inoltre dimenticare che il linguaggio VBA risulta piuttosto funzionale a livello di scrittura dei codici nocivi riconducibili ai generi più diversi.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Nel 2015, i cybercriminali dediti alla diffusione di messaggi di spam nocivo, hanno continuato imperterriti a distribuire nelle e-mail box degli utenti programmi malware celati all’interno di archivi dall’estensione alquanto inusuale nell’ambito dello spam (.cab, .ace, .7z, .z, .gz). Tutti questi formati, utilizzati per i file archivio, sono stati creati abbastanza tempo fa, e vengono abitualmente utilizzati dagli esperti informatici nelle attività di sviluppo ed installazione del software; essi, tuttavia, risultano per lo più sconosciuti agli utenti ordinari, a differenza di quanto avviene, in genere, con gli archivi ZIP e RAR. Un ulteriore elemento di distinzione è rappresentato dall’elevato grado di compressione dei file “impacchettati” in tali archivi; i malintenzionati ricorrono all’utilizzo di tale specifica caratteristica allo scopo di ridurre le dimensioni dei messaggi e-mail e di bypassare l’azione di controllo svolta dai filtri antispam. Gli archivi nocivi in questione sono stati mascherati sotto forma di allegati riconducibili ai generi più disparati (ordini di acquisto, fatture, fotografie, comunicazioni, etc.); essi contenevano programmi malware di vario tipo (Trojan-Downloader.Win32.Cabby, Trojan-Downloader.VBS.Agent.azx, Trojan-Spy.Win32.Zbot.iuk, il keylogger denominato HawkEye Keylogger ed altri ancora). La stragrande maggioranza dei messaggi è stata allestita in lingua inglese; sono state tuttavia individuate e-mail di spam elaborate in altre lingue.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Nel corso del 2014, i cybercriminali avevano attivamente diffuso messaggi di spam camuffati sotto forma di e-mail inviate attraverso i dispositivi mobile, oppure mascherati in veste di notifiche trasmesse tramite applicazioni mobile, contenenti programmi malware e link pubblicitari appositamente inseriti per cercare di convogliare gli utenti verso siti web preposti alla vendita illecita di farmaci. Nel 2015, le tematiche relative alla sfera degli apparati mobile hanno conosciuto un ampio seguito: più precisamente, i programmi malware sono stati spesso distribuiti sotto forma di file .apk e .jar; tali estensioni, come è noto, riguardano file-applicazioni eseguibili, in forma di archivio, per i dispositivi mobile. I file con estensione .jar (Java Archive) sono, in pratica, archivi ZIP ordinari, nei quali è contenuto un programma scritto in linguaggio Java; essi sono prevalentemente destinati ad essere eseguiti sui telefoni cellulari; i file .apk (Android Package), da parte loro, vengono utilizzati per la distribuzione e l’installazione di applicazioni nell’ambito dell’OS Android.

I malintenzionati, in particolar modo, hanno mascherato il Trojan crittografico SLocker, destinato alla piattaforma mobile Android, sotto forma di file contenente aggiornamenti relativi al programma Flash Player. Tale malware, una volta eseguito, avrebbe provveduto a codificare i file presenti sul dispositivo Android preso di mira (immagini, file video e documenti di vario genere). Successivamente, l’utente avrebbe visualizzato sul proprio schermo un messaggio contenente l’esplicita richiesta di effettuare il pagamento di una determinata somma di denaro, allo scopo di ottenere la decodifica dei file. In un altro caso, poi, nell’archivio .jar è stato individuato il malware Backdoor.Adwind, scritto in linguaggio Java. Per i cybercriminali, il principale vantaggio derivante dall’utilizzo di tale software nocivo è rappresentato dal fatto che Backdoor.Adwind è, a tutti gli effetti, un malware di tipo cross-platform, ovvero multipiattaforma; questo significa che lo stesso può essere installato non solo su vari dispositivi mobile, ma anche sull’OS Windows, Mac e Linux.

Con ogni probabilità, i malintenzionati che distribuiscono programmi malware attraverso file destinati agli apparecchi mobile, hanno contato sul fatto che gli utenti che fanno abitualmente uso della posta elettronica tramite il proprio dispositivo mobile, avrebbero poi provveduto ad installare l’allegato nocivo inserito nel messaggio e-mail da essi ricevuto.

Desideriamo sottolineare, a tal proposito, come, con il progressivo trascorrere degli anni, i dispositivi mobile attirino in misura sempre maggiore le indesiderate attenzioni dei cybercriminali. Questo è dovuto, in primo luogo, al costante aumento del livello di attività degli utenti mobile (attraverso le app di messaggistica istantanea ed altri strumenti per lo scambio di dati e informazioni), così come al progressivo trasferimento di tutta una serie di servizi (ad esempio le transazioni finanziarie) verso le piattaforme di tipo mobile; un singolo utente, inoltre, può disporre di vari dispositivi mobile. In secondo luogo, un ulteriore elemento di particolare rilievo è indubbiamente rappresentato dalla comparsa sulla scena di varie applicazioni richieste dagli utenti, le quali, tuttavia, possono essere ugualmente utilizzate, in seguito, da malintenzionati e truffatori, sia in forma diretta (per l’invio di spam, incluso quello di natura nociva) che indiretta (a livello di tematica presente sui messaggi di phishing). Ad esempio, gli utenti di WhatsApp, la popolare applicazione di instant messaging, divengono vittima non solo del “tradizionale” spam pubblicitario, ma anche degli stessi autori di virus. Gli utenti dei dispositivi mobile, pertanto, debbono sempre prestare la massima attenzione, visto che proprio nel settore mobile, nell’immediato futuro, il livello di attività dei malintenzionati non potrà che aumentare.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Phishing

Le principali tendenze

Nel 2015, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 148.395.446 rilevamenti eseguiti grazie al sistema “Anti-phishing”. Il 60% di essi (89.947.439) è rappresentato da rilevamenti ascrivibili ai componenti deterministici, mentre il restante 40% (58.448.007) è riconducibile ai rilevamenti effettuati grazie al componente web euristico.

Metodi utilizzati per la diffusione dei contenuti di phishing

Le modalità utilizzate per diffondere i contenuti di phishing non si limitano più, ormai da tempo, ai soli client di posta elettronica. Al momento attuale, ad esempio, uno dei metodi maggiormente in uso per realizzare la diffusione delle pagine di phishing è rappresentato dalle pubblicità di tipo pop-up. Nel corso del 2015 ci siamo trovati di fronte ad una grande varietà di schemi fraudolenti in cui si prevedeva l’impiego del metodo, tutt’altro che complesso, qui di seguito descritto: le pagine web contraffatte si aprono automaticamente, nel browser, nel momento in cui l’utente visita determinati siti Internet, incluso siti del tutto legittimi, i quali fanno uso di finestre di pop-up per mostrare annunci pubblicitari.

Proprio utilizzando questo metodo dannoso, i truffatori hanno attaccato gli utenti di vari istituti bancari russi durante il terzo e il quarto trimestre dell’anno oggetto del presente report.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Esempio di pagina web fraudolenta sulla quale l’utente-vittima giunge attraverso la pubblicità pop-up.

Altre tematiche particolarmente diffuse nel corso dell’anno

Come era stato da noi già osservato nel primo trimestre del 2015, la quota relativa alla categoria “Società di logistica” si è complessivamente rivelata piuttosto contenuta (0,23%), pur avendo evidenziato, nel corso dell’anno, un lieve incremento (+ 0,04%); rileviamo, inoltre, come la società DHL, appartenente a tale categoria, faccia stabilmente parte della TOP-100 riguardante le organizzazioni sottoposte con maggiore frequenza agli attacchi condotti dai phisher.

Tale stratagemma, ovvero l’invio di un messaggio e-mail a nome di una nota società di logistica, viene abitualmente utilizzato dai malfattori per distribuire allegati dannosi, così come per carpire i dati personali e le risorse finanziarie della vittima.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Esempio di e-mail di phishing volta ad imitare una notifica inviata (in apparenza) dalla società FedEx

I truffatori del phishing si dimostrano particolarmente attivi, nei confronti della suddetta categoria, soprattutto alla vigilia delle festività, proprio nel momento in cui un elevato numero di persone provvede ad acquistare regali per sé e per i propri familiari, ricorrendo all’utilizzo dei servizi forniti da note società di spedizione.

Trucchi e sotterfugi nella posta elettronica

Nel condurre gli attacchi di phishing, i malintenzionati utilizzano ormai da tempo, e con successo, file PDF allegati ai messaggi di posta elettronica. Nella maggior parte dei casi, tali file risultano essere form nocivi per l’inserimento dei dati personali, i quali vengono poi trasmessi ai malfattori nel momento in cui l’utente-vittima provvede a cliccare sull’apposito pulsante collocato all’interno del file. Nel corso del 2015, tuttavia, abbiamo assistito ad un considerevole aumento del numero dei messaggi di posta recanti in allegato un documento PDF contenente, in pratica, l’intero testo del messaggio e, allo stesso tempo, il link nocivo destinato a condurre verso la pagina di phishing. Il testo presente nel corpo dell’e-mail risultava ridotto davvero ai minimi termini, allo scopo di eludere l’azione protettiva svolta dai filtri antispam.

Possiamo imbatterci in trucchi del genere nell’ambito degli attacchi di phishing condotti nei confronti della clientela delle organizzazioni appartenenti, di fatto, a tutte le categorie. Un elevato numero di simili attacchi è stato riscontrato, nel corso del 2015, a danno dei clienti di società operanti nella sfera bancaria e nel settore dei servizi di posta elettronica.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Esempio di e-mail di phishing. Il corpo del messaggio contiene solo il testo inserito in qualità di titolo dell’e-mail che pare essere stata inoltrata tramite il messaggio di posta elettronica qui riportato.
All’e-mail è stato allegato un file PDF, contenente il link preposto a condurre i potenziali utenti-vittima verso la pagina di phishing allestita dai malintenzionati.

Abbiamo ugualmente individuato un considerevole numero di file PDF provvisti di redirecting, tramite apposito click, verso i siti web di phishing. In genere, i malintenzionati hanno cercato di indurre l’utente a cliccare sul pulsante nocivo prospettando tale azione come l’unica possibilità esistente per poter leggere il contenuto del file.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Esempio di e-mail di phishing. Troviamo, in allegato, il file PDF preposto a reindirizzare gli utenti
verso il sito di phishing, tramite apposito click.

Geografia degli attacchi

TOP-10 relativa ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Leader della speciale classifica relativa alle quote percentuali di utenti unici sottoposti ad attacco, sul numero totale di utenti nel Paese, è divenuto il Giappone (21,68%); l’indice ascrivibile al Paese del Sol Levante ha peraltro fatto registrare un significativo aumento, pari a 2,17 punti percentuali.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati, nel corso del 2015, rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel Paese.

TOP-10 relativa ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Giappone 21,68%
Brasile 21,63%
India 21,02%
Ecuador 20,03%
Mozambico 18,30%
Russia 17,88%
Australia 17,68%
Vietnam 17,37%
Canada 17,34%
Francia 17,11%

Il Paese leader dell’analoga graduatoria relativa al 2014, ovvero il Brasile, è sceso al secondo posto del ranking (21,63%; – 5,77%); seguono, in classifica, India (21,02%; – 2,06%) ed Ecuador (20,03%; – 2,79%).

Ripartizione degli attacchi per Paesi

La graduatoria che tiene in considerazione il numero di rilevamenti eseguiti dal sistema “Anti-phishing” nei vari Paesi del globo (in relazione al numero complessivo di rilevamenti effettuati dal nostro prodotto in tutto il mondo, nell’arco di un anno) risulta capeggiata dalla Russia (17,8%), il cui indice, rispetto all’analogo rating del 2014, ha fatto registrare un incremento pari a 0,62 punti percentuali.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Ripartizione per Paesi degli attacchi di phishing – Situazione relativa al 2015

La Federazione Russa è seguita, nella speciale classifica riguardante la quantità totale di rilevamenti eseguiti dal componente “Anti-phishing” sul territorio di ogni singolo Paese, da Brasile (8,74%; + 1,71%), India (7,73%; + 0,58%) e Stati Uniti (7,52%; + 0,32%). L’ultima posizione della TOP-5 risulta occupata dall’Italia (7,04%; + 1,47%).

Quadro delle organizzazioni sottoposte agli attacchi di phishing

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli attacchi di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare tutte le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link nocivi presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – nel caso in cui i collegamenti ipertestuali che conducono a tali pagine non risultino ancora inseriti nei database di Kaspersky Lab.

Kaspersky Security Bulletin. Lo spam nell'anno 2015

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del 2015

Per quel che riguarda l’anno 2015, è stato da noi osservato un sensibile aumento della quota percentuale inerente ai rilevamenti eseguiti riguardo alla categoria generale “Organizzazioni finanziarie” (34,33%; + 5,59%), la quale riunisce, a sua volta, le singole categorie “Banche”, “Sistemi di pagamento” e “Negozi Internet”. Abbiamo inoltre rilevato un significativo incremento dell’indice percentuale attribuibile alle organizzazioni raggruppate nelle categorie “Fornitori di servizi di telefonia ed Internet provider” (5,50%; +1,4%) e “Social network e blog” (16,40%; + 0,63%).

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Organizzazione % di link di phishing
1 Yahoo! 14,17
2 Facebook 9,51
3 Google 6,8

Così come nell’anno precedente, la leadership della TOP-3 riguardante le organizzazioni maggiormente sottoposte, individualmente, agli attacchi orditi dai phisher, è andata ad appannaggio di Yahoo!. La quota di link di phishing ascrivibile a tale società risulta tuttavia considerevolmente diminuita, essendo passata dal 23,3% fatto registrare nel 2014 al più contenuto 14,17%, riscontrato riguardo all’anno qui preso in esame. Riteniamo che possa aver contribuito a determinare tale specifica circostanza la lotta attivamente condotta da Yahoo! nei confronti del dilagare dei domini fasulli. Abbiamo notato che Yahoo!, così come numerose altre società, registra un elevato numero di domini a proprio nome, domini che, in teoria, potrebbero essere utilizzati da malintenzionati, visto che gli stessi derivano, in pratica, dal nome di dominio originale.

Conclusioni e previsioni

Nel 2015, la quota relativa allo spam presente nel traffico di posta elettronica globale ha fatto registrare un decremento di 11,48 punti percentuali rispetto all’analogo indice riscontrato nell’anno precedente, e si è in tal modo attestata su un valore medio pari al 55,28%. La diminuzione più marcata di tale importante indice è stata osservata nel primo trimestre dell’anno; dal mese di aprile in poi, invece, la quota di spam ha presentato variazioni contenute nell’ordine di qualche punto percentuale. Un decremento così significativo è da attribuire, in particolar modo, alla migrazione della pubblicità relativa a prodotti e servizi del tutto legittimi dai flussi di spam verso piattaforme più convenienti ed efficaci, peraltro operanti nel rispetto della legalità (social network, servizi web adibiti alla distribuzione di coupon sconto, etc.); un altro fattore di particolare rilievo è poi rappresentato dal progressivo estendersi della cosiddetta “zona grigia” dello spam, ovvero quell’area nella quale possono essere collocati, a pieno diritto, i messaggi di posta elettronica inviati contemporaneamente sia a coloro che sottoscrivono le newsletter, sia ad un’ampia cerchia di persone che non hanno in alcun modo fornito il loro assenso per ricevere tale genere di corrispondenza sulla propria e-mail box. È lecito presupporre che, anche nel corso del prossimo anno, i valori relativi alle quote di spam presenti all’interno dei flussi e-mail mondiali continueranno a diminuire, sebbene tale decremento, con ogni probabilità, non assumerà proporzioni così evidenti.

Il numero complessivo delle e-mail di spam di natura nocivae e fraudolenta, invece, sembra destinato ad aumentare ancora. È possibile che i malintenzionati dello spam facciano nuovamente ricorso ad alcuni vecchi trucchi del mestiere, ormai quasi dimenticati, come peraltro è stato ampiamente fatto lungo tutto l’arco del 2015, con numerosi invii di massa volti a distribuire temibili macrovirus ed allegati nocivi dalle estensioni decisamente insolite nell’ambito dello spam. Le tematiche mobile, nell’ottica dei malintenzionati, possono ugualmente divenire un’ulteriore arma ingannevole, nel già nutrito arsenale di cui essi dispongono, per la distribuzione di spam nocivo e fraudolento.

Continuerà nel frattempo ad accrescersi il numero di nuovi domini direttamente creati dagli spammer per la conduzione degli abituali invii di massa; ci attendiamo, allo stesso tempo, un’ulteriore estensione delle nuove zone di dominio utilizzate per allestire i siti web di cui si avvalgono gli spammer.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *