Spam e phishing nel secondo trimestre del 2014

Contenuti

Spam: le caratteristiche peculiari del trimestre

Lo spam e la legge

Come è noto, a partire dal 1° luglio scorso è entrata in vigore, in Canada, la nuova legge anti-spam, denominata “Canada’s Anti-Spam Legislation” (CASL). Rientrano sotto la specifica giurisdizione di tale provvedimento legislativo le comunicazioni di natura commerciale, incluso i mailing condotti tramite posta elettronica, i messaggi inseriti nelle pagine dei social network e trasmessi attraverso i servizi di instant messaging, così come gli SMS. Adesso, quindi, prima di procedere all’invio di messaggi e-mail, ogni società, ente od organizzazione canadese deve obbligatoriamente ottenere il consenso preventivo da parte del destinatario della missiva. Le società canadesi, di fatto, hanno preso molto sul serio il preannunciato avvento della nuova legge: in effetti, nel corso del secondo trimestre del 2014 abbiamo individuato numerosi mailing di massa provenienti da varie imprese canadesi, distribuiti in Rete affinché i destinatari potessero poi confermare il proprio assenso riguardo alla possibilità di ricevere, successivamente, ulteriori messaggi di posta elettronica spediti da quelle società. Le e-mail in questione, oltre alla richiesta di fornire preventivamente il consenso per la ricezione di futuri mailing di massa, presentavano, talvolta, persino allettanti proposte per partecipare all’estrazione di determinati premi; per far ciò, il destinatario del messaggio avrebbe dovuto semplicemente cliccare sul link contenuto nell’e-mail ricevuta.

Spam e phishing nel secondo trimestre del 2014

Nel paese nordamericano, tuttavia, certe società dalle intenzioni non troppo benevole hanno sfruttato l’imminente entrata in vigore della nuova legge anti-spam quale pretesto per cercare di raccogliere gli indirizzi di nuovi potenziali clienti ed abbonati. Da parte nostra, abbiamo individuato la presenza di richieste di assenso preventivo, riguardo alla futura ricezione di messaggi di posta elettronica, persino nelle speciali e-mail box “trappola” da noi allestite, i cui indirizzi, naturalmente, non sono stati mai inseriti in nessuna mailing list. Numerosi utenti, inoltre, hanno contrassegnato come spam i messaggi di posta contenenti tali richieste.

Tali flussi e-mail hanno di fatto evidenziato come diversi mailer canadesi non si curassero troppo, in precedenza, dell’effettiva volontà degli utenti di ricevere o meno i messaggi di posta da essi distribuiti in Rete; in sostanza, le e-mail venivano semplicemente spedite sulla base di indirizzi presenti all’interno di mailing list disponibili per l’acquisto.

La comunità di Internet ha manifestato due diversi atteggiamenti nei confronti di tale legge. Da un lato, si ritiene che la presenza di un’efficace legge anti-spam, adottata in un ulteriore paese, abbia procurato innegabili vantaggi e benefici per ciò che riguarda la lotta nei confronti dello spam. Dall’altro lato, le società canadesi che conducono attività di business del tutto legittime, e sono solite avvalersi dell’utilizzo di specifici mailing, temono che le proprie iniziative nell’ambito della posta elettronica possano essere invece considerate illegali. Segnaliamo, a tal proposito, il caso specifico della compagnia Microsoft, la quale, inizialmente, ha deciso di sospendere del tutto l’invio delle proprie news relative agli aggiornamenti di sicurezza. Soltanto alcuni giorni dopo, però, il gigante di Redmond ha cambiato idea; ciò non costituisce, tuttavia, motivo di particolare sorpresa: nonostante l’indubbia severità, la legge anti-spam CASL dà spazio a numerose eccezioni; i mailing allestiti da Microsoft, ad esempio, non rientrano in alcun modo nell’ambito di tale giurisdizione. Tra le varie eccezioni previste dalla Canada’s Anti-Spam Legislation, troviamo, ad esempio, i messaggi di posta contenenti informazioni riguardo ad un prodotto o ad un servizio precedentemente acquistato dal cliente presso la società autrice del mailing; le e-mail appositamente inviate per la raccolta di donazioni; i mailing di natura non commerciale e molto altro ancora.

Di nuovo le azioni di borsa!

Nel secondo trimestre del 2014 ci siamo spesso imbattuti in messaggi di spam in cui si pubblicizzavano esplicitamente i titoli azionari riconducibili a società di piccole dimensioni. Si è trattato, nella circostanza, del cosiddetto spam “borsistico”, utilizzato dai malintenzionati nell’ambito di schemi fraudolenti riconducibili alla classica tipologia del “pump and dump”. Tale espressione significa, tradotta letteralmente dall’inglese,”pompa e sgonfia”, con riferimento al valore progressivamente assegnato, in maniera artificiale, ai titoli azionari oggetto di speculazione. Il picco dei messaggi di spam ascrivibili a tale genere truffaldino si è registrato negli anni 2006-2007; pare proprio, ad ogni caso, che i criminali continuino ad avvalersene così come nel recente passato.

La pratica del “pump and dump” rappresenta una delle tipologie di frode più comunemente praticate a livello di mercato azionario; nella fattispecie, gli spammer provvedono ad acquistare azioni a bassa capitalizzazione, in genere riconducibili a società di piccole dimensioni, per poi gonfiare ad arte il prezzo di tali azioni tramite la diffusione, attraverso insistite campagne di spam, di false informazioni (dai toni estremamente positivi) sullo stato delle suddette aziende; lo scopo finale dei malintenzionati è, naturalmente, quello di riuscire a vendere a prezzi nettamente superiori i titoli azionari precedentemente acquistati a prezzi spesso irrisori.

Spam_report_Q2_2014_it_2

E’ stato tra l’altro piuttosto curioso osservare come coloro che si sono “preoccupati” di diffondere in Rete montagne di messaggi di spam dedicati a questa “antica” tematica fraudolenta, abbiano ugualmente cercato di bypassare l’azione dei filtri anti-spam proprio ricorrendo all’utilizzo di metodi ormai ampiamente collaudati, per non dire quasi obsoleti:

  1. L’aggiunta, all’interno del messaggio di posta (nella parte finale di quest’ultimo) di brani di testo del tutto casuali, scritti con caratteri di colore del tutto simile al colore utilizzato per lo sfondo dell’e-mail (in tali mailing di massa sono state ad esempio inserite di frequente frasi ricavate da “Wikipedia”);
  2. Lo spam grafico: le informazioni principali sono abitualmente contenute all’interno di un’immagine; gli spammer fanno poi in modo tale che, da un messaggio all’altro, in maniera del tutto casuale, cambino il colore e la dimensione del testo, il carattere utilizzato, il colore dello sfondo e, addirittura, l’angolo di rotazione dell’immagine.

Anche lo spam grafico, al pari del cosiddetto metodo del “testo in bianco”, è risultato particolarmente popolare, presso gli spammer, negli anni 2006–2007, per poi scomparire in pratica dalla scena, visto che, nel frattempo, i vendor di soluzioni anti-spam avevano già messo a punto appositi analizzatori grafici, atti a bloccare in maniera efficace la diffusione di simili messaggi all’interno del traffico di posta elettronica. Oltre a ciò, è alquanto improbabile che tale genere di spam, visto l’eccessivo “imbrattamento” dei messaggi e-mail che lo contraddistinguono, possa attirare l’attenzione e l’interesse di un elevato numero di utenti. Evidentemente, è proprio per tale motivo che i mailing “azionari” si caratterizzano, in continuazione, per i loro giganteschi volumi: gli spammer inviano, difatti, centinaia di milioni di e-mail, confidando poi in una risposta purché minima da parte dei destinatari dei messaggi.

Lo spam e il Campionato del Mondo di calcio

Mentre nel primo trimestre del 2014, nel novero dei principali avvenimenti sportivi che hanno avuto luogo in tale periodo, gli spammer hanno “prediletto” le Olimpiadi invernali di Sochi, nel secondo trimestre dell’anno in corso, le attenzioni di questi ultimi si sono rivolte soprattutto al Campionato del Mondo di calcio, disputato recentemente in Brasile. In seno ai flussi di posta elettronica che hanno caratterizzato il periodo qui preso in esame, sono stati in effetti da noi individuati i più disparati mailing di massa volti a sfruttare tale tematica. All’interno del nostro blog dedicato alle questioni di sicurezza IT è possibile leggere tutti i dettagli in merito, contenuti negli appositi post riguardanti gli attacchi di phishing e di spam nocivo nel corso dei quali gli spammer hanno ripetutamente utilizzato il tema della Coppa del Mondo FIFA 2014. Tuttavia, all’interno del traffico e-mail del secondo trimestre dell’anno, in aggiunta ai messaggi di spam malevoli, sono state ugualmente rilevate le tradizionali e-mail pubblicitarie, contenenti le più svariate proposte ed offerte, quali prenotazioni di camere d’hotel e biglietti per assistere alle partite in programma negli stadi brasiliani, oppure réclame ispirate a tematiche affini a quella del Campionato del Mondo di football; non sono inoltre mancati i messaggi di spam in cui si invitavano i destinatari delle e-mail a fare scommesse sull’esito dei vari match previsti nel calendario della Coppa.

Spam_report_Q2_2014_it_3

Come di solito avviene in questi casi, anche nella specifica circostanza il tema della Coppa del Mondo FIFA 2014 è stato ugualmente sfruttato in ulteriori segmenti dello spam, le cui tematiche non presentano di certo alcuna relazione diretta con l’evento sportivo sopra menzionato. Come evidenzia lo screenshot riportato qui sotto, certi spammer tedeschi, di sicuro non privi di una buona dose di fantasia ed ingegnosità, hanno ad esempio utilizzato il tema della vittoria della Germania nel recente Campionato del Mondo di football per reclamizzare Viagra e prodotti affini:

Spam e phishing nel secondo trimestre del 2014

“Terminata la Coppa del Mondo, continuate ad essere dei campioni nella vostra camera da letto!” – recita lo slogan presente sul messaggio pubblicitario.

Sent from iPhone: la tematica dei dispositivi mobili all’interno del traffico e-mail

Continuando ad analizzare l’interessante tema riguardante il crescente processo di “integrazione” dello spam presente nel traffico di posta elettronica con il mondo dei dispositivi mobili, non possiamo fare a meno di porre in risalto come, nel secondo trimestre del 2014, siano risultate particolarmente “popolari” varie campagne di spam composte da e-mail mascherate sotto forma di messaggi provenienti dagli apparati mobili iPad ed iPhone. I messaggi in questione sono risultati piuttosto variegati; gli spammer hanno in effetti spaziato dalle consuete pubblicità di farmaci all’invio di e-mail contenenti pericolosi allegati maligni. E’ stato comunque rilevato come tutti i messaggi inviati nel quadro di tali mailing di massa contenessero, al loro interno, la stessa identica frase – “Sent from iPhone/iPad”.

Spam e phishing nel secondo trimestre del 2014

Nel primo esempio da noi riportato, cliccando sull’apposito link, dopo alcuni reindirizzamenti, l’utente sarebbe giunto su un sito web contenente la pubblicità di farmaci per aumentare la potenza maschile; nel secondo esempio, invece, il file allegato al messaggio era destinato a recapitare un temibile programma malware, rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-PSW.Win32.Tepfer.tmyd.

Con ogni probabilità, gli invii di tali messaggi sono stati realizzati da gruppi di spammer diversi, visto che, tra l’altro, le intestazioni tecniche presenti nelle e-mail in causa (quali Data, X-Mailer, Message-ID) si differenziavano notevolmente. Ad esempio, su alcuni messaggi le intestazioni erano state poste in maniera estremamente poco accurata; alcuni campi, poi, non risultavano nemmeno registrati. In pratica, le e-mail qui analizzate avevano in comune, con quelle realmente provenienti da dispositivi provvisti di sistema operativo mobile iOS, null’altro che la frase abitualmente inserita nel corpo di ognuno di tali messaggi – “Sent from iPhone/iPad”. In altre e-mail del genere, invece, le intestazioni tecniche risultavano non soltanto particolarmente accurate, ma imitavano addirittura le intestazioni che, di fatto, appone regolarmente il client di posta autentico di Apple:

X-Mailer: iPhone Mail (9B206)

Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**

Se andiamo tuttavia ad esaminare le stringhe con attenzione, ci rendiamo subito conto di come tali intestazioni appaiano soltanto simili a quelle reali (in base al numero di caratteri presenti e alla disposizione stessa dei trattini). Il fatto è che, nei messaggi autentici provenienti da dispositivi mobili dotati di sistema operativo iOS, nel campo Message-ID si utilizza il codice esadecimale. E, come è noto, il sistema numerico esadecimale si basa sulle cifre da 0 a 9, nonché, esclusivamente, sul gruppo di lettere abcdef. Pertanto, in pratica, nel campo riservato all’intestazione Message-ID non deve comparire null’altro se non le cifre e le lettere sopra citate. Nei messaggi e-mail fasulli analizzati nel presente capitolo del report, invece, ciò che vediamo a livello di Message-ID è semplicemente un insieme casuale di lettere e cifre.

I redirect

Nel tentativo di bypassare l’azione protettiva svolta dai filtri anti-spam, i malintenzionati cercano spesso di nascondere il reale indirizzo del sito web sul quale si intende far giungere l’utente. Esistono, attualmente, numerosi metodi per occultare i link di spam; uno dei più praticati è quello di indirizzare inizialmente il destinatario del messaggio verso un sito Internet violato, dal quale l’utente verrà poi rediretto verso il reale sito di destinazione. Il sito in questione può rivelarsi di natura pubblicitaria, e/o contenere codice dannoso. Di solito, i siti compromessi vengono inclusi nel sistema di redirecting allestito dagli spammer semplicemente perché si tratta proprio di quei siti web che i cybercriminali sono riusciti precedentemente a violare. Talvolta, invece, i malfattori compiono, in tal senso, azioni del tutto mirate. Così, ci siamo ad esempio imbattuti in una campagna di spam composta da messaggi attraverso i quali l’utente veniva in primo luogo indirizzato verso un sito web compromesso, per poi essere immediatamente rediretto verso una determinata pubblicità di prodotti farmaceutici. Nella circostanza, i malintenzionati avevano provveduto a violare proprio dei siti Internet dedicati a tematiche inerenti al settore farmaceutico (rxpharmacy*****.com). Questo specifico targeting viene utilizzato dai malfattori affinché il link, sul quale il destinatario del messaggio di posta provvede a cliccare, non susciti alcun sospetto da parte dell’utente stesso.

Segnaliamo, inoltre, come in questi ultimi tempi, tra i siti compromessi da noi individuati, compaiano spesso siti web facenti capo ad organizzazioni ecclesiastiche. Riteniamo, tuttavia, che nella specifica circostanza non si tratti di azioni di hacking mirate, o di qualche particolare nuova tecnica di ingegneria sociale; probabilmente, tali siti Internet vengono violati semplicemente per il fatto che, forse, ad essi vengono dedicate poche attenzioni a livello di protezione IT.

Allegati maligni rilevati nel traffico e-mail

Spam e phishing nel secondo trimestre del 2014

TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica – Situazione riguardante il secondo trimestre del 2014

La prima posizione della speciale graduatoria trimestrale da noi stilata relativamente ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale risulta nuovamente occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, che il suddetto oggetto maligno è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, principalmente, agli account di Internet banking aperti in Rete dagli utenti. In seguito, tutte le informazioni confidenziali inserite dall’utente-vittima in tali “form” fasulli vengono trasmesse ai cybercriminali di turno, i quali utilizzeranno poi i dati sensibili illegalmente carpiti per impadronirsi delle somme di denaro depositate nei conti bancari violati. Desideriamo tuttavia sottolineare come, rispetto al trimestre precedente, la quota relativa al suddetto software nocivo abbia fatto registrare una considerevole diminuzione, pari all’ 1,67%; nonostante ciò, Fraud.gen continua a capeggiare indisturbato la classifica qui esaminata, con un cospicuo margine percentuale rispetto ai diretti “concorrenti”.

Come si può vedere nel grafico qui sopra inserito, la seconda posizione della speciale TOP-10 del malware elaborata dagli esperti di Kaspersky Lab è andata ad appannaggio dal programma dannoso denominato Trojan-Banker.Win32.ChePro.ilc, appartenente alla temibile categoria dei cosiddetti Trojan “bancari”. Si tratta, nella fattispecie, di un programma Trojan preposto al furto dei dati personali relativi ai clienti di istituti bancari brasiliani e portoghesi.

Rileviamo, poi, come per la prima volta, da molto tempo a questa parte, sul terzo gradino del “podio” virtuale si sia insediato un exploit (Exploit.JS.CVE-2010-0188.f). La presenza di tali oggetti maligni all’interno dei flussi di posta elettronica globali risulta, di fatto, estremamente pericolosa, in quanto, nella specifica circostanza, gli exploit non vengono “confezionati” dai virus writer sotto forma di file eseguibili, ma assumono, invece, l’aspetto di innocui documenti, apparentemente inoffensivi, normalmente utilizzati nelle ordinarie attività di ufficio. L’exploit sopra menzionato, ad esempio, assume le sembianze di un file PDF, per poi sfruttare una determinata vulnerabilità rilevata nelle versioni 9.3 ed inferiori di Acrobat Reader. Desideriamo ad ogni caso sottolineare come la vulnerabilità in questione sia nota già da diverso tempo; pertanto, per gli utenti che provvedono ad effettuare con regolarità gli update del software di cui dispongono, tale exploit non rappresenta una particolare minaccia. Tuttavia, se la versione del programma Adobe risulta ormai obsoleta, una volta che la falla di sicurezza sarà stata “debitamente” sfruttata dall’exploit, all’interno del computer-vittima verrà installato, e successivamente avviato, un pericoloso file eseguibile, rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Dropper.Win32.Agent.lcqs. Il dropper in causa, a sua volta, provvede all’installazione e all’esecuzione di un temibile JavaScript (Backdoor.JS.Agent.h), preposto a raccogliere tutta una serie di informazioni relative al sistema informatico sottoposto ad attacco, per poi inviare le stesse al server malevolo appositamente allestito dai malintenzionati e ricevere, al contempo, vari comandi provenienti da quest’ultimo. I comandi impartiti dal server – al pari degli specifici risultati che ne derivano in termini di attività nocive eseguite sul computer preso di mira – vengono costantemente trasmessi in forma criptata.

Continuando la nostra breve rassegna riguardo agli oggetti maligni maggiormente diffusi all’interno dei flussi e-mail del secondo trimestre dell’anno in corso, rileviamo la presenza, al 4°, 6°, 7° e 8° posto della graduatoria qui presa in esame, di ben quattro software dannosi riconducibili alla famiglia di malware denominata Bublik. Come è noto, le principali funzionalità di cui sono provvisti tali programmi nocivi – riconducibili, per tipologia, alla forma più classica e diffusa di trojan-downloader – consistono, per l’appunto, nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi maligni, a totale insaputa dell’utente. Una volta portato a termine il proprio compito, i programmi malware appartenenti alla famiglia Bublik non rimangono allo stato attivo, anche se provvedono a realizzare una copia di se stessi all’interno della cartella <%temp%>. Riteniamo di particolare utilità, per tutti gli utenti, sottolineare come i trojan-downloader Bublik siano soliti camuffarsi sotto forma di applicazioni o documenti Adobe. In effetti, anche i quattro software malevoli sopra menzionati, presenti all’interno della speciale TOP-10 da noi stilata, si mascherano abitualmente in veste di documenti Adobe, grazie ad un’apposita icona fasulla, mentre, a tutti gli effetti, altro non sono se non dei pericolosi file eseguibili, provvisti di estensione .EXE. Spesso, poi, tali programmi malware provvedono a generare il download, sul computer-vittima, del famigerato software maligno conosciuto con l’appellativo di ZeuS/Zbot.

Al quinto posto della graduatoria qui analizzata troviamo una “vecchia conoscenza” nell’ambito della TOP-10 in questione, ovvero il worm di posta elettronica denominato Email-Worm.Win32.Bagle.gt. La principale funzionalità di cui sono dotati tutti gli e-mail worm consiste nel raccogliere illecitamente gli indirizzi di posta presenti nei computer-vittima contagiati e realizzare il successivo processo di auto-diffusione in Rete, condotto tramite gli account di posta elettronica sottratti. I worm riconducibili alla famiglia Bagle, tuttavia, in aggiunta alla funzionalità standard qui sopra illustrata, risultano provvisti di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire da remoto con il centro di controllo allestito dai cybercriminali, e di ricevere quindi da quest’ultimo appositi comandi volti a generare il download e la successiva installazione di altri software maligni sui computer precedentemente infettati.

Sottolineiamo inoltre la presenza, al nono posto del ranking, di un ulteriore exploit, ovvero Exploit.Win32.CVE-2012-0158.j. Tale oggetto maligno è di fatto realizzato sotto forma di un innocuo documento Microsoft Word, mentre, in realtà, esso provvede a sfruttare in maniera subdola una specifica vulnerabilità individuata in Microsoft Office, e più precisamente all’interno del codice presente nel file mscomctl.ocx. Il risultato prodotto dall’attività dannosa svolta dall’exploit in questione consiste nel realizzare l’installazione e l’esecuzione di un determinato malware sul computer dell’utente-vittima.

Al decimo posto della speciale graduatoria da noi elaborata è andato infine a collocarsi un malware di indubbia pericolosità, ovvero Trojan-Spy.Win32.Zbot.sivm. Sebbene i programmi maligni riconducibili alla famiglia ZeuS/Zbot siano in grado di eseguire attività dannose di vario genere (con il passare del tempo, tra l’altro, le loro funzionalità vengono ulteriomente ampliate dai virus writer), nella maggior parte dei casi essi vengono utilizzati proprio per compiere il furto delle informazioni bancarie custodite nei computer degli utenti, incluso – ovviamente – i dati sensibili relativi alle carte di credito. Oltre a ciò, il trojan Zbot è ugualmente in grado di generare l’installazione di CryptoLocker sul computer preso di mira, un programma malware “estorsore” che richiede all’utente-vittima una certa somma di denaro per effettuare la decodifica dei dati precedentemente criptati.

Per ciò che riguarda la situazione relativa alle famiglie di malware maggiormente diffuse all’interno del traffico di posta elettronica del secondo trimestre dell’anno in corso – non considerando quindi le singole varianti di malware – osserviamo come la ripartizione percentuale delle stesse si presenti in forma piuttosto diversa rispetto a quanto evidenziato dalla TOP-10 precedentemente analizzata, relativa ai programmi malware classificati, nella circostanza, come entità “singole”:

Spam e phishing nel secondo trimestre del 2014

TOP-10 relativa alle famiglie di malware maggiormente diffuse nel traffico e-mail globale –
Situazione riguardante il secondo trimestre del 2014

I malware appartenenti alla famiglia Bublik (programmi che, come abbiamo visto in precedenza, generano di frequente il download del famigerato trojan Zbot), così come i software nocivi riconducibili alla stessa famiglia Zbot, occupano le posizioni di vertice della graduatoria qui sopra riportata, peraltro con un ampio margine percentuale rispetto alle rimanenti famiglie presenti nella speciale TOP-10. Complessivamente, più di un terzo del numero complessivo dei rilevamenti effettuati dal modulo antivirus e-mail riguarda proprio i programmi malevoli facenti parte delle due famiglie che detengono, attualmente, la leadership della classifica. Ciò trova una logica spiegazione nel fatto che la maggior parte dei software dannosi viene utilizzata per cercare di sottrarre denaro agli utenti; il trojan Zeus/Zbot, da parte sua, rappresenta poi uno dei programmi più noti e diffusi nel mondo della cybercriminalità, risultando, tra l’altro, facilmente accessibile ai malintenzionati.

Il terzo posto del rating in questione risulta occupato dai programmi Backdoor appartenenti alla famiglia Androm. Si tratta, in sostanza, di software nocivi che consentono ai criminali informatici di assumere il pieno controllo del computer sottoposto a contagio informatico, all’insaputa dell’utente-vittima. Inoltre, i computer infettati da programmi malevoli di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati.

Paesi maggiormente bersagliati dai mailing di massa maligni

Spam e phishing nel secondo trimestre del 2014

Suddivisione per paesi dei rilevamenti effettuati dal modulo antivirus e-mail
nel corso del secondo trimestre del 2014

La TOP-20 trimestrale relativa ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – presenta alcune importanti variazioni rispetto all’analogo rating stilato per il trimestre precedente. Osserviamo innanzitutto come, nell’arco di tre mesi, la quota relativa allo spam maligno indirizzato agli utenti ubicati entro i confini del territorio statunitense abbia fatto registrare una significativa diminuzione (- 3,5%); gli USA sono in tal modo scesi dal primo al terzo gradino del “podio” virtuale del ranking qui analizzato, essendo stati sopravanzati in classifica, rispettivamente, da Gran Bretagna e Germania. Per ciò che riguarda le ulteriori variazioni di rilievo che sono intervenute nell’ambito di tale specifica graduatoria, segnaliamo, essenzialmente, come risulti aumentata di ben due volte e mezzo la quota relativa allo spam nocivo inviato verso il territorio del Brasile; il “colosso” del Sud America è così salito di ben dieci posizioni in classifica, passando dalla quindicesima alla quinta piazza del rating inerente al secondo trimestre del 2014. Tale eclatante “ascesa” è in gran parte dovuta alla crescente diffusione del Trojan bancario appartenente alla famiglia ChePro, inviato in oltre l’ 80% dei casi proprio ad utenti della Rete situati in Brasile.

Peculiarità e tratti caratteristici dello spam nocivo del secondo trimestre

I malintenzionati della Rete, molto spesso, mascherano i messaggi di spam contenenti allegati dannosi sotto forma di e-mail provenienti (in apparenza) da note società ed organizzazioni, quali corrieri internazionali di primaria importanza, famosi negozi online, celebri social network. In genere, nell’ambito di simili mailing di massa, i malfattori cercano di imitare il più possibile i messaggi e-mail che gli utenti di ogni angolo del mondo ricevono quotidianamente nelle proprie caselle di posta elettronica (fatture relative all’acquisto di prodotti o servizi, notifiche riguardanti lo status di una consegna, etc.). Nel trimestre oggetto della nostra analisi è stata tuttavia da noi individuata una campagna di spam nocivo decisamente molto più creativa dal punto di vista della tecnica di ingegneria sociale adottata dai malintenzionati, volta a distribuire messaggi e-mail fasulli provenienti, a prima vista, da Starbucks, la nota catena internazionale di caffetterie.

Spam e phishing nel secondo trimestre del 2014

Attraverso tali messaggi malevoli si comunicava al destinatario dell’e-mail che un non ben definito amico di quest’ultimo, desideroso di non rivelare la propria identità, aveva effettuato, in favore della potenziale vittima del messaggio maligno, un ordine presso uno dei numerosi negozi Starbucks. Per poter consultare il menù così generosamente offerto, e al tempo stesso conoscere l’indirizzo della caffetteria prescelta, così come l’orario in cui si sarebbe potuto usufruire dell’inatteso regalo da parte del sedicente “amico”, il destinatario del messaggio avrebbe dovuto semplicemente aprire l’allegato inserito nell’e-mail, il quale si sarebbe poi rivelato, in realtà, un file eseguibile di natura nociva; a dir la verità, nella circostanza, i cybercriminali non si erano neppure troppo “degnati” di mascherare adeguatamente la vera natura dell’allegato, come invece sono soliti fare.

Le statistiche dello spam – 2° trimestre 2014

Quota di spam nel traffico di posta elettronica

Spam e phishing nel secondo trimestre del 2014

Quote percentuali di spam rilevate nel traffico di posta elettronica –
Situazione relativa al periodo gennaio – giugno 2014

Nel secondo trimestre del 2014, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un incremento del 2,2% rispetto all’analogo indice riscontrato nel trimestre precedente, attestandosi in tal modo su un valore medio pari al 68,6%. All’interno dei flussi e-mail mondiali, le maggiori quantità di spam sono state registrate nel corso del mese di aprile; in seguito, la quota relativa alle e-mail indesiderate presenti nel traffico di posta è progressivamente diminuita.

Geografia delle fonti di spam

In precedenza, le statistiche riguardanti la geografia delle fonti di spam, relative ai paesi dal cui territorio vengono distribuite in Rete le maggiori quantità di e-mail indesiderate, venivano elaborate dai nostri esperti sulla base dei dati ottenuti grazie alle speciali “trappole” antispam da noi allestite nei vari paesi. Di fatto, però, i messaggi “spazzatura” catturati attraverso tali “trappole” differiscono, in una certa misura, dallo spam che effettivamente giunge agli utenti reali. Ad esempio, gli speciali strumenti da noi precedentemente adottati non ricevono in alcun modo lo spam di natura mirata, di volta in volta indirizzato a società, enti ed organizzazioni ben specifici. In considerazione di ciò, abbiamo in pratica sostituito le fonti utilizzate per ricavare i dati statistici sulla geografia dello spam; attualmente, grazie al KSN (Kaspersky Security Network), la rete globale di sicurezza da noi implementata attraverso apposite infrastrutture “in-the-cloud”, ricaviamo i dati statistici relativi alle fonti geografiche dello spam mondiale direttamente sulla base dei messaggi di posta elettronica che quotidianamente giungono agli utenti dei nostri prodotti, utenti ubicati in ogni angolo del globo. Poiché in questo trimestre i dati utilizzati per elaborare le relative statistiche sono stati ottenuti tramite una fonte diversa, risulterebbe non corretto effettuare il consueto confronto tra i risultati ricavati relativamente al trimestre oggetto del report e i dati statistici relativi al precedente periodo analizzato.

Spam e phishing nel secondo trimestre del 2014

Ripartizione geografica delle fonti di spam rilevate nel secondo trimestre del 2014 – Suddivisione per paesi

La leadership della speciale graduatoria relativa alla ripartizione geografica delle fonti dello spam “globale” – riguardante i paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail indesiderate – è andata ad appannaggio degli Stati Uniti. La quota percentuale attribuibile ai messaggi e-mail “spazzatura” distribuiti nelle caselle di posta elettronica degli utenti della Rete – ubicati in ogni angolo del globo – dagli spammer insediati negli USA, ha fatto registrare un valore medio pari al 13,4% del volume complessivo dello spam mondiale. Questo non costituisce motivo di particolare sorpresa, poiché sono proprio gli Stati Uniti il paese che annovera il maggior numero di utenti Internet nel mondo. Di fatto, anche in quelle situazioni in cui gli utenti sono in genere ben consapevoli dei pericoli che si corrono utilizzando quotidianamente la Rete, vi è pur sempre un certo numero di persone che non è in grado, per un motivo o per l’altro, di evitare il contagio informatico del proprio computer; quest’ultimo diviene così, piuttosto di frequente, parte di un’estesa botnet – o rete-zombie che dir si voglia – preposta alla distribuzione su scala planetaria di montagne di messaggi di spam.

Per ciò che riguarda gli ulteriori paesi presenti nella speciale graduatoria relativa alla ripartizione delle fonti dello spam mondiale, si nota immediatamente come tale suddivisione risulti, tutto sommato, piuttosto uniforme. Questa specifica circostanza si spiega, in pratica, con il fatto che le botnet sono, al giorno d’oggi, diffuse in tutto il mondo; in sostanza, in ogni paese del globo esistono ormai computer infettati da tale genere di malware.

La seconda piazza del rating è andata ad appannaggio della Russia, paese dal cui territorio, nel secondo trimestre del 2014, è stato inoltrato in Rete il 6% del traffico mondiale di spam. Il terzo posto del ranking esaminato nel presente capitolo del report risulta invece occupato dal Vietnam; il popoloso paese del Sud-Est asiatico ha fatto complessivamente registrare un indice pari al 5%.

I dati statistici da noi raccolti grazie al Kaspersky Security Network dimostrano chiaramente come, in numerosi paesi del globo, una considerevole quota percentuale dello spam che giunge agli utenti dei sistemi di posta elettronica, sia di fatto rappresentata dal cosiddetto “spam interno”, ovvero quel particolare tipo di spam in cui la fonte dell’e-mail “spazzatura”, al pari del destinatario stesso del messaggio, sono riconducibili ad un medesimo identico paese. Così, ad esempio, nel secondo trimestre dell’anno in corso, il 18% dello spam distribuito entro i confini della Federazione Russa è risultato provenire dal territorio russo stesso; per ciò che riguarda gli Stati Uniti, poi, la quota dello “spam interno” ha fatto addirittura registrare un valore complessivo pari al 27,2%. La medesima tendenza può essere osservata in vari altri grandi paesi, dal cui territorio viene attualmente diffusa una significativa parte dello spam mondiale. Per ciò che riguarda, invece, i paesi di dimensioni contenute, si osserva, in genere, come i relativi flussi di spam abbiano principalmente una provenienza di tipo esterno.

Dimensioni dei messaggi di spam

Spam e phishing nel secondo trimestre del 2014

Dimensioni delle e-mail di spam – Quadro relativo al secondo trimestre del 2014

Il quadro riguardante la ripartizione dei messaggi di spam in base alle loro dimensioni non presenta variazioni di rilievo rispetto a quanto riscontrato relativamente al primo trimestre dell’anno in corso. Così come in precedenza, all’interno dei flussi di spam risulta particolarmente elevato il numero dei messaggi e-mail “spazzatura” aventi dimensioni estremamente contenute (1 Kb o addirittura meno di un kilobyte). Le ragioni di tutto ciò appaiono ben evidenti: per gli spammer, in effetti, l’invio di messaggi di spam “super-brevi” presenta innegabili vantaggi; mailing di massa del genere possono essere di fatto condotti molto più agevolmente, con maggiore rapidità.

Rileviamo, poi, come sia leggermente diminuita, rispetto al trimestre precedente, la quota relativa ai messaggi di posta indesiderata con dimensioni comprese tra i 2 Kb ed i 5 Kb (- 2,7%); al contempo, si è invece registrato un significativo aumento del numero delle e-mail “spazzatura” che si collocano nel range 5-10 Kb (+ 4,2%). Un simile incremento si verifica, di solito, nel momento stesso in cui si assiste, parallelamente, ad un aumento della quota relativa allo spam grafico; tale specifica tendenza si è ampiamente manifestata lungo tutto l’arco del secondo trimestre del 2014. In effetti, all’interno del traffico di posta elettronica, sono state da noi individuate, in primo luogo, numerose campagne di spam di natura fraudolenta, particolarmente estese, caratterizzate da messaggi e-mail contenenti immagini. Si è trattato, nella fattispecie, di palesi tentativi di frode nel settore dei titoli di borsa (abbiamo già riferito in dettaglio, a tal proposito, in uno dei capitoli iniziali del report). In secondo luogo, i flussi di spam del secondo trimestre dell’anno hanno ugualmente presentato un consistente numero di messaggi di spam grafico elaborati in lingua russa, dedicati, in particolar modo, alle tematiche del “dimagrimento” e della vendita di “articoli di lusso contraffatti”.

Phishing

Nel secondo trimestre del 2014, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 60.090.173 rilevamenti eseguiti grazie al sistema “Anti-phishing”.

I phisher, da parte loro, hanno rivolto i loro attacchi in particolar modo nei confronti degli utenti della Rete ubicati in Brasile; lungo tutto l’arco del trimestre qui esaminato, in effetti, lo speciale sistema “Anti-phishing” è entrato in azione – perlomeno una volta – sul 23,2% dei computer degli utenti brasiliani.

Spam e phishing nel secondo trimestre del 2014

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al 2° trimestre del 2014

*Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Paese % di utenti sottoposti ad attacco
1 Brasile 23,2%
2 India 19,2%
3 Porto Rico 18,6%
4 Giappone 17,1%
5 Francia 17,0%
6 Armenia 16,8%
7 Repubblica Dominicana 16,2%
8 Russia 16,1%
9 Australia 16,1%
10 Gran Bretagna 15,8%

Rileviamo innanzitutto come il Brasile, leader della speciale graduatoria “geografica” degli assalti di phishing, sia entrato a far parte della TOP-10 qui sopra riportata soltanto nel corso del 2014. Nella circostanza, le attività dei phisher esplicitamente condotte nei confronti degli utenti brasiliani, sono state indubbiamente favorite dal recente svolgimento, in Brasile, del Campionato del Mondo di calcio.

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Le statistiche relative agli obiettivi presi di mira dagli assalti dei phisher si basano sui rilevamenti eseguiti dal componente euristico implementato nel sistema “Anti-phishing”. Il componente euristico del sistema “Anti-phishing” entra in azione nel momento stesso in cui l’utente clicca su un link malevolo preposto a condurre verso una pagina di phishing, nel caso in cui le informazioni relative a tale pagina non risultino ancora presenti all’interno dei database appositamente allestiti da Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Ricordiamo come, nei precedenti resoconti trimestrali dedicati all’analisi degli obiettivi presi di mira dagli attacchi orditi dai phisher, venisse da noi utilizzata una specifica selezione, riassunta nella consueta TOP-100 inerente alle organizzazioni maggiormente colpite dagli assalti di phishing. Per ciò che riguarda il trimestre qui preso in esame, invece, la nostra analisi va ad abbracciare i dati statistici relativi a tutte quante le organizzazioni sottoposte ad attacco.

Come è noto, nel corso degli attacchi condotti nei confronti delle organizzazioni riconducibili alle categorie “Istituti bancari”, “Sistemi di pagamento” e “Negozi Internet, aste online” i malintenzionati vanno subdolamente a caccia dei dati personali degli utenti, dati che poi forniscono un comodo accesso agli account elettronici posseduti da questi ultimi. Sulla base di ciò, abbiamo provveduto a riunire le tre suddette categorie in un unico raggruppamento, che abbiamo denominato “Finanze online”.

Spam e phishing nel secondo trimestre del 2014

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del secondo trimestre del 2014

Per poter effettuare un debito confronto, riportiamo gli analoghi dati relativi al primo trimestre dell’anno in corso:

Spam e phishing nel secondo trimestre del 2014

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del primo trimestre del 2014

Così come nel primo trimestre del 2014, la categoria “Portali Internet globali” continua a detenere la leadership tra le categorie sottoposte ad attacco da parte dei phisher; la quota ad essa ascrivibile ha tuttavia evidenziato una lieve diminuzione, quantificabile in 1,7 punti percentuali. Fanno parte di tale categoria quei portali che integrano molteplici servizi online, incluso servizi di ricerca e posta elettronica. In pratica, impadronendosi dei dati che forniscono l’autorizzazione necessaria per ottenere l’accesso ai portali in causa, i malfattori hanno poi la possibilità di accedere a tutti i servizi online erogati dal vendor preso di mira. Nella maggior parte dei casi, i phisher provvedono a falsificare le pagine web che, nel sito ufficiale, vengono abitualmente preposte alle procedure di autorizzazione occorrenti per poter usufruire dei servizi e-mail forniti da tali portali.

Spam e phishing nel secondo trimestre del 2014

Ripartizione degli attacchi di phishing condotti nei confronti dei portali Internet globali*

* Tale specifica graduatoria non costituisce in alcun modo un indice del livello di sicurezza IT garantito dalle varie organizzazioni prese di mira dagli attacchi dei phisher; essa riflette tuttavia il grado di autorevolezza e popolarità – presso il vasto pubblico degli utenti – dei vari servizi online che la compongono, servizi che, in maniera speculare, godono naturalmente di altrettanta ampia popolarità presso le folte schiere dei phisher.

Complessivamente, al phishing di natura finanziaria è risultato riconducibile il 24,84% degli attacchi; tale indice ha fatto quindi registrare un aumento dell’ 1,8% rispetto all’analogo valore rilevato nel primo trimestre dell’anno corrente. Nella fattispecie, è stato osservato un incremento percentuale, anche se non particolarmente marcato, sia per ciò che riguarda la quota relativa ai rilevamenti eseguiti rispetto alla categoria “Istituti bancari” (+ 0,93%), sia per ciò che riguarda la categoria “Negozi Internet” (+ 0,85%).

La categoria “Social network”, così come in precedenza, continua ad occupare la terza piazza della speciale graduatoria da noi stilata.

Spam e phishing nel secondo trimestre del 2014

Ripartizione degli attacchi di phishing condotti nei confronti dei social network*

* Tale specifica graduatoria non costituisce in alcun modo un indice del livello di sicurezza IT garantito dalle varie organizzazioni prese di mira dagli attacchi dei phisher; essa riflette tuttavia il grado di autorevolezza e popolarità – presso il vasto pubblico degli utenti – dei vari social network che la compongono, reti sociali che, in maniera speculare, godono naturalmente di altrettanta ampia popolarità presso le folte schiere dei phisher.

Ricordiamo come, nel primo trimestre dell’anno in corso, fosse risultato riconducibile a Facebook addirittura il 79,5% del numero complessivo di tentativi, effettuati dagli utenti, di cliccare su link destinati a condurre verso pagine web fasulle preposte ad imitare le pagine Internet ufficiali dei social network. Nel secondo trimestre del 2014, invece, il numero degli attacchi di phishing rivolti agli utenti di Facebook è sensibilmente diminuito (- 23,54%). Allo stesso tempo, ad ogni caso, si è bruscamente innalzata la quota percentuale relativa ai tentativi, da parte degli utenti, di accedere a pagine web contraffatte volte a riprodurre determinate pagine ufficiali di due noti social network russi, ovvero “Odnoklassniki” (+ 18,7%) e “VKontakte” (+ 10,68%).

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Organizzazione % di link di phishing
1 Yahoo! 30,96%
2 Google Inc 8,68%
3 Facebook 8,1%

Nel trimestre oggetto del presente report i link di phishing riguardanti pagine web contraffatte volte a riprodurre le pagine ufficiali dei servizi online offerti da Yahoo! hanno rappresentato il 30,96% del volume complessivo degli attacchi portati dai phisher.

Già nel primo trimestre del 2014 Yahoo! è di fatto divenuto leader incontrastato del rating che riunisce i principali obiettivi degli assalti di phishing, avendo fatto registrare, allora, un indice pari al 31,94%; tale considerevole quota era stata determinata, in particolar modo, dal repentino aumento del numero complessivo di link fraudolenti del genere registratosi all’inizio dello scorso mese di gennaio.

Spam-report_Q2-2014_18_it

Numero di rilevamenti giornalieri riguardanti pagine di phishing preposte ad imitare le pagine web ufficiali di Yahoo! – Periodo: 1° trimestre del 2014

Nel secondo trimestre dell’anno in corso il rilevamento di link di phishing appositamente allestiti per condurre gli utenti verso pagine fasulle di Yahoo! non ha evidenziato particolari picchi a livello di quantità di attacchi condotti.

Già nel mese di gennaio dell’anno corrente, all’interno del proprio blog, la società Yahoo! ha emesso un apposito comunicato relativo all’introduzione del protocollo
HTTPS per impostazione predefinita
relativamente al proprio servizio online di posta elettronica. Tale misura di sicurezza, oltre che a garantire un’adeguata protezione dei dati trasmessi nell’ambito di Yahoo Mail, può, a sua volta, esercitare un ruolo di rilievo nella quotidiana lotta condotta contro i phisher: in effetti, in quei particolari casi relativi ad operazioni di phishing in cui il nome di dominio nella barra degli indirizzi rimane invariato (quando ad esempio è in atto una sostituzione del server DNS – Domain Name System), l’assenza all’interno di tale barra dell’apposito simbolo indicante la connessione protetta deve indubbiamente mettere già in allerta l’utente. Desideriamo tuttavia ricordare come la mancanza di una connessione protetta rappresenti soltanto uno dei possibili segnali relativi all’esistenza di un’eventuale pagina web di phishing, mentre la presenza di tale simbolo di connessione, a sua volta, non garantisce, purtroppo, la piena autenticità del sito Internet sul quale l’utente, in quel preciso momento, sta navigando.

Spam-report_Q2-2014_19it

Classico esempio di pagina web di phishing allestita allo scopo di imitare la pagina Internet ufficiale adibita alla procedura di login relativa al servizio e-mail di Yahoo!

Nel trimestre qui analizzato, il secondo posto della speciale TOP-3 riservata alle organizzazioni più frequentemente sottoposte ad attacchi da parte dei phisher è andato ad appannaggio di Google (8,68%), che ha in tal modo “scalzato” Facebook dal secondo gradino dell’indesiderato podio virtuale. Mentre in precedenza i phisher cercavano di riprodurre la pagina abitualmente utilizzata per accedere al noto servizio di posta elettronica Gmail, adesso, sempre più spesso, è invece facile imbattersi in pagine web di phishing volte ad imitare la pagina di autenticazione che consente agli utenti di accedere all’insieme dei servizi forniti online da Google. Indubbiamente, tale specifico obiettivo si rivela particolarmente allettante per i phisher di ogni latitudine: un unico account per tutto l’universo di Google!

Nel corso del trimestre oggetto della nostra analisi ci siamo trovati di fronte ad un curioso esempio di indubbia avidità ed ingordigia da parte dei phisher, che sembra far addirittura apparire piuttosto limitato, per le sconfinate ambizioni dei malintenzionati del phishing, il vasto mondo di Google.

Spam e phishing nel secondo trimestre del 2014

Come si può vedere, su tale pagina di phishing, volta ad imitare la pagina di autenticazione utilizzata per tutti gli account Google, i phisher hanno persino previsto la possibilità di raccogliere le password abitualmente utilizzate dai titolari degli account e-mail forniti da AOL, Hotmail e Yahoo!.

Il celebre social network Facebook, leader dell’analoga graduatoria relativa allo scorso anno, ha “perso” un’ulteriore posizione in classifica, andando così ad occupare la terza piazza riguardo al numero di rilevamenti effettuati dal componente “Anti-phishing” (8,02%). Gli attacchi di phishing condotti nei confronti degli utenti delle reti sociali hanno sensibilmente “perso terreno” rispetto agli assalti organizzati a scapito dei visitatori dei portali Internet a diffusione globale; ad ogni caso, gli attacchi che intendono bersagliare i social network risultano tuttora particolarmente praticati dai phisher, i quali vanno costantemente a caccia degli account degli utenti di ogni angolo del globo.

I temi caldi del phishing

Nel secondo trimestre del 2014, il tema “stagionale” di maggior rilievo, per le folte schiere dei phisher, è indubbiamente divenuto il Campionato del Mondo di calcio, l’evento sportivo di portata planetaria recentemente svoltosi in Brasile.

Spam e phishing nel secondo trimestre del 2014

“La chance di vincere i biglietti per assistere alla prossima partita della Coppa del Mondo!”

I malfattori della Rete hanno in pratica sfruttato le varie tematiche connesse al mondo del football sino al termine stesso del Campionato del Mondo Brasile 2014. I mailing di massa dedicati a tale specifico tema hanno fatto la loro comparsa già dall’inizio del 2014, per essere poi condotti con sorprendente regolarità lungo tutto l’arco del primo semestre dell’anno. In genere, i phisher hanno mascherato le e-mail contraffatte sotto forma di messaggi provenienti (in apparenza!) da note società ed organizzazioni (in primo luogo direttamente dalla FIFA, la Federazione Internazionale del football); in particolare, i malintenzionati di turno hanno proposto al destinatario dell’e-mail di cliccare sull’apposito link che, secondo quanto generosamente “promesso”, avrebbe dovuto condurre l’utente verso il sito web preposto a distribuire gli ambiti premi messi in palio. I “premi” in questione, così come evidenzia lo screenshot esemplificativo qui sopra riportato, spesso consistevano in (fantomatici) tagliandi per poter assistere a determinati match previsti nel ricco programma della Coppa del Mondo FIFA. Su tale sito web, l’ignaro utente avrebbe dovuto poi inserire i propri dati personali, tra cui, naturalmente, i dati sensibili relativi alla carta di credito utilizzata, obiettivo principe dei malfattori.

Durante il periodo analizzato nel presente report dedicato all’evoluzione dello spam e del phishing è stata inoltre presa di mira, dai phisher, la popolare catena di fast food McDonald’s: nello scorso mese di aprile, in effetti, i malintenzionati hanno cercato di impadronirsi dei dati sensibili relativi alle carte di credito possedute dai visitatori della Rete di lingua portoghese. Nel caso specifico, attraverso il messaggio di posta contraffatto, si comunicava al destinatario dell’e-mail che quest’ultimo avrebbe potuto ricevere la non trascurabile somma di 150 euro proprio dalla catena McDonald’s. Per ottenere l’ambito “premio” la potenziale vittima del raggiro avrebbe dovuto necessariamente cliccare sul link contenuto nel corpo del messaggio, ed in seguito partecipare ad un semplice e rapido sondaggio. Così, sulla pagina web di phishing apertasi dopo aver cliccato sull’apposito link, si proponeva all’utente di rispondere ad alcune veloci domande, dopodiché quest’ultimo avrebbe dovuto inserire nel form allestito per l’occasione tutti i dati relativi alla propria credit card, per rendere possibile l’accredito dell’importo ricevuto in omaggio. Il fatto è che sono proprio questi i dati “preziosi” di cui, ovviamente, vanno ogni giorno a caccia i phisher, mentre gli ignari utenti, solleticati da simili generose “offerte”, e di sicuro eccessivamente fiduciosi, non sospettano minimamente che, in quel preciso momento, stanno invece trasmettendo i propri dati personali a persone malintenzionate, prive di ogni scrupolo.

Spam e phishing nel secondo trimestre del 2014

E’ di particolare interesse rilevare come i messaggi fraudolenti sopra descritti siano stati elaborati in lingua portoghese; con ogni probabilità, quindi, essi erano espressamente destinati agli utenti della Rete ubicati in Brasile e in Portogallo. Da sottolineare, tuttavia, come il testo relativo al suddetto sondaggio fosse stato invece redatto in inglese. Effettivamente, i phisher sono soliti condurre simili “sondaggi” proprio in lingua inglese.

Conclusioni

Nel corso del secondo trimestre del 2014 ci siamo imbattuti in numerosi mailing di massa provenienti da varie società, enti ed organizzazioni canadesi, distribuiti in Rete allo scopo di ottenere il consenso preventivo da parte degli utenti riguardo alla possibilità di inviare, successivamente, ulteriori mailing; tutto questo si è verificato prima che sul territorio del Canada entrasse in vigore, a partire dal 1° luglio scorso, la nuova legge anti-spam (CASL). Nel paese nordamericano, certe società dalle intenzioni non troppo corrette e trasparenti hanno tuttavia approfittato dell’occasione per cercare di attirare nuovi potenziali clienti; così, le suddette richieste di consenso sono state spesso inviate, da tali società senza scrupoli, sulla base di elenchi di indirizzi non selezionati in precedenza, i quali, ovviamente, non comprendevano soltanto i destinatari dei mailing abitualmente inviati. Non possiamo ad ogni caso non rilevare come la legge anti-spam in questione abbia iniziato a produrre determinati effetti persino prima della sua stessa entrata in vigore.

Una delle tematiche che hanno maggiormente contraddistinto i flussi e-mail “spazzatura” del secondo trimestre dell’anno è risultata essere il cosiddetto spam “borsistico”, utilizzato dai malintenzionati nell’ambito di schemi fraudolenti riconducibili alla classica tipologia del “pump and dump”. E’ stato curioso osservare come coloro che si sono “preoccupati” di diffondere in Rete montagne di messaggi di spam esplicitamente dedicati a tale “vecchia” tematica, abbiano ugualmente cercato di eludere l’azione abitualmente svolta dai filtri anti-spam proprio ricorrendo all’utilizzo di “vecchi” metodi, ormai ampiamente collaudati: lo spam grafico e il cosiddetto “testo in bianco”.

Nell’ambito dei flussi di spam che hanno caratterizzato il trimestre oggetto del presente report, la tematica inerente ai dispositivi mobili si è nuovamente manifestata sotto forma di e-mail contraffatte provenienti, in apparenza, da dispositivi provvisti di sistema operativo mobile iOS. La maggior parte di tali messaggi di spam è stata tuttavia confezionata senza tenere in debita considerazione le specifiche tecniche e certi dettagli peculiari della suddetta piattaforma mobile; ciò ha permesso di individuare e “catturare” senza problemi di sorta anche tali mailing di massa.

La prima posizione della speciale graduatoria trimestrale relativa ai programmi maligni rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale risulta nuovamente occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen; si tratta, come è noto, di un temibile spyware, preposto al furto dei dati bancari. Il secondo posto del rating da noi stilato è andato invece ad appannaggio del Trojan bancario “brasiliano” denominato ChePro. Le famiglie di malware maggiormente diffuse sono risultate essere Bublik e Zeus/Zbot. E’ di particolare interesse rilevare come, nel trimestre qui preso in esame, all’interno della TOP-10 del malware, per la prima volta da molto tempo a questa parte, siano presenti ben due exploit, uno dei quali, tra l’altro, è andato immediatamente ad occupare una posizione di vertice, collocandosi, di fatto, sul terzo gradino del “podio” virtuale.

Le numerose tematiche connesse al Campionato del Mondo di calcio Brasile 2014 sono state attivamente sfruttate, dagli spammer, sia per allestire le consuete pubblicità dei più disparati prodotti e servizi, sia nell’ambito dello spam nocivo, preposto a distribuire pericolosi software dannosi nelle e-mail box degli utenti – sia, infine, nell’ambito dello spam riconducibile alle tradizionali campagne di phishing. A tal proposito, è particolarmente significativo il fatto che la quota relativa ai messaggi di spam di natura maligna inoltrati verso il territorio del Brasile durante il secondo trimestre del 2014 sia aumentata di ben 2,5 volte rispetto al primo trimestre dell’anno in corso (principalmente a causa dell’intensa distribuzione del già menzionato Trojan bancario appartenente alla famiglia ChePro, inviato in oltre l’ 80% dei casi proprio ad utenti della Rete situati in Brasile). Sottolineiamo, inoltre, come il Brasile sia andato ad occupare la prima posizione della speciale classifica relativa ai paesi più frequentemente attaccati dai phisher. Per ciò che riguarda, invece, le organizzazioni maggiormente prese di mira dai malintenzionati dediti al phishing, la posizione di leadership è “saldamente” detenuta, come abbiamo visto in precedenza, dai portali Internet.

I dati statistici ottenuti grazie al Kaspersky Security Network, la rete globale di sicurezza da noi implementata attraverso apposite infrastrutture “in-the-cloud”, evidenziano infine come gli Stati Uniti, nel secondo trimestre del 2014, siano andati ad occupare la prima posizione della graduatoria “geografica” relativa alle fonti dello spam mondiale; la seconda e la terza piazza del rating sono invece andate ad appannaggio, rispettivamente, di Russia e Vietnam. E’ di sicuro interesse rilevare come, in numerosi paesi dal territorio particolarmente esteso, una significativa parte dello spam che giunge nelle e-mail box degli utenti, risulti inviata proprio da spammer insediati entro i confini del paese stesso.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *