Spam e phishing nel primo trimestre del 2017

Contenuti

Spam: le caratteristiche peculiari del trimestre

Spam dalla botnet Necurs

Avevamo scritto, in precedenza, riguardo al repentino aumento del numero dei messaggi di spam contenenti allegati dannosi, prevalentemente Trojan crittografici. Della diffusione della maggior parte di tale genere di spam si era resa responsabile la botnet Necurs, la quale, anche al momento attuale, è ritenuta essere la botnet di spam più estesa del mondo. Verso la fine del mese di dicembre 2016, tuttavia, questa rete malevola si era sostanzialmente “acquietata”; come ha dimostrato in seguito la pratica, non si trattava affatto di una pausa dovuta alle festività di fine anno. In effetti, per quasi tutto il primo trimestre del 2017, la quantità di spam proveniente dalla botnet in questione si è mantenuta su livelli estremamente bassi.

Ma per quale motivo si sono arrestati i flussi di spam? Eppure, sappiamo bene che la botnet è ancora attiva, che i bot sono sempre in attesa dei relativi comandi. È possibile che i cybercriminali si siano in qualche modo “spaventati” a causa del crescente clamore sollevato dai malware crittografici, ed abbiano pertanto deciso di sospendere temporaneamente i loro mailing di massa.

Ad ogni caso, continuiamo a rilevare l’effettuazione di campagne di spam nocivo, condotte, presumibilmente, attraverso la botnet Necurs; l’entità delle stesse, tuttavia, si rivela essere solo un’esigua frazione percentuale degli imponenti volumi fatti invece registrare nello scorso mese di dicembre:

Spam e phishing

Numero di messaggi e-mail nocivi catturati attraverso le speciali “trappole” antispam da noi allestite; si tratta di messaggi di posta inviati, presumibilmente, dalla botnet Necurs

I messaggi e-mail, così come in precedenza, sono apparsi camuffati sotto forma di fatture di vario genere, e di altri documenti “ufficiali”:

Spam e phishing

In qualità di allegato, nell’e-mail qui sopra inserita, si trovava un documento MS Word contenente una macro malevola, preposta a generare il download, sul computer-vittima, di un temibile malware crittografico riconducibile alla famiglia Rack (rilevato come Trojan.NSIS.Sod.jov).

Per quel che riguarda la botnet in causa, oltre ai mailing dannosi qui sopra descritti, è stata ugualmente individuata la conduzione di una specifica campagna fraudolenta di tipo “pump-and-dump”, volta a gonfiare ad arte i prezzi relativi ad azioni a bassa capitalizzazione:

Spam e phishing

I mailing inerenti a tale tematica, in genere, si caratterizzano per i loro volumi decisamente imponenti, e per la loro brevissima durata. Questo è essenzialmente dovuto al fatto che i truffatori hanno assoluto bisogno di realizzare piuttosto velocemente l’operazione “pump-and-dump”, prima che le loro manovre speculative vengano smascherate in borsa. Una simile frode borsistica è peraltro perseguibile dalla legge; i malfattori, quindi, cercano di condurre in porto l’operazione truffaldina nel giro massimo di un paio di giorni. La botnet Necurs, per l’appunto, si rivela particolarmente adatta per raggiungere un simile scopo, vista l’elevata potenza di cui essa dispone: i ricercatori stimano le sue attuali dimensioni in oltre 200.000 bot.

Una diminuzione così repentina dei volumi dello spam nocivo adibito alla diffusione di temibili malware crittografici significa forse che questa tipologia di mailing di massa ha ormai superato il proprio picco e che, adesso, si sta ormai esaurendo? Le cose, purtroppo, non stanno in questi termini.

Come evidenzia il grafico qui sotto riportato, il volume complessivo dei programmi malware rilevati all’interno dei flussi e-mail è sì diminuito rispetto al trimestre precedente, ma non in maniera così drastica — soltanto di 2,4 volte.

Spam e phishing

Numero di rilevamenti effettuati dal modulo antivirus e-mail presso i clienti di Kaspersky Lab –
4° trimestre del 2016 e 1° trimestre del 2017 a confronto

I mailing maligni vengono di fatto condotti così come in precedenza, e sebbene il loro volume sia complessivamente diminuito, i cybercriminali continuano tuttora ad utilizzare i metodi più svariati sia per bypassare le soluzioni di sicurezza, sia per cercare di ingannare e raggirare gli utenti.

Messaggi e-mail dannosi con archivio protetto da password

Nel corso del primo trimestre abbiamo osservato una precisa tendenza, per ciò che riguarda il fatto di rendere più complesso il rilevamento dei messaggi di posta nocivi; nella fattispecie, il metodo utilizzato dai malintenzionati si basa, in pratica, sulla compressione, all’interno di un archivio protetto da password, del malware da distribuire.

Per cercare poi di indurre la potenziale vittima ad aprire il file archivio in questione, i malintenzionati si sono avvalsi dei consueti metodi di stampo “classico”, mascherando quindi i messaggi e-mail sotto forma di notifiche relative ad ordini piazzati presso importanti negozi online, oppure in veste di fatture di vario genere, trasferimenti di denaro e curriculum vitae, o magari promettendo all’utente consistenti somme di denaro.

I file archivio allegati ai messaggi di posta contenevano, in genere, documenti Office provvisti di macro malevole, oppure, in alternativa, di insidiosi script Javascript. Una volta avviati, questi file avrebbero scaricato sul computer dell’utente ulteriori software nocivi. Un elemento di notevole interesse è di sicuro rappresentato dal fatto che, dopo l’evidente diminuzione del livello di attività della botnet Necurs, il payload nocivo distribuito attraverso lo spam è divenuto particolarmente vario. I malintenzionati, in effetti, hanno cercato di recapitare agli utenti sia i famigerati software estorsori (ransomware), sia programmi spyware di vario tipo, così come backdoor ed una nuova variante del tristemente noto Trojan Zeus.

Spam e phishing

Negli allegati contenuti nelle e-mail esemplificative qui sopra inserite, si trovano dei documenti Microsoft Word provvisti di macro dannose, adibite al download — da domini .onion situati in varie pseudo-zone — di alcune varianti di un Trojan crittografico appartenente alla famiglia Cerber. Tale malware provvede a cifrare, in maniera selettiva, i dati presenti sul computer dell’utente-vittima, per poi richiedere il pagamento del relativo riscatto attraverso un sito nascosto nei meandri della rete anonima Tor.

Spam e phishing

Nell’archivio .zip allegato al messaggio di posta si trova il file <Richard-CV.doc>, il quale contiene una macro malevola preposta a generare il download, dal dominio onion.nu, di determinati “rappresentanti” della famiglia di Trojan-spyware denominata Fareit; questi ultimi raccolgono informazioni confidenziali riguardanti l’utente preso di mira, e trasmettono poi le stesse al server remoto allestito dai cybercriminali.

Spam e phishing

Si tratta di un ulteriore caso in cui è previsto il download di un temibile Trojan-spyware, stavolta riconducibile alla famiglia Pinch. Il programma maligno in questione raccoglie password, indirizzi di posta elettronica, informazioni sulla configurazione del sistema e sulle specifiche impostazioni del relativo registro. Vengono raccolte, tra le altre cose, informazioni sia dai servizi di messaggistica istantanea, sia dai client di posta elettronica. I dati così carpiti vengono sottoposti a codifica, per poi essere trasmessi tramite e-mail ai malintenzionati di turno. Secondo i dati di cui disponiamo, ottenuti attraverso il KSN, il programma malware in causa risulta diffuso, principalmente, sul territorio di Russia, India ed Iran.

È di particolare interesse osservare come i messaggi e-mail preposti a distribuire tali programmi spyware siano stati camuffati in veste di ordinaria corrispondenza aziendale. I messaggi, inoltre, venivano inviati a nome di varie società, effettivamente esistenti, di piccole e medie dimensioni, con tanto di relative firme ed informazioni di contatto, e non per conto di organizzazioni, per così dire, “astratte”.

L’esempio qui sotto inserito, a differenza degli altri, non evidenzia la presenza di un archivio protetto da password. La specifica menzione riguardo alla necessità di inserire la password è, nella circostanza, un semplice trucco: lo scopo dei malintenzionati, in effetti, è quello di far sì che la potenziale vittima attivi le macro di Microsoft Word, disabilitate di default, e che possa quindi entrare in azione lo script malevolo previsto.

Spam e phishing

L’effettivo contenuto dell’e-mail esemplificativa qui sopra riportata è rappresentato da un documento protetto da password, il quale cela uno script in Visual Basic adibito a generare il download, sui computer-vittima, del bot Andromeda. Quest’ultimo si connette con il relativo centro di comando e controllo, e rimane in attesa dei comandi impartiti dai cybercriminali. Le funzionalità di cui è provvisto tale malware si sono rivelate molto ampie; tra l’altro, esso è in grado di scaricare sul computer dell’utente ulteriori programmi malware.

Spam e phishing

Questa e-mail, mascherata sotto forma di notifica proveniente (in apparenza!) da un negozio online, contiene anch’essa uno script nocivo. Dopo l’inserimento della password, e una volta avviata l’esecuzione del contenuto dannoso, all’interno della directory %TEMP% viene creato il file <Receipt_320124.lnk>. Quest’ultimo, a sua volta, effettua l’upload, sul computer preso di mira, di un Trojan bancario appartenente alla famiglia Sphinx, il quale, di fatto, altro non è se non una variante del più datato e celebre Trojan Zeus.

Come si può vedere, i più diversi mailing contenenti allegati maligni recapitano, adesso, file compressi all’interno di archivi protetti da password. Molto probabilmente, questa tendenza è destinata a mantenersi tale anche nell’immediato futuro: un documento protetto da password, in effetti, può apparire, agli occhi dell’utente, persino più attendibile di un documento “comune”, mentre il file malevolo in questione può costituire un effettivo problema per le soluzioni di sicurezza.

Lo spam attraverso i servizi online del tutto legittimi

Le attuali piattaforme virtuali per comunicare e socializzare in Rete (servizi di messaggistica istantanea, social network) vengono anch’esse attivamente utilizzate dagli spammer, allo scopo di diffondere proposte ed offerte di natura pubblicitaria o fraudolenta. Nell’ambito dei social network, ad esempio, certi malintenzionati registrano appositamente degli account preposti all’invio di spam; inoltre, per conferire ai post in questione maggiore veridicità e credibilità, essi ricorrono all’utilizzo degli stessi metodi impiegati nel caso dei mailing tradizionali, realizzati tramite la posta elettronica (ad esempio, i dati personali dell’account, e quelli inseriti nel messaggio inviato, risultano perfettamente identici). Attraverso il traffico e-mail e le reti sociali possono essere in pratica trasmesse le stesse identiche tipologie di spam, quali, ad esempio, le famigerate “lettere nigeriane”, proposte di ogni genere per realizzare rapidi guadagni, e molte altre ancora. Le notifiche relative al ricevimento dei messaggi giungono, abitualmente, sulla casella di posta elettronica del destinatario; in questo caso, le intestazioni tecniche presenti sul messaggio e-mail appariranno completamente legittime, per cui risulterà possibile identificare lo spam soltanto in base al contenuto dell’e-mail stessa. Come è noto, lo spam inviato direttamente attraverso la posta elettronica può essere rilevato anche in funzione delle intestazioni tecniche in esso presenti. Individuare e-mail del genere non rappresenta un compito particolarmente complesso, per i filtri antispam, a differenza di quanto avviene, invece, con i messaggi inviati attraverso i servizi online del tutto legittimi, soprattutto nel caso in cui l’indirizzo del servizio di riferimento risulti già aggiunto, presso l’utente, all’elenco dei servizi attendibili.

Spam e phishing

Gli attuali filtri antispam dedicati alla posta elettronica riescono a svolgere efficacemente il compito per il quale risultano preposti, ovvero rilevare i messaggi di spam inviati mediante l’utilizzo del metodo “classico”. Gli spammer si vedono pertanto costretti, da parte loro, a ricercare nuovi metodi per tentare di eludere l’azione protettiva svolta da tali filtri.

Spam e festività

Nel primo trimestre dell’anno in corso, il cosiddetto spam “festivo” è stato dedicato, in particolar modo, al Capodanno, al Giorno di San Patrizio, alla Pasqua e alla Festa di San Valentino. Come al solito, le società di piccole e medie dimensioni hanno pubblicizzato i servizi ed i prodotti da esse offerti, ed hanno ugualmente proposto allettanti sconti in occasione delle festività sopra menzionate. Da parte loro, le consuete offerte commerciali via e-mail provenienti dalle fabbriche cinesi sono state ampiamente dedicate al Capodanno cinese, la tradizionale Festa di Primavera celebrata, quest’anno, alla metà del mese di febbraio.

Spam e phishing

Gli spammer hanno inoltre provveduto a distribuire molteplici proposte relative all’effettuazione di sondaggi ed al conseguente ottenimento di coupon sconto o carte regalo riguardanti alcuni dei principali negozi Internet; tutto questo, ovviamente, con la precisa intenzione di raccogliere le informazioni personali ed i contatti dei destinatari dei messaggi.

Il repentino aumento dello spam B2B

Nel trimestre appena trascorso abbiamo ugualmente individuato un’elevata quantità di messaggi di spam contenenti offerte di acquisto di database particolarmente mirati, relativi a società ed imprese, e suddivisi in base ai vari settori di attività. Questa singolare tipologia di spam continua a rimanere piuttosto diffusa, tra gli spammer, ed è prevalentemente rivolta alle società commerciali o a singoli esponenti – di primaria importanza – delle imprese; il target di tali campagne di spam non è quindi rappresentato dagli utenti ordinari. Per tale motivo, simili messaggi e-mail vengono inviati principalmente in base ad uno specifico elenco di contatti, o di indirizzi, relativi a società facenti parte di un determinato segmento delle attività di business – elenco ottenuto, in genere, con le medesime modalità, ovvero facendo ricorso allo spam.

Spam e phishing

Le offerte vengono inviate a nome di specifiche società o dei rappresentanti delle stesse; spesso, ad ogni caso, tali e-mail possono anche risultare elaborate in maniera del tutto impersonale.

Gli spammer, di fatto, dispongono di specifici database relativi alle società operanti in qualsiasi segmento di attività commerciale o industriale che possa rivelarsi di particolare interesse; inoltre, gli spammer sembrano avere a loro disposizione anche i contatti relativi a coloro che prendono parte ad importanti eventi fieristici, seminari, forum e manifestazioni di altro genere. Per suscitare in maniera ancora maggiore l’interesse dei destinatari dei messaggi, gli spammer offrono, spesso, l’invio gratuito di alcuni contatti, ricavati dalle “raccolte” in loro possesso.

Le statistiche del primo trimestre 2017

Quota di spam nel traffico di posta elettronica

Spam e phishing

Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale –
4° trimestre 2016 e 1° trimestre 2017 a confronto

Rispetto all’ultimo trimestre del 2016, nei primi tre mesi del 2017 è stata osservata, nel traffico e-mail globale, una significativa diminuzione della quota percentuale complessiva di spam. In gennaio, tale importante indice è sceso al 55,05%; nel successivo mese di febbraio, la quota di spam presente nei flussi e-mail mondiali è ulteriormente diminuita, attestandosi su un valore medio del 53,4%. Già nel mese di marzo, tuttavia, il livello di spam ha mostrato un’evidente tendenza al rialzo, ed ha così raggiunto il 56,9%. Riassumendo, nel primo trimestre del 2017 la quota relativa ai messaggi di spam presenti all’interno del traffico di posta elettronica mondiale si è attestata su un valore medio pari al 55,9% del volume totale dei messaggi e-mail circolanti in Rete.

Spam e phishing

Quote percentuali di spam rilevate nel traffico di posta elettronica russo –
4° trimestre 2016 e 1° trimestre 2017 a confronto

La situazione che caratterizza il traffico di spam all’interno del segmento russo di Internet si è differenziata in maniera sensibile rispetto alla situazione dello spam osservata su scala mondiale. Nel mese di gennaio 2017, la quota relativa alla corrispondenza e-mail indesiderata ha in effetti sfiorato il 63%, per poi mantenersi nel range 60-63% sino alla fine del trimestre. In febbraio, come nel caso del traffico mondiale di spam, si è comunque verificata una diminuzione del valore di tale significativo indice statistico (60,35%); nel successivo mese di marzo si è infine registrato un nuovo aumento dello stesso, anche se in termini decisamente contenuti (61,65%). Nel primo trimestre dell’anno in corso, la quota relativa ai messaggi di spam rilevati nei flussi e-mail presenti all’interno della Federazione Russa, si è attestata su un valore medio pari al 61,66%.

Geografia delle fonti di spam

Spam e phishing

Geografia delle fonti di spam rilevate nel primo trimestre del 2017 – Graduatoria su scala mondiale

Nel primo trimestre del 2017, la leadership della speciale graduatoria relativa alle fonti geografiche dello spam mondiale, riguardante i paesi dal cui territorio sono state distribuite in Rete – verso tutti e cinque i continenti – le maggiori quantità di e-mail indesiderate, è andata nuovamente ad appannaggio degli Stati Uniti (18,75%). Sul secondo e sul terzo gradino del “podio” virtuale – con un notevole gap percentuale rispetto al leader, ma con quote pressoché identiche – si sono collocati due paesi situati nella macro-regione Asia-Pacifico, ovvero Vietnam (7,86%) e Cina (7,77%).

Sono inoltre entrati a far parte delle prime dieci posizioni del ranking qui sopra inserito i seguenti paesi: la Federazione Russa (4,93%) Francia (4,41%), Brasile (3,44%), Polonia (1,90%) e Paesi Bassi (1,85%).

Dimensioni dei messaggi di spam

Spam e phishing

Dimensioni delle e-mail di spam – 4° trimestre 2016 e 1° trimestre 2017 a confronto

Nel primo trimestre del 2017, all’interno dei flussi globali di spam, ha fatto segnare un sensibile decremento la quota relativa ai messaggi di posta elettronica aventi dimensioni estremamente contenute (sino a 2 kilobyte); tale indice si è in effetti attestato su un valore medio pari al 29,17%, ovvero -12,93 punti percentuali rispetto all’analoga quota riscontrata nel quarto trimestre del 2016. Continuano a diminuire in maniera significativa anche le quote inerenti alle e-mail “spazzatura” con dimensioni comprese tra i 2 Kb ed i 5 Kb (3,74%) e tra i 5 Kb ed i 10 Kb (7,83%) .

Per contro, sono aumentati in modo considerevole gli indici percentuali relativi ai messaggi di spam aventi dimensioni tra i 10 ed i 20 Kb (25,61%), e tra i 20 ed i 50 Kb (28,04%). Si conferma, quindi, la tendenza generale complessivamente emersa, all’interno del traffico di spam, nell’anno 2016: diminuisce il numero delle e-mail caratterizzate da dimensioni estremamente ridotte, mentre fanno registrare un pronunciato aumento, a livello di quantità, i messaggi di spam di medie dimensioni.

Allegati maligni: le famiglie di malware maggiormente diffuse

TOP 10 relativa alle famiglie di malware

Anche nel primo trimestre del 2017, la famiglia di software nocivi maggiormente diffusa nel traffico e-mail mondiale si è rivelata essere Trojan-Downloader.JS.Agent (6,14%). Segue, all’interno della speciale graduatoria, Trojan-Downloader.JS.SLoad (3,79%). Al terzo posto del rating troviamo poi la famiglia di malware denominata Trojan-PSW.Win32.Fareit (3,10%).

Spam e phishing

TOP 10 relativa alle famiglie di malware maggiormente diffuse nel traffico e-mail globale –
Situazione riguardante il primo trimestre del 2017

La quinta posizione della speciale ТОР 10 da noi stilata risulta invece occupata dalla famiglia Backdoor.Java.Adwind (2,36%). Si tratta di una backdoor multifunzionale, di tipo cross-platform, scritta in linguaggio Java e venduta negli oscuri meandri della Darknet nello specifico formato “Malware-as-a-Service” (MaaS). Questo temibile software nocivo è ugualmente noto con i nomi di AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat. In genere, esso viene distribuito attraverso i flussi di posta elettronica, sotto forma di allegati provvisti di estensione JAR.

Fra le “new entry” della TOP 10, notiamo inoltre la presenza della famiglia classificata con la denominazione di Trojan-Dropper.JS.Agent (1,27%), collocatasi al nono posto del ranking. Si tratta di uno script JS, il quale contiene, al suo interno, un malware che esso provvede ad installare sul computer-vittima, per poi avviarne l’esecuzione.

Chiude infine la nostra TOP 10 la famiglia di malware denominata Trojan-Downloader.VBS.Agent (1,26%).

Paesi maggiormente bersagliati dai mailing di massa maligni

Spam e phishing

Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del primo trimestre del 2017

Nel primo trimestre dell’anno in corso, la quota percentuale più elevata, in termini di rilevamenti effettuati dal nostro modulo antivirus dedicato alla posta elettronica, è stata fatta registrare dalla Cina (18,23%). Il secondo gradino del “podio” virtuale risulta occupato dalla Germania (11,86%), leader dell’analoga graduatoria complessiva riguardante l’intero 2016. Al terzo posto del rating qui esaminato è andata a collocarsi la Gran Bretagna, con una quota pari all’8,16%.

Seguono poi, in classifica, Italia (7,87%), Brasile (6,04%) e Giappone (4,04%). Da parte sua, la Russia occupa la settima posizione della speciale graduatoria, con un indice del 3,93%. Al nono posto del ranking da noi stilato troviamo poi gli Stati Uniti, la cui quota si è attestata su un valore pari al 2,46%. L’ultima posizione della TOP-10 risulta infine occupata dal Vietnam (1,94%).

Phishing

Nel primo trimestre del 2017, grazie al sistema “Anti-phishing” sono stati prevenuti e neutralizzati ben 51.321.809 tentativi, da parte dell’utente, di accedere a pagine web di phishing. In totale, lungo tutto l’arco del trimestre qui preso in esame, è stato attaccato, dai phisher, il 9,31% del numero complessivo di utenti unici dei prodotti Kaspersky Lab, ubicati nei vari paesi del globo.

Geografia degli attacchi

Così come nei trimestri precedenti, la quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Cina (20,88%). L’indice relativo al paese asiatico ha tuttavia fatto registrare un lieve decremento, pari all’1,67%.

Spam e phishing

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al primo trimestre del 2017

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

Il secondo posto della speciale graduatoria è andato ad appannaggio del Brasile (19,16%); la quota inerente al paese sudamericano è diminuita di 0,8 punti percentuali rispetto all’analogo valore per esso rilevato nel trimestre precedente. Sul terzo gradino del “podio” virtuale, per quel che riguarda il primo trimestre dell’anno in corso, troviamo Macao (11,94%), il cui indice ha invece fatto segnare un incremento pari allo 0,91%. La Russia, da parte sua, non è entrata a far parte della “trojka” dei paesi leader della TOP 10 geografica del phishing, ed è andata a collocarsi alla quarta piazza del rating (11,29%; + 0,73%). Il quinto posto della classifica da noi stilata, come evidenzia la tabella qui sotto inserita, risulta poi occupato dall’Australia (10,73%; – 0,37%).

TOP 10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Paese %
Cina 20,87%
Brasile 19,16%
Macao 11,94%
Russia 11,29%
Australia 10,73%
Argentina 10,42%
Nuova Zelanda 10,18%
Qatar 9,87%
Kazakhstan 9,61%
Taiwan 9,27%

Nella seconda parte della graduatoria, oltre la quinta posizione, spicca infine la presenza dei seguenti paesi: Argentina (10,42%; + 1,78%), Nuova Zelanda (10,18%), Qatar (9.87%), Kazakhstan (9.61%) e Taiwan (9.27%).

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Graduatoria delle organizzazioni – suddivise in categorie – prese di mira dai phisher

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link malevoli presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – se i collegamenti ipertestuali che conducono a tali pagine non risultano ancora inseriti nei database di Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Nel primo trimestre del 2017, oltre la metà dei rilevamenti eseguiti dal sistema “Anti-phishing” è stata generata da pagine web di phishing in cui si menzionavano brand appartenenti alle categorie “Banche” (25,82%; – 0,53%), “Sistemi di pagamento” (13,6%; + 2,23%) e “Negozi Internet” (10,89%; + 0,48%). Complessivamente, si è rivelato ascrivibile alla categoria “Finanze” oltre il 50% degli attacchi di phishing.

Spam e phishing

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del primo trimestre del 2017

Nel primo trimestre, oltre alle società operanti nella sfera finanziaria, gli insistiti attacchi condotti dai phisher hanno colpito, con maggiore frequenza, le organizzazioni facenti parte della categoria “Portali Internet globali” (19,1%), la cui quota, rispetto ai valori rilevati nel trimestre precedente, è ad ogni caso diminuita di 5,25 punti percentuali. Sono ugualmente diminuiti, seppur in maniera non particolarmente significativa, anche gli indici percentuali relativi alle categorie “Social network” (9,56%; – 0,32%) e “Società di telecomunicazioni” (5,93%; – 0,83%). Rileviamo, infine, come la categoria denominata “Giochi online” abbia fatto registrare, nel primo trimestre dell’anno in corso, un valore pari all’1,65%, mentre la quota inerente ai “Servizi di messaggistica istantanea” si è attestata all’1,53%.

TOP 3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

I massicci attacchi condotti dai phisher sono rivolti, prevalentemente, ai brand che godono di maggior popolarità: basti pensare, a tal proposito, che più della metà dei rilevamenti effettuati dal componente euristico del nostro sistema “Anti-phishing” riguarda, complessivamente, pagine web di phishing che intendono sfruttare in maniera indebita il nome e la popolarità di “sole” quindici note società ed organizzazioni.

La nostra TOP 3 è rimasta invariata per il secondo trimestre consecutivo. Così come nel trimestre precedente, in effetti, la leadership dell’importante graduatoria in questione – relativa ai principali obiettivi degli assalti compiuti dai phisher, e basata sulle quote percentuali inerenti alle menzioni rilevate, per tali brand, sulle pagine di phishing – è andata ad appannaggio della società Yahoo! (7,57%), la cui quota ha tuttavia presentato una significativa diminuzione, pari all’1,16%. Il secondo posto del rating risulta occupato da Facebook (7,24%), così come era avvenuto nel quarto trimestre del 2016; l’indice ascrivibile al celebre social network ha comunque evidenziato una leggerissima flessione, pari a 0,13 punti percentuali. Al terzo posto troviamo infine Microsoft (5,39%); risulta diminuita, dello 0,83%, anche la quota relativa al gigante di Redmond.

Organizzazione % di rilevamenti eseguiti
Yahoo! 7,57
Facebook 7,24
Microsoft Corporation 5,39

Con il preciso intento di coprire, per mezzo di un solo attacco, un pubblico più vasto possibile, i malfattori talvolta menzionano, all’interno di una singola pagina di phishing, numerosi brand, confidando nel fatto che la potenziale vittima possa “reagire” perlomeno nei confronti di uno di tali marchi. Questa specifica circostanza viene involontariamente facilitata dall’ormai diffusa funzione di autenticazione tramite le credenziali relative ad account già esistenti, utilizzata da parte di molti servizi Internet allo scopo di rendere meno complesse varie attività svolte online dai propri utenti. Quindi, proprio per tale motivo, una pagina web in cui si propone di effettuare l’accesso mediante l’utilizzo delle credenziali relative a tutta una serie di account non suscita più alcuna sorpresa. Naturalmente, tutto questo può consentire ad eventuali malintenzionati, attraverso la creazione di un’unica pagina di phishing, di poter carpire i dati confidenziali relativi agli utenti di molteplici risorse web.

Spam e phishing

Esempio di pagina web di phishing attraverso la quale si propone alla potenziale vittima – per ottenere l’accesso ad un determinato file – l’utilizzo delle credenziali relative ad altri siti web

Spam e phishing

Questa pagina di phishing si avvale di un meccanismo simile; il pretesto, stavolta, è quello di poter ottenere in maniera ancor più agevole l’accesso al servizio di file storage “Google Drive”

I temi “caldi” del trimestre

Sistemi di pagamento

Ormai da vari trimestri stiamo osservando come una significativa quota del volume complessivo dei rilevamenti eseguiti grazie al componente euristico del sistema “Anti-phishing”, riguardi le organizzazioni facenti parte della categoria “Sistemi di pagamento”; nel trimestre qui preso in esame, tale indice percentuale è risultato pari al 13,6%: ciò corrisponde, in pratica, ad un attacco di phishing su otto.

Se andiamo ad esaminare l’elenco dei sistemi di pagamento sottoposti ad attacco, a livello di organizzazioni, rileviamo come il primo posto della specifica graduatoria sia occupato da PayPal (28,25%). Seguono, all’interno della speciale classifica da noi stilata, separati da un gap percentuale decisamente contenuto, Visa (25,78%) ed American Express (24,38%).

Organizzazione %*
PayPal 28,25
Visa Inc. 25,78
American Express 24,38
MasterCard International 16,66
Altre 4,94

* Quota percentuale di attacchi rivolti alla specifica organizzazione, sul numero complessivo degli attacchi condotti nei confronti delle organizzazioni appartenenti alla categoria “Sistemi di pagamento”

L’obiettivo dei phisher che eseguono attacchi diretti ai clienti di popolari sistemi di pagamento è rappresentato dai dati personali e dai dati di pagamento di qualsiasi tipo, dai dati necessari per effettuare l’accesso agli account di cui dispongono gli utenti, e via dicendo. I cybercriminali, spesso, collocano i contenuti fraudolenti all’interno di risorse web che godono di ottima reputazione, allo scopo di acquisire la fiducia degli utenti e cercare di bypassare, al tempo stesso, le temute blacklist. Abbiamo ad esempio individuato una pagina web fasulla, relativa al servizio di assistenza di PayPal, inserita nel servizio “Google Sites” (dominio principale — google.com). Dopo aver cliccato sul banner, l’utente viene rediretto verso una pagina di phishing, dove gli viene proposto di inserire i dati relativi all’account di cui quest’ultimo è titolare, sempre nell’ambito del sistema di pagamento preso di mira.

Spam e phishing

Esempio di una pagina web di phishing in cui si ricorre all’utilizzo del brand PayPal; la pagina risulta collocata sul dominio della società Google

Un altro caso piuttosto diffuso riguarda poi il posizionamento dei contenuti di phishing su server appartenenti ad autorità statali ed istituzioni governative. Questo è dovuto al fatto che, spesso, una significativa parte degli enti e delle istituzioni statali non si occupa in maniera specifica della protezione IT delle proprie risorse web.

Spam e phishing

Esempio di una pagina web di phishing in cui viene indebitamente sfruttato il brand PayPal; la pagina è stata collocata su un server appartenente ad un’autorità statale dello Sri Lanka

Spam e phishing

Esempio di un’ulteriore pagina web di phishing in cui viene sfruttato il brand PayPal; la pagina è stata posizionata su un server appartenente ad un’istituzione governativa del Bangladesh

In qualità di esca sono stati utilizzati, prevalentemente, messaggi e-mail in cui si minacciava il blocco dell’account, o in cui si richiedeva di procedere all’aggiornamento dei dati confidenziali utilizzati nell’ambito del sistema di pagamento.

Negozi online

Un attacco di phishing su dieci risulta diretto ai clienti dei negozi Internet. Nel trimestre qui analizzato, il brand in assoluto più popolare presso le folte schiere dei phisher, per quel che riguarda tale specifica categoria tematica, si è rivelato essere Amazon (39,13%).

Organizzazione %
Amazon.com: Shopping Online 39,13
Apple 15,43
Steam 6,5
eBay 5,15
Alibaba Group 2,87
Taobao 2,54
Altri target 28,38

Utilizzando il noto marchio Amazon, i malfattori cercano di carpire non solo i dati confidenziali di cui si servono gli utenti per accedere al proprio account, ma anche, nel complesso, tutti i dati personali relativi a questi ultimi, incluso le informazioni sensibili inerenti alle carte di credito. Non sono inoltre rari quei casi in cui le pagine web contraffatte vengono collocate all’interno di domini che godono di un’ottima reputazione. Tale circostanza si è verificata, ad esempio, riguardo ad un dominio appartenente alla nota società di telecomunicazioni Vodafone.

Spam e phishing

Esempio di pagina web di phishing in cui si è fatto ricorso all’utilizzo del brand Amazon; la pagina è stata inserita all’interno di un dominio della compagnia Vodafone.

Guadagnar soldi… lottando contro il phishing

Oltre ai messaggi e alle pagine di phishing standard, ci imbattiamo di frequente in altri metodi fraudolenti, utilizzati per raggirare gli utenti della Rete. I truffatori, spesso, sfruttando il desiderio, da parte di molte persone, di guadagnare facilmente del denaro, propongono delle cifre di un certo interesse per la semplice visualizzazione di pubblicità, oppure offrono determinati programmi per il trading automatizzato in borsa, e molte altre cose ancora.

Spam e phishing

Messaggi e-mail di spam contenenti proposte di vario genere per guadagnare rapidamente dei soldi su Internet

Nel primo trimestre dell’anno in corso, abbiamo individuato un sito web truffaldino davvero singolare, che ci è “piaciuto” in maniera particolare, proprio per la tematica da esso proposta. Per guadagnare velocemente del denaro, secondo quanto promesso dai malintenzionati, l’utente avrebbe dovuto innanzitutto registrarsi, per poi svolgere vari compiti, i quali si riassumevano, in sostanza, nella valutazione di certe pagine web, utilizzando soltanto tre possibili varianti: pericolosa, sicura, non si carica. Tra l’altro, si proponeva di valutare esclusivamente il contenuto delle pagine, visto che l’indirizzo delle stesse non compariva proprio da nessuna parte.

Spam e phishing

Nel momento in cui si cerca di entrare in possesso del denaro ottenuto grazie alla “verifica” di 31 diversi siti web, viene precisato che occorre innanzitutto effettuare il pagamento di 7 dollari $.

Per ognuno dei siti web in tal modo “verificati”, vengono offerti, all’utente, circa 3 dollari. Per poter prelevare l’importo così guadagnato, occorre tuttavia, in primo luogo, trasferire la somma di 7 dollari agli autori del sito web, giusto per confermare che si è maggiorenni, e che la persona è solvente, in grado di effettuare dei pagamenti. Ovviamente, una volta fatto tutto questo, non si riuscirà in alcun modo a ricevere la cifra “guadagnata”.

Conclusioni

Nonostante all’inizio del primo trimestre del 2017 le quantità di spam presenti all’interno del traffico di posta elettronica mondiale abbiano iniziato a diminuire in maniera sensibile, nel successivo mese di marzo la situazione si è poi “stabilizzata”; la quota relativa ai messaggi di spam rilevati nei flussi e-mail globali si è così attestata su un valore medio pari al 55,9%. Per quel che riguarda, invece, le quantità di spam distribuite in Rete dal territorio dei vari paesi, osserviamo come il primo posto della speciale graduatoria relativa alle fonti geografiche dello spam mondiale sia nuovamente andato ad appannaggio degli USA (18,75%); sul secondo e sul terzo gradino del “podio virtuale” si sono poi collocati, rispettivamente, Vietnam (7,86%) e Cina (7,77%).

Tra le altre cose, il primo trimestre del 2017 si è caratterizzato per la brusca diminuzione del numero dei messaggi di spam nocivo inviati attraverso la botnet Necurs; sottolineiamo ancora una volta come, rispetto al trimestre precedente, il numero di tali messaggi e-mail dannosi si sia più che dimezzato. L’attuale fase di relativa “quiete” potrebbe tuttavia rivelarsi solo temporanea: presumibilmente, i malintenzionati hanno deciso di sospendere (parzialmente) le attività di distribuzione, fintanto che non si placherà il clamore che di solito accompagna i temibili malware crittografici.

Le e-mail maligne, nel trimestre qui preso in esame, contenevano, nella maggior parte dei casi, dei software nocivi appartenenti alla famiglia Trojan-Downloader.JS.Agent. È in effetti risultato ascrivibile a tale famiglia di malware il 6,14% del volume complessivo di programmi nocivi rilevati nel traffico e-mail globale. Il secondo posto della speciale TOP 10 da noi stilata risulta occupato da Trojan-Downloader.JS.SLoad (3,79%), mentre alla terza piazza del rating troviamo il malware classificato con la denominazione di Trojan-PSW.Win32.Fareit (3,10%).

Nel periodo oggetto del presente report, grazie al sistema “Anti-phishing”, sono stati prevenuti e neutralizzati ben 51.321.809 tentativi, da parte dell’utente, di accedere a pagine web di phishing. La quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata nuovamente osservata in Cina (20,88%). Rileviamo, infine, come la quota inerente al settore finanziario continui a prevalere nettamente nell’ambito dell’apposito ranking relativo alle organizzazioni – suddivise in categorie – prese più frequentemente di mira dai phisher; è del tutto lecito attendersi che tale specifica tendenza possa rimanere invariata anche nell’immediato futuro.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *