Spam e phishing nel terzo trimestre del 2016

Contenuti

Spam: le caratteristiche peculiari del trimestre

Lo spam nocivo

All’interno dei flussi e-mail globali è stata da noi osservata, lungo tutto l’arco del 2016, un’enorme quantità di messaggi di spam contenenti allegati dannosi; nel terzo trimestre dell’anno in corso, il numero delle e-mail nocive è poi risultato in ulteriore crescita. Secondo i dati raccolti attraverso il Kaspersky Security Network (KSN), nel terzo trimestre del 2016 il nostro modulo anti-virus dedicato alla posta elettronica è entrato in azione 73.066.751 volte. La maggior parte degli allegati maligni conteneva dei Trojan-Downloader, adibiti a scaricare sui computer-vittima temibili malware crittografici.

Spam e phishing nel terzo trimestre del 2016

Numero di rilevamenti eseguiti dall’antivirus e-mail – Situazione relativa al periodo 1° – 3° trimestre 2016

Le quantità di spam nocivo inviate tramite e-mail hanno raggiunto il loro picco nel mese di settembre 2016. Secondo le nostre stime, in tale mese, le campagne dannose condotte attraverso la botnet Necurs hanno rappresentato, da sole, il 6,5% del volume complessivo dello spam circolante all’interno del traffico di posta elettronica mondiale. Ricordiamo, per la precisione, che questo tipo di spam dannoso genera il download del famigerato malware crittografico Locky sul computer sottoposto ad attacco.

La maggior parte dei messaggi e-mail in questione presentava, tuttavia, un carattere decisamente “neutro”. In sostanza, attraverso di essi si induceva l’utente-vittima ad aprire un allegato dannoso, mascherato sotto forma di fatture provenienti dalle più svariate società ed organizzazioni, oppure camuffato in veste di ricevute, biglietti, scansioni di documenti, messaggi vocali, notifiche inviate da celebri negozi online. Alcuni messaggi, addirittura, non contenevano nemmeno il testo. Tutto questo non fa altro che confermare la precisa tendenza emersa nel mondo dello spam nel corso di questi ultimi anni: gli spammer cercano sempre più di rado di stupire, intimorire o spaventare il destinatario dell’e-mail allo scopo di motivare quest’ultimo a cliccare sul link dannoso, od aprire il file allegato al messaggio ricevuto. I cyber criminali, invece, cercano di rendere il più possibile “ordinario” il contenuto delle e-mail di spam, per far sì che le stesse non possano presentare elementi di distinzione rispetto alla comune corrispondenza personale. Con ogni probabilità, gli spammer tengono in debita considerazione il fatto che una significativa parte degli utenti ha ormai acquisito le necessarie conoscenze di base, l’ABC riguardo alla sicurezza in Internet, ed è quindi in grado di distinguere una minaccia reale da una falsa minaccia; è per questo motivo, quindi, che gli allegati maligni vengono camuffati in veste di “cose” il più possibile neutre.

Spam e phishing nel terzo trimestre del 2016

Desideriamo sottolineare, a parte, come lo spam diffuso tramite la botnet Necurs fosse caratterizzato da un modello del tutto tipico, a livello di intestazioni tecniche del messaggio; gli schemi utilizzati per la distribuzione del cryptoblocker Locky presentavano invece caratteristiche ben distinte l’uno dall’altro. Così, nei cinque esempi di spam nocivo qui sopra riportati possiamo individuare la presenza di ben quattro diversi schemi dannosi, qui di seguito elencati:

  • Un downloader in Javascript, compresso all’interno di un archivio ZIP, scarica il malware Locky sul computer-vittima, per poi lanciarne l’esecuzione.
  • Il download di Locky viene effettuato attraverso una macro contenuta in un file provvisto di estensione .docm.
  • Una pagina HTML custodita in un archivio, contenente uno script dannoso compilato in Javascript, adibito al download di Locky.
  • Una pagina HTML custodita in un archivio, contenente uno script nocivo compilato in Javascript, preposto al download dell’oggetto cifrato “Payload.exe”, il quale, una volta decodificato, avvia l’esecuzione di Locky.

Offuscamento degli indirizzi IP

Nel corso del terzo trimestre dell’anno, gli spammer hanno continuato a sperimentare in maniera particolarmente attiva nel campo dell’offuscamento dei link contenuti nei messaggi di posta. Al già noto trucco che prevede la scrittura degli indirizzi IP facendo ricorso al sistema esadecimale ed ottale, gli spammer hanno ad esempio aggiunto “imbrattamenti” di vario genere. Di conseguenza, l’indirizzo IP contenuto nel collegamento ipertestuale può apparire, per esempio, nel modo seguente:

HTTP://@[::ffff:d598:a862]:80/

Gli spammer, inoltre, hanno iniziato ad inserire caratteri non alfanumerici e barre (slash) prima del dominio/dell’indirizzo IP, come, ad esempio:

http://0122.0142.0xBABD/

<a href=/@/0x40474B17

I servizi di URL brevi

Allo stesso modo, gli spammer hanno condotto “esperimenti” anche relativamente ai servizi di URL brevi, inserendo del testo di vario genere tra gli slash, come, ad esempio, in questo caso:

Spam e phishing nel terzo trimestre del 2016

Talvolta, poi, in qualità di testo “spazzatura”, sono stati utilizzati altri link:

Spam e phishing nel terzo trimestre del 2016

Utilizzo delle query di ricerca

Alcuni spammer si sono poi ricordati di un metodo davvero singolare, per occultare al meglio gli indirizzi dei propri siti web; esso è costituito dall’utilizzo, a dir poco “improprio”, delle query di ricerca nell’ambito dei search engine. L’impiego di un simile trucco consente agli spammer di risolvere due delicate problematiche in un colpo solo: bypassare le temute blacklist e rendere i link unici per ogni messaggio e-mail diffuso in Rete. Nel terzo trimestre dell’anno, tuttavia, gli spammer si sono spinti ancora oltre, visto che si sono avvalsi di un’opportunità involontariamente offerta dal motore di ricerca Google; stiamo parlando, nella circostanza, della nota opzione di ricerca denominata “Mi sento fortunato”. Tale possibilità, nell’ambito delle query effettuate, indirizza immediatamente l’utente verso il sito web che compare al primo posto nei risultati restituiti dal search engine; per attivare tale opzione è sufficiente aggiungere nella parte finale del link “&btnI=ec”. Ne consegue che, cliccando sul link presente nel messaggio, l’utente non verrà diretto verso la pagina restituita da Google in base ad una determinata query, ma sarà invece indirizzato direttamente verso il sito di spam. Naturalmente, nella circostanza, il sito pubblicitario risulterà ottimizzato in maniera tale da comparire al primo posto dei risultati emessi dal search engine in base ad una specifica ricerca effettuata. Nell’ambito di una sola campagna di spam è possibile imbattersi in un numero di query del genere davvero molto elevato.

Spam e phishing nel terzo trimestre del 2016

Nell’esempio qui sopra inserito si utilizza un’ulteriore “astuzia”. La query è stata elaborata in caratteri cirillici. Le lettere dell’alfabeto cirillico vengono inizialmente codificate nel formato decimale (la parola “авто” (auto), ad esempio, viene trasformata in “Авто”); in seguito, la query convertita in base alla codifica decimale viene interamente codificata, caratteri speciali inclusi, ricorrendo alla codifica esadecimale dell’URL.

Nel terzo trimestre del 2016, i phisher hanno cercato di raggirare gli utenti rendendo il link del tutto simile alla denominazione di un noto sito legittimo. Si tratta, di fatto, di un “vecchio trucco”; tuttavia, mentre in precedenza si adottavano, per raggiungere tale scopo, lievi, quasi impercettibili variazioni od alterazioni dei nomi reali, vengono adesso utilizzati, sempre più di frequente, sia sottodomini che imitano le effettive denominazioni, sia nomi di dominio particolarmente lunghi e complessi, magari intervallati da vari trattini. Così, nel quadro degli attacchi di phishing diretti agli utenti di PayPal ci siamo imbattuti in domini del genere:

Spam e phishing nel terzo trimestre del 2016

Per ciò che riguarda il phishing rivolto agli utenti Apple abbiamo invece rilevato, ad esempio:

Spam e phishing nel terzo trimestre del 2016

Gli spammer vengono inoltre involontariamente aiutati dalle nuove zone di dominio “parlanti”, con estensioni esplicite, nelle quali il link contraffatto può apparire maggiormente a tema, e quindi credibile, come nei due casi qui di seguito illustrati:

Spam e phishing nel terzo trimestre del 2016

Cercasi tester

All’interno del traffico di posta elettronica che ha caratterizzato il terzo trimestre dell’anno, abbiamo spesso osservato la conduzione di mailing di massa attraverso i quali si offriva la possibilità di testare gratuitamente prodotti di qualsiasi tipo, che in seguito avrebbero potuto essere conservati dall’utente per un utilizzo continuo o permanente degli stessi. Gli autori delle e-mail di spam da noi analizzate hanno in particolar modo proposto ai destinatari dei messaggi di posta di effettuare il test di prodotti largamente diffusi, in genere ampiamente richiesti dai consumatori. Si è trattato, fondamentalmente, di elettrodomestici piuttosto costosi, realizzati da famose marche (macchine per caffé, robot aspirapolvere), di prodotti chimici per la casa, cosmetici e persino di prodotti alimentari. Ci siamo ugualmente imbattuti in molteplici proposte per effettuare test riguardanti gli ultimi modelli di varie apparecchiature elettroniche, incluso il nuovo iPhone, lanciato sul mercato proprio alla fine del terzo trimestre del 2016. “Register to test & keep a new iPhone 7S! Wanted: iPhone 7S Testers!” – recitavano così, più o meno, i titoli dei messaggi di spam diffusi attraverso tali campagne. È opportuno sottolineare, tra l’altro, come l’uscita del nuovo dispositivo abbia generato, come di solito avviene, un repentino aumento del relativo spam tematico, dedicato esclusivamente alla produzione Apple.

Occorre dire, a scanso di equivoci, che coloro che inviano simili messaggi di posta non sono in alcun modo collegati alle importanti società i cui prodotti, particolarmente diffusi tra i consumatori, vengono utilizzati dagli spammer in qualità di allettante esca. Queste persone realizzano i propri mailing di massa avvalendosi di indirizzi e-mail fasulli, collocati su domini “vuoti”; nella maggior parte dei casi si tratta di domini di recentissima creazione.

Spam e phishing nel terzo trimestre del 2016

In genere, gli autori di tali campagne di spam promettono di inviare per posta il prodotto da testare; gli spammer chiedono poi al destinatario dell’e-mail, con tale pretesto, di indicare il proprio indirizzo postale, così come di fornire il proprio indirizzo e-mail, ed altre informazioni di natura personale. Le spese postali, di lieve entità, dovranno ad ogni caso essere prese in carico dalla persona stessa interessata a partecipare all’attività proposta. Non vi è comunque alcuna garanzia riguardo al fatto che possa essere poi ricevuto, dall’utente, un prodotto originale, che si riveli di buona qualità; dall’altro lato, non vi è nemmeno la certezza di ricevere… un qualsiasi prodotto. A tal proposito, possiamo trovare su Internet varie recensioni di utenti che non hanno affatto ricevuto il prodotto promesso, pur avendo pagato in anticipo le spese per la spedizione via posta. Tutto questo si ricollega ad una pratica fraudolenta per nulla appartenente al mondo virtuale: i cybercriminali, nella circostanza, avvalendosi di un comune pretesto – ovvero il pagamento delle sole spese postali – ricevono dalla vittima il trasferimento di una determinata somma di denaro, per poi scomparire senza lasciare alcuna traccia.

Buoni regalo per tutti i gusti

Tra i mailing di massa da noi analizzati nel corso del terzo trimestre del 2016, abbiamo individuato alcune interessanti campagne di spam accomunate dal tema dei falsi buoni regalo. Al destinatario di tali messaggi viene proposto di sottoporsi ad un sondaggio online, per poter poi ottenere un buono del valore di alcune decine, se non centinaia di euro o dollari, da spendere in acquisti presso grandi catene di distribuzione operanti su scala internazionale, ipermercati online, catene di negozi specializzati in prodotti alimentari, popolari network di ristorazione, oppure stazioni di servizio.

spam_q3_2016_it_10

I mittenti dei messaggi e-mail nocivi, in alcuni casi, si sono riferiti al fatto di voler in tal modo migliorare il servizio assistenza clienti allestito dall’organizzazione a nome della quale veniva condotta la generosa iniziativa; altre volte, allo stesso modo, gli spammer hanno avanzato come pretesto il fatto di voler migliorare, grazie alla conduzione del sondaggio, la qualità dei prodotti e dei servizi forniti dalla società che metteva a disposizione l’ambito buono omaggio. In altri casi ancora, gli spammer hanno sottolineato con enfasi la buona sorte da cui era stato “baciato” l’utente, grazie alla quale era stato casualmente selezionato l’indirizzo di posta elettronica del destinatario del messaggio, il quale avrebbe potuto così ricevere un generoso regalo, in segno di riconoscenza per l’utilizzo da egli fatto dei prodotti o dei servizi del brand in questione. Nella circostanza, i messaggi di posta fraudolenti venivano inviati in maniera casuale, utilizzando appositi database di indirizzi precedentemente raccolti dagli spammer, e non necessariamente appartenenti agli effettivi clienti delle aziende menzionate nelle e-mail di spam.

Allo scopo di confermare l’ottenimento del buono regalo, si invitava l’utente a cliccare sul collegamento inserito nel messaggio, un link collocato su un dominio vuoto, e contenente, tra l’altro, menzioni esplicite, quali, ad esempio, “vincitore del giorno”. In seguito, attraverso un apposito redirect, l’utente-vittima sarebbe giunto su un sito web appena creato, provvisto di un banner elaborato nel tipico stile del marchio a nome del quale veniva realizzato il mailing. Qui, sarebbe stato comunicato all’utente che il numero dei buoni disponibili era limitato, mentre gli aspiranti erano in realtà molti; per tale motivo, il “cliente” avrebbe avuto a disposizione soltanto un minuto e mezzo per cliccare sul link, ed accordare in tal modo il proprio consenso al ricevimento dell’omaggio. Successivamente, dopo un breve sondaggio, realizzato più o meno nel classico stile “Con quale frequenza utilizza i nostri servizi?” e “Per quale acquisto intende poi spendere il buono omaggio?”, veniva richiesto, all’utente, di inserire i propri dati personali nell’apposito modulo. Infine, il “fortunato” sarebbe stato rediretto verso la pagina “Secure Payment”, all’interno della quale egli avrebbe dovuto immettere tutti i dati relativi alla propria carta di credito e pagare, così, per coprire determinate spese, un importo davvero esiguo (nel caso da noi esaminato si trattava di 1 corona).

A giudicare da varie recensioni individuate sul web, in alcune varianti della truffa relativa ai falsi buoni regalo, è stato proposto alla potenziale vittima, dopo il click effettuato dalla stessa sul link presente nel messaggio di posta ricevuto, di telefonare al numero indicato, allo scopo di sottoporsi ad un rapido sondaggio telefonico, anziché riempire l’apposito questionario predisposto online. Un simile schema fraudolento è ugualmente piuttosto diffuso; esso consiste, in pratica, nel trattenere a lungo, al telefono, il “cliente”, su una linea a pagamento, finché quest’ultimo non interrompe la chiamata, lasciando così perdere il tentativo di ottenere la “generosa” ricompensa promessa.

Come nel caso specifico delle offerte relative ai test da effettuare sui più svariati prodotti, anche i messaggi e-mail riconducibili a tale tematica sono risultati essere inviati tramite falsi indirizzi di posta elettronica, situati su domini assolutamente vuoti, oppure creati di recente, e non collegati in alcun modo con le note organizzazioni indebitamente chiamate in causa dai cyber criminali per la distribuzione dei fantomatici buoni regalo “promessi”.

Le statistiche del terzo trimestre 2016

Quota di spam nel traffico di posta elettronica

spam_q3_2016_it_11

Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale –
Secondo e terzo trimestre 2016

Nel terzo trimestre del 2016 la quota più elevata di messaggi e-mail indesiderati è stata riscontrata, in seno ai flussi globali di posta elettronica, nel mese di settembre (61,25%). Complessivamente, l’indice relativo ai messaggi di spam presenti all’interno del traffico e-mail mondiale si è attestato su un valore medio pari al 59,19% del volume totale dei messaggi di posta circolanti in Rete; tale quota è quindi risultata significativamente superiore (di quasi 2 punti percentuali) rispetto all’analogo valore rilevato nel trimestre precedente.

Geografia delle fonti di spam

spam_q3_2016_it_12

Geografia delle fonti di spam rilevate nel terzo trimestre del 2016 – Graduatoria su scala mondiale

Nel terzo trimestre dell’anno in corso è sensibilmente aumentata (+ 4 punti percentuali) la quota ascrivibile all’India (14,02%); il Paese asiatico è in tal modo andato ad occupare la prima posizione della speciale graduatoria da noi stilata, relativa alle fonti geografiche dello spam mondiale, ovvero i Paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura”. Al secondo posto del rating si conferma il Vietnam (11,01%); l’indice percentuale attribuibile al Paese situato nel Sud-Est asiatico ha complessivamente fatto registrare un aumento pari ad 1 punto percentuale. Il terzo gradino del “podio virtuale” è andato ad appannaggio degli USA (8,88%), al primo posto nel ranking relativo al trimestre precedente; nel periodo qui preso in esame la quota inerente agli Stati Uniti ha fatto segnare un decremento quantificabile in 1,9 punti percentuali.

Così come nel trimestre precedente, alla quarta e alla quinta posizione del rating troviamo, rispettivamente, Cina (5,02%) e Messico (4,22%). Seguono poi, in classifica, Brasile (4,01%), Germania (3,80%) e Russia (3,55%). Come era avvenuto nel secondo trimestre dell’anno, chiude infine la TOP-10 delle fonti di spam la Turchia (2,95%).

Dimensioni dei messaggi di spam

spam_q3_2016_it_13

Dimensioni delle e-mail di spam – Secondo e terzo trimestre del 2016 a confronto

Come da tradizione ormai consolidata, anche nel trimestre oggetto del presente report, il quadro relativo alla ripartizione delle e-mail indesiderate in base alle dimensioni delle stesse vede nuovamente prevalere, con il solito ampio margine percentuale, i messaggi “spazzatura” aventi dimensioni estremamente contenute, sino a 2 kilobyte (55,78%). La quota percentuale ad essi ascrivibile è risultata in progressiva e sensibile diminuzione lungo tutto l’arco del 2016; nel terzo trimestre dell’anno corrente, tale indice ha evidenziato un’ulteriore, notevole flessione, pari a 16 punti percentuali. Per contro, risulta aumentata in maniera considerevole la quota inerente alle e-mail di spam con dimensioni comprese tra i 10 Kb ed i 20 Kb; l’indice in questione, nell’arco di tre mesi, è in effetti quasi raddoppiato, passando dal 10,66% al 21,19%. Le quote relative alle altre categorie presenti in classifica hanno invece mostrato variazioni del tutto trascurabili rispetto ai valori per esse rilevati nel trimestre precedente.

Allegati dannosi rilevati nel traffico e-mail

Attualmente, la maggior parte dei programmi malware viene rilevata in maniera proattiva, per mezzo di strumenti automatici; questo complica considerevolmente la raccolta di dati statistici riguardo alle specifiche varianti di software nocivo. Abbiamo pertanto deciso di offrire un quadro più completo dal punto di vista informativo, fornendo, di fatto, le statistiche relative alla TOP-10 delle famiglie di malware maggiormente diffuse nel traffico e-mail, sulla base delle singole quote percentuali inerenti ai rilevamenti ascrivibili ad ognuna delle famiglie in questione, rispetto al numero complessivo di rilevamenti eseguiti dal nostro modulo antivirus dedicato alla posta elettronica.

TOP-10 relativa alle famiglie di malware

Notiamo innanzitutto come, anche nel terzo trimestre del 2016, la prima posizione della speciale TOP-10 da noi elaborata risulti occupata dalla famiglia di malware denominata Trojan-Downloader.JS.Agent (9,62%), abituale leader della graduatoria. La seconda posizione del rating è andata ad appannaggio della famiglia di software nocivi classificata come Trojan-Downloader.JS.Cryptoload (2,58%), il cui indice percentuale ha fatto segnare un significativo incremento, pari all’ 1,34%. Così come nel trimestre precedente, completa la classifica dei leader, in terza posizione, la famiglia denominata Trojan-Downloader.MSWord.Agent (2,34%).

Al quarto posto troviamo poi Trojan-Downloader.VBS.Agent (1,68%); nell’arco di tre mesi, la quota ascrivibile a tale famiglia di malware è lievemente diminuita (- 0,48%); ricordiamo che nell’analoga classifica relativa al secondo trimestre dell’anno in corso, i programmi maligni appartenenti alla famiglia in questione occupavano la seconda posizione del ranking. Alla quinta posizione della speciale TOP-10, infine, spicca la presenza di Trojan.Win32.Bayrob (0,94%).

spam_q3_2016_it_14

TOP-10 relativa alle famiglie di malware maggiormente diffuse nel traffico e-mail globale –
Situazione riguardante il terzo trimestre del 2016

Le “new entry” della graduatoria qui sopra riportata si sono tutte quante collocate nella seconda metà della classifica da noi stilata. In settima posizione troviamo, innanzitutto, la famiglia classificata con la specifica denominazione di Worm.Win32.WBVB (0,60%). Fanno parte di tale famiglia di malware dei file eseguibili scritti nel linguaggio di programmazione Visual Basic 6 (sia in modalità P-code che in modalità Native), i quali non risultano attendibili nell’ambito della rete globale di sicurezza KSN (Kaspersky Security Network), da noi implementata in-the-cloud. Il rilevamento di tali software nocivi ha luogo esclusivamente attraverso il componente di sicurezza “Anti-Virus Posta”. Il modulo “Anti-Virus File”, invece, identifica con tale verdetto oggetti maligni i cui nomi traggono in inganno gli utenti; si tratta, ad esempio, di denominazioni fasulle quali AdobeFlashPlayer, InstallAdobe, etc.

All’ottava posizione della graduatoria qui analizzata troviamo poi la famiglia di malware denominata Trojan.JS.Agent (0,54%). Tipico rappresentante di questa insidiosa famiglia di software malevoli può essere un file che presenta una delle seguenti estensioni: .wsf, .html, .js ed altre ancora. Tale malware viene utilizzato per raccogliere informazioni sul browser, sul sistema operativo e sul software in uso presso l’utente, sfruttando le eventuali vulnerabilità individuate in tali elementi. Se nel sistema sottoposto ad attacco viene rilevata la presenza del software vulnerabile che i cyber criminali intendono colpire, un apposito script tenterà di lanciare l’esecuzione di uno script dannoso o di un’applicazione nociva, ricorrendo ad un determinato link predisposto dai cyber criminali.

Anche la nona posizione della nostra TOP-10 risulta occupata da una “new entry”: si tratta, più precisamente, di Trojan-Downloader.MSWord.Cryptoload (0,52%). Ci troviamo di fronte, in genere, ad un documento con estensione .doc o .docx, contenente uno script che può essere eseguito in MS Word (Visual Basic for Applications). Lo script, a sua volta, contiene tutte le procedure necessarie per poter stabilire la connessione, ed eseguire il download, salvare e lanciare l’esecuzione di un file dannoso – di solito un Trojan crittografico.

Chiude infine la speciale TOP-10 la famiglia di programmi malware denominata Trojan.Win32.Agent (0,51%), la quale, nell’analoga graduatoria relativa al trimestre precedente, occupava la settima posizione del ranking.

Paesi maggiormente bersagliati dai mailing di massa dannosi

spam_q3_2016_it_15

Ripartizione per Paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del terzo trimestre del 2016

Nel terzo trimestre del 2016, la quota percentuale più elevata, in termini di rilevamenti effettuati dal nostro modulo antivirus dedicato alla posta elettronica, è stata fatta registrare dalla Germania (13,21%); tale Paese continua a detenere l’indesiderata leadership della speciale classifica, nonostante l’indice ad esso attribuibile abbia fatto segnare un’ulteriore diminuzione (- 1,48%). Osserviamo, inoltre, come sul secondo gradino del “podio” virtuale si sia insediato il Giappone (8,76%); la quota relativa al Paese del Sol Levante ha fatto complessivamente registrare, nel corso del trimestre qui preso in esame, un aumento pari a 2,36 punti percentuali. Ricordiamo, a tal proposito, che nel trimestre precedente il Giappone occupava la terza posizione del rating. La composizione della classifica dei Paesi leader viene completata dal terzo posto della Cina (8,37%); il “colosso” dell’Estremo Oriente ha tuttavia visto la propria quota diminuire di ben 5,23 punti percentuali.

La Russia, da parte sua, è andata ad occupare la quarta posizione della graduatoria; l’indice ascrivibile alla Federazione Russa (5,54%) ha fatto segnare, nel terzo trimestre, un aumento piuttosto significativo, pari all’ 1,14%. Al quinto posto del ranking troviamo poi l’Italia (5,01%). Gli USA (4,15%), così come nel secondo trimestre dell’anno in corso, si sono collocati in settima posizione. La decima posizione della graduatoria da noi stilata risulta infine occupata dall’Austria (2,54%).

Phishing

Nel terzo trimestre del 2016, grazie al sistema “Anti-phishing” sono stati prevenuti e neutralizzati ben 37.515.531 tentativi, da parte degli utenti dei prodotti Kaspersky Lab, di accedere a pagine web di phishing. Si tratta, complessivamente, di circa 5,2 milioni di rilevamenti in più rispetto all’analogo valore riscontrato relativamente al trimestre precedente. In totale, lungo tutto l’arco del trimestre qui preso in esame, è stato attaccato, dai phisher, il 7,75% del numero complessivo di utenti unici dei prodotti Kaspersky Lab, ubicati nei vari Paesi del globo.

Geografia degli attacchi

Così come nel secondo trimestre dell’anno corrente, la quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Cina – 20,21%. L’indice relativo al Paese asiatico ha fatto registrare, nel terzo trimestre del 2016, un decremento quasi impercettibile, pari allo 0,01%.

spam_q3_2016_it_16

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al terzo trimestre del 2016

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel Paese.

Rileviamo, poi, una lieve diminuzione (- 0,4 %) della quota inerente agli utenti bersagliati dagli attacchi di phishing in Brasile (18,23%); l’indice riguardante gli Emirati Arabi Uniti (11,07%), per contro, è cresciuto dello 0,88%. Questi due Paesi sono andati ad occupare, rispettivamente, il secondo e il terzo posto del ranking da noi elaborato. Seguono poi, all’interno della nostra TOP-10, Australia (10,48%; -2,29 p.p.) ed Arabia Saudita (10,13%; +1,5 p.p.).

TOP-10 relativa ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Cina 20,21%
Brasile 18,23%
Emirati Arabi Uniti 11,07%
Australia 10,48%
Arabia Saudita 10,13%
Algeria 10,07%
Nuova Zelanda 9,7%
Macao 9,67%
Territori Palestinesi 9,59%
Sudafrica 9,28%

Nel terzo trimestre dell’anno in corso, la quota relativa agli utenti sottoposti ad attacco entro i confini del territorio russo si è attestata su un valore medio del 7,74%. Seguono, all’interno della speciale classifica, separati da un lieve gap percentuale, Canada (7,16%), Stati Uniti (6,56%) e Gran Bretagna (6,42%).

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Graduatoria delle organizzazioni – suddivise in categorie – prese di mira dai phisher

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli attacchi di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare tutte le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link malevoli presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – nel caso in cui i collegamenti ipertestuali che conducono a tali pagine non risultino ancora inseriti nei database di Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Nel terzo trimestre del 2016, nell’ambito della speciale classifica riservata alle organizzazioni sottoposte con maggiore frequenza agli attacchi condotti dai phisher, la quota inerente ai rilevamenti eseguiti riguardo alla categoria denominata “Organizzazioni finanziarie” (la quale riunisce, a sua volta, le singole categorie “Banche”, “Sistemi di pagamento” e “Negozi Internet”) ha costituito, da sola, oltre la metà (50,90%) del volume complessivo di attacchi di phishing individuati. L’indice ascrivibile alla categoria “Banche” è cresciuto, nell’arco del trimestre, di 1,7 punti percentuali, raggiungendo in tal modo un valore pari al 27,13%; le quote riconducibili alle categorie “Negozi Internet” (12,21%) e “Sistemi di pagamento” (11,55%) sono poi aumentate, rispettivamente, del 2,82% e dello 0,31%.

spam_q3_2016_it_17

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing
nel corso del terzo trimestre del 2016

Oltre alle società operanti nella sfera finanziaria, gli insistiti attacchi condotti dai phisher hanno colpito, con maggiore frequenza, le organizzazioni facenti parte delle seguenti categorie: “Portali Internet globali” (21,73%), “Social network e blog” (11,54%) e “Fornitori di servizi di telefonia ed Internet provider” (4,57%). Rispetto al trimestre precedente, ad ogni caso, gli indici relativi a tali categorie sono rimasti quasi invariati; per ognuno dei raggruppamenti in questione, in effetti, la differenza registrata a livello di quote, tra il secondo e il terzo trimestre dell’anno corrente, è risultata inferiore al punto percentuale.

I temi “caldi” del trimestre

Attacchi nei confronti degli utenti dei sistemi di banking online

Nel terzo trimestre dell’anno in corso, ha fatto registrare un sensibile aumento (+ 1,7 punti percentuali) la quota relativa agli utenti sottoposti ad attacco nel quadro della specifica categoria “Banche”. Ben quattro istituti bancari, tra quelli i cui clienti sono stati attaccati con maggiore frequenza dai phisher, sono risultati essere situati in Brasile. In questi ultimi anni, il Paese sudamericano è presente in pianta stabile nel rating riservato ai Paesi che evidenziano la quota più elevata di utenti insidiati dagli attacchi di phishing; periodicamente, inoltre, il Brasile va ad occupare persino il primo posto dell’indesiderata graduatoria. Naturalmente, gli utenti dei sistemi di banking online costituiscono dei target prioritari, per i cyber criminali, visto che, in caso di attacco riuscito, questi ultimi possono ricavare evidenti e consistenti profitti di natura illecita.

Nella maggior parte dei casi, i link destinati a condurre gli utenti-vittima verso le pagine web contraffatte, create per imitare i siti ufficiali dedicati all’Internet banking, vengono diffusi in Rete attraverso la posta elettronica.

spam_q3_2016_it_18

Esempio di e-mail di phishing inviata a nome di un noto istituto bancario brasiliano. Il link contenuto nel messaggio di posta elettronica conduce ad una pagina web contraffatta, elaborata in maniera tale da riprodurre la finestra di accesso ad un account personale di Internet banking.

Un “pornovirus” destinato agli utenti di Facebook

Come è noto, all’inizio del secondo trimestre dell’anno in corso, gli utenti di lingua russa del celebre social network Facebook erano risultati sottoposti ad intensi attacchi lanciati dai phisher. Avvalendosi dello stesso identico schema dannoso, dopo quasi sei mesi, i cyber criminali hanno attaccato gli utenti ubicati in territorio europeo. Nella circostanza, i cyber criminali hanno preso di mira le potenziali vittime prospettando, per queste ultime, la possibilità di visualizzare un video dai contenuti “provocanti”. Per far questo, gli utenti avrebbero dovuto recarsi su una pagina web fasulla (la pagina più “popolare”, in tal senso, si è rivelata essere quella collocata in seno al dominio <xic.graphics>), realizzata nel tipico stile di YouTube, il noto e frequentatissimo portale video.

spam_q3_2016_it_19

Esempio di notifica correlata ad un post contenente un link destinato a condurre, in apparenza, verso un non ben precisato video per adulti.

Una volta giunto sulla corrispondente pagina web di phishing, il potenziale utente-vittima sarebbe stato invitato ad effettuare il download di un’apposita estensione per il browser, la quale, al momento dell’installazione, avrebbe di fatto richiesto i diritti per poter leggere tutti i dati custoditi nel browser web. Ciò avrebbe permesso ai cyber criminali, in prospettiva, di carpire password e login via via immessi dall’utente, nonché i dati sensibili relativi alle carte di credito utilizzate da quest’ultimo, ed altre informazioni di natura confidenziale appartenenti alla vittima. L’estensione nociva, inoltre, avrebbe successivamente diffuso su Facebook, a nome del nuovo utente preso di mira, ulteriori link malevoli, destinati a condurre altre potenziali vittime verso se stessa.

Trucchi e sotterfugi utilizzati dai phisher

Così come abbiamo fatto in occasione dell’analogo report dedicato al secondo trimestre dell’anno, continuiamo a riferire in merito ai trucchi e agli espedienti che godono di maggiore popolarità presso le folte schiere dei truffatori della Rete. Gli scopi che si prefiggono di raggiungere i vari metodi malevoli adottati dai phisher sono estremamente chiari e semplici: in sostanza, tutto quanto viene ordito con il preciso intento di convincere la vittima che quest’ultima sta navigando su un sito web del tutto legittimo; al contempo, si cerca di bypassare l’azione protettiva svolta dai filtri implementati nella soluzione di sicurezza di cui dispone l’utente. Succede spesso, tuttavia, che quanto più la pagina fasulla appare convincente, per la vittima, tanto più risulta agevole, per le varie tecnologie di protezione IT indirizzate contro i cyber criminali, rilevare e neutralizzare tale pagina web.

Nomi di dominio particolarmente “attraenti”

Abbiamo già riferito, in precedenza, riguardo ad un astuto trucco adottato da certi spammer, i quali, nei messaggi di posta da essi elaborati, ricorrono all’utilizzo di link decisamente “allettanti”, preposti, in realtà, a dirigere verso insidiosi contenuti di phishing. I cyber criminali ricorrono spesso a tale metodo dannoso, indipendentemente dal modo in cui viene diffusa la pagina di phishing. Questi ultimi cercano, in tal modo, di trarre in inganno anche quegli utenti che fanno comunque attenzione all’indirizzo presente nella barra degli indirizzi, ma che, tuttavia, non sono in possesso di conoscenze tecniche sufficienti per accorgersi del trucco messo in atto.

Il dominio principale dell’organizzazione i cui utenti vengono presi di mira dall’attacco di phishing, può essere ad esempio costituito da un dominio di 13° livello:

spam_q3_2016_it_20

In alternativa, il nome di dominio primario può essere utilizzato in combinazione con altre parole ad effetto, quali, ad esempio “secure”:

spam_q3_2016_it_21

Trucchi del genere contribuiscono, indubbiamente, ad ingannare e raggirare la potenziale vittima; gli stessi, ad ogni caso, facilitano considerevolmente il rilevamento da parte dei programmi adibiti alla protezione IT.

Utilizzo di lingue diverse a seconda delle potenziali vittime prese di mira

Utilizzando le informazioni relative all’indirizzo IP della potenziale vittima, i phisher riescono a determinare il Paese in cui si trova, effettivamente, quest’ultima. L’esempio qui sotto riportato illustra come, per raggiungere tale scopo, venga fatto ricorso al servizio http://www.geoplugin.net/json.gp?ip=.

spam_q3_2016_it_22

A seconda del Paese individuato, i cyber criminali utilizzano poi, per quel che riguarda la successiva visualizzazione della pagina da parte dell’utente, lo specifico vocabolario relativo alla lingua parlata da quest’ultimo.

spam_q3_2016_it_23

Esempi di file utilizzati in qualità di vocabolario per la visualizzazione della pagina di phishing
in una determinata lingua

spam_q3_2016_it_24

Nell’esempio qui sotto inserito si prevede la distribuzione di 11 diverse varianti di una pagina web destinata a 32 diverse location:

spam_q3_2016_it_25

Esempio di script utilizzato dai phisher per distribuire la pagina in maniera “rilevante”,
a seconda dell’effettiva ubicazione geografica della vittima

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

I truffatori, naturalmente, cercano di concentrare il più possibile i loro sforzi nei confronti degli utenti dei brand che godono di maggior popolarità; questo consente ai cyber criminali del phishing di vedere considerevolmente aumentate le proprie chance di cogliere nel segno, e realizzare, quindi, attacchi di phishing dall’esito – per essi – positivo. Più della metà del numero complessivo dei rilevamenti effettuati dal componente euristico del nostro sistema “Anti-phishing” riguarda pagine web di phishing che intendono sfruttare in maniera indebita il nome e la popolarità di meno di 15 note società ed organizzazioni.

Alle tre organizzazioni più frequentemente sottoposte agli attacchi condotti dai phisher nel corso del terzo trimestre del 2016 è invece riconducibile il 21,96% del volume complessivo dei rilevamenti eseguiti grazie al componente euristico del sistema “Anti-phishing”.

Organizzazione % di rilevamenti eseguiti
Facebook 8,040955
Yahoo! 7,446908
Amazon.com 6,469801

La TOP-3 del terzo trimestre 2016, relativa ai principali obiettivi degli attacchi compiuti dai phisher – a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di cyber criminali della Rete, e sfruttate, di fatto, in qualità di vera e propria “copertura” per gli attacchi via via lanciati – risulta capeggiata da Facebook (8,1%), la cui quota, nell’arco di un trimestre, è lievemente aumentata (+ 0,07 punti percentuali). Per contro, la società Microsoft – leader dell’analoga graduatoria relativa al trimestre precedente – non fa più parte della classifica che comprende le organizzazioni attaccate più di frequente dai phisher. La seconda posizione del rating risulta poi occupata da Yahoo!; la quota ascrivibile al celebre portale Internet diffuso su scala globale (7,45%) ha fatto registrare un incremento pari allo 0,38%. Yahoo! ha in tal modo “guadagnato” una posizione in classifica rispetto al trimestre precedente. La terza posizione è andata infine ad appannaggio di Amazon (6,47%), “new entry” assoluta tra le posizioni di vertice della speciale graduatoria.

Conclusioni

Nel terzo trimestre del 2016, l’indice relativo ai messaggi di spam presenti all’interno del traffico e-mail mondiale si è attestato su un valore medio pari al 59,19% del volume totale dei messaggi di posta elettronica circolanti in Rete; tale quota è quindi risultata significativamente superiore (di quasi 2 punti percentuali) rispetto all’analogo valore medio rilevato nel trimestre precedente. La quota più elevata di messaggi e-mail indesiderati è stata riscontrata nel mese di settembre (61,25%). La prima posizione della speciale graduatoria riservata alle fonti geografiche dello spam mondiale è andata ad appannaggio dell’India (14,02%); ricordiamo che, nell’analoga classifica relativa al secondo trimestre dell’anno in corso, il Paese asiatico occupava “soltanto” il quarto posto del ranking. Oltre all’India, sono entrati a far parte della classifica dei Paesi leader anche Vietnam (11,01%) e Stati Uniti (8,88%).

Nel terzo trimestre dell’anno corrente, le prime tre posizioni del rating relativo ai Paesi maggiormente bersagliati dai mailing di massa recanti allegati maligni, sono in pratica rimaste invariate. Così come nei due trimestri precedenti, al primo posto della graduatoria si conferma in effetti la Germania, con una quota pari al 13,21%; seguono, in classifica, con un gap percentuale piuttosto marcato, Giappone (8,76%) e Cina (8,37%).

Nel terzo trimestre del 2016, i prodotti Kaspersky Lab hanno prevenuto e neutralizzato oltre 37,5 milioni di tentativi di accesso a siti web di phishing. Si tratta, complessivamente, di circa 5,2 milioni di rilevamenti in più rispetto all’analogo valore riscontrato relativamente al trimestre precedente. Target principale dei cyber criminali si sono rivelate essere le organizzazioni finanziarie, ed in primo luogo le banche; nei confronti di tale specifica categoria è stato condotto il 27,13% del volume complessivo degli attacchi di phishing rilevati nel periodo oggetto del presente report. Ben quattro istituti bancari, tra quelli i cui clienti sono stati attaccati con maggiore frequenza dai phisher, sono risultati essere situati in Brasile.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *