Spam e phishing nel secondo trimestre del 2016

Contenuti

Spam: le caratteristiche peculiari del trimestre

L’anno del ransomware nello spam

Sebbene sia in pratica terminato, da poco, soltanto il secondo trimestre, possiamo senza ombra di dubbio già definire il 2016 come l’anno dei Trojan “estorsori”. Così come in precedenza, in effetti, anche alla fine del secondo trimestre dell’anno, è risultato essere decisamente elevato, all’interno dei flussi e-mail, il numero dei messaggi di spam contenenti allegati maligni; la maggior parte di questi ultimi, poi, in un modo o nell’altro, fa sì che sui computer-vittima vengano scaricati temibili programmi ransomware. È stato da noi rilevato, ad ogni caso, che nel periodo intercorrente tra il 1° ed il 21 giugno scorsi, la quota percentuale ascrivibile a tale genere di messaggi e-mail malevoli ha fatto registrare una brusca diminuzione.

La stragrande maggioranza degli allegati dannosi è stata distribuita ricorrendo all’utilizzo di archivi ZIP. La repentina flessione qui sopra menzionata si manifesta in maniera evidente sul grafico relativo allo spam provvisto di allegati in formato ZIP, catturato dalle speciali “trappole” antispam da noi allestite:

Spam e phishing nel secondo trimestre del 2016

Numero di e-mail di spam contenenti archivi ZIP nocivi – Situazione relativa al secondo trimestre del 2016

Oltre all’improvviso decremento registratosi nel corso del mese di giugno, possiamo osservare un’ulteriore interessante peculiarità: lo spam riconducibile a tale specifica categoria non viene in pratica distribuito durante i fine settimana.

È possibile osservare un quadro simile anche attraverso il KSN (Kaspersky Security Network); risulta in effetti evidente come il numero dei rilevamenti eseguiti dal nostro modulo antivirus dedicato alla posta elettronica sia sceso drasticamente proprio lo scorso 1° giugno, per poi tornare a crescere, in maniera decisa, nella giornata del 22 giugno.

Spam e phishing nel secondo trimestre del 2016

Ripartizione giornaliera del numero di rilevamenti effettuati dall’antivirus e-mail
nel corso del secondo trimestre del 2016

L’improvviso decremento qui sopra illustrato è da imputare, indubbiamente, alla temporanea inattività della famigerata botnet Necurs, la principale fonte di diffusione dello spam nocivo riconducibile a tale specifica tipologia. Alla ripresa delle attività malevole condotte dai cybercriminali attraverso la rete-zombie in questione, è di fatto apparso mutato il modello utilizzato dagli spammer per elaborare le proprie e-mail indesiderate, mentre gli allegati nocivi, da parte loro, sono divenuti ancor più sofisticati.

Attraverso i messaggi di spam in causa, così come nel trimestre precedente, sono state prevalentemente inviate, ai destinatari delle e-mail, false notifiche e comunicazioni riguardanti presunti assegni, fatture o listini prezzi, “documenti” in apparenza allegati al messaggio di posta malevolo. In realtà, i file allegati alle e-mail “spazzatura” sopra menzionate non contenevano altro se non dei pericolosi Trojan downloader, compilati in Javascript; la maggior parte di tali software malevoli avrebbe poi provveduto all’upload, sul computer-vittima, di Locky, il ransomware crittografico tristemente noto.

Spam e phishing nel secondo trimestre del 2016

Per quel che riguarda, ad esempio, i messaggi di spam nocivo riprodotti tramite gli screenshot qui sopra inseriti, una volta avviata l’esecuzione del file custodito nell’archivio maligno, il Trojan downloader avrebbe scaricato sul computer dell’utente-vittima il programma malware denominato Trojan-Ransom.Win32.Locky.agn, preposto a cifrare i dati presenti sul computer preso di mira, per poi richiedere il pagamento di un sostanzioso riscatto in bitcoin.

Una singolare tecnica di offuscamento

Lungo tutto l’arco del secondo trimestre del 2016, gli spammer hanno continuato a mascherare i propri link, inseriti nei messaggi di posta indesiderati, ricorrendo all’utilizzo di vari set di caratteri Unicode, appositamente impiegati per scopi ben specifici. Tale strategia ha conosciuto una notevole diffusione nel corso del 2015, e sembra godere tuttora di ampia popolarità, presso le folte schiere degli spammer.

Spam e phishing nel secondo trimestre del 2016

Il link presente nel messaggio esemplificativo qui sopra riportato appare, di fatto, nel modo seguente:

Spam e phishing nel secondo trimestre del 2016

Se, tuttavia, convertiamo il dominio in esso contenuto dalla codifica UTF-8 al più familiare aspetto HTML, tale dominio assumerà le sembianze di . Le lettere che lo compongono, pur apparendo del tutto comuni, appartengono, in realtà, al set UTF denominato “Mathematical Alphanumeric Symbols” (simboli matematici alfanumerici), utilizzato nell’ambito di specifiche formule matematiche, e quindi non destinato ad un utilizzo per un testo ordinario o nell’ambito dei collegamenti ipertestuali. Persino il punto presente nel dominio è un simbolo del tutto insolito; si tratta, nella fattispecie, del carattere Unicode definito “fullwidth full stop”, utilizzato nelle lingue caratterizzate dall’impiego di ideogrammi. La rimanente parte dell’hyperlink, invece, così come tutto l’ulteriore testo presente in tale genere di spam, risulta composta da normali lettere dell’alfabeto latino.

Utilizzo di messaggi di spam negli attacchi APT

Nel corso del secondo trimestre del 2016, è stato da noi individuato un certo numero di attacchi APT rivolti al settore corporate. Nella circostanza, i messaggi e-mail risultavano essere stati inviati, a prima vista, da funzionari effettivamente operanti all’interno della società sottoposta ad attacco; tali messaggi contenevano, nella fattispecie, la richiesta di provvedere immediatamente al trasferimento di una determinata somma di denaro in favore di un certo conto bancario. Il testo delle e-mail in questione appariva piuttosto plausibile e verosimile; in esso si alludeva, tra l’altro, a conoscenze personali e precedenti scambi di corrispondenza. In alcuni casi, poi, spiccava persino la presenza del logo aziendale della società presa di mira dagli attacker. In tutti i messaggi, inoltre, si sottolineava la particolare urgenza dell’azione richiesta (“ASAP”, “urgent”, “must be completed today”); i malintenzionati ricorrono spesso a tale metodo, per far sì che, nella fretta, l’interlocutore abbassi la guardia, a livello di vigilanza, attenzione e senso critico.

Riportiamo, qui di seguito, un esempio del possibile contenuto di simili messaggi e-mail:

Hello NNNNN,

How are you doing! Are you available at the office? I need you to process an overdue payment that needs to be paid today.

Thanks,

XXXXX

Le e-mail di spam in causa sono state inviate in maniera estremamente mirata, a singoli dipendenti, generalmente correlati alla sfera finanziaria dell’impresa. Un simile livello di conoscenza e attenzione, da parte dei malintenzionati, testimonia in maniera inequivocabile l’accuratezza applicata da questi ultimi nella fase preparatoria dell’attacco informatico realizzato.

L’elemento di minore attendibilità, nell’ambito degli attacchi qui sopra descritti, è indubbiamente rappresentato dal fatto che il dominio presente nel campo <From> non era in alcun caso riconducibile al quadro aziendale, ma risultava di natura completamente diversa, ad esempio <myfirm.moby>. Qui, probabilmente, gli attaccanti hanno contato sul fatto che alcuni client di posta elettronica mostrano all’utente, per impostazione predefinita, soltanto il nome del mittente, celando, di fatto, il relativo indirizzo e-mail.

Occorre sottolineare, nella circostanza, che non è affatto difficile collocare un falso dominio qualsiasi nel campo <From> del messaggio di posta; è ad ogni caso lecito attendersi, per il futuro, attacchi qualitativamente superiori.

Lo spam ed i principali avvenimenti sportivi

Come è noto, le campagne di spam dedicate ai più svariati eventi dell’attualità internazionale, sono divenute ormai da tempo parte integrante ed imprescindibile nell’ambito delle cosiddette e-mail “spazzatura”. Gli eventi sportivi non risultano così popolari, presso gli spammer, come lo sono, ad esempio, gli avvenimenti politici; sta tuttavia aumentando, di anno in anno, proprio la “domanda” relativa alle manifestazioni legate allo sport. Occorre ad ogni caso tener presente che, mentre si registra un flusso continuo di messaggi di spam in cui vengono costantemente nominati i più diversi esponenti della scena politica mondiale, le e-mail indesiderate che hanno per oggetto le tematiche sportive fanno in genere la loro comparsa, all’interno dei flussi di spam, esclusivamente alla vigilia dell’avvenimento stesso. In questi ultimi tempi, però, stiamo vedendo come i mailing di massa dedicati ai principali eventi dello sport mondiale possano essere intrapresi anche con largo anticipo, rispetto alla data ufficiale di inizio della competizione. Cospicue quantità di messaggi e-mail di spam ispirati alle Olimpiadi di Rio 2016 sono state individuate, ad esempio, già un anno fa, nel corso del secondo trimestre del 2015, all’interno del traffico di posta elettronica globale. La stragrande maggioranza di tali messaggi si è rivelata essere, generalmente, di natura fraudolenta; simili e-mail sono in effetti preposte a raggirare i destinatari delle stesse, con il preciso intento di sottrarre a questi ultimi risorse finanziarie ed informazioni personali.

Un tema classico, per quel che riguarda i messaggi di spam in questione, è inevitabilmente rappresentato dalle false notifiche relative a fantomatiche vincite ottenute grazie ad una speciale lotteria dedicata all’evento olimpico; come al solito, la lotteria risulta (apparentemente!) allestita a nome di qualche ente od organismo ufficiale, mentre l’indirizzo del destinatario dell’e-mail – guarda a caso – è stato casualmente scelto tra milioni e milioni di indirizzi di posta elettronica. Per entrare in possesso della somma “vinta” occorre assolutamente rispondere al messaggio ricevuto, fornendo le informazioni personali richieste.

Spam e phishing nel secondo trimestre del 2016

Sottolineiamo, poi, come spesso il testo del messaggio sia contenuto nel file allegato all’e-mail malevola (in formato .pdf, .doc, .jpg), mentre il corpo della stessa presenta solo un breve testo, attraverso il quale si invita la potenziale vittima ad aprire il file in questione.

Spam e phishing nel secondo trimestre del 2016

Ci siamo tuttavia imbattuti anche nei messaggi di stampo tradizionale, nei quali l’intero testo elaborato dai cyber-truffatori veniva riportato direttamente nel corpo dell’e-mail di spam.

Spam e phishing nel secondo trimestre del 2016

Rileviamo infine che, oltre ai messaggi di posta elettronica di natura fraudolenta, gli spammer hanno ugualmente diffuso in Rete ingenti quantità di spam pubblicitario.

I campionati di calcio, a differenza delle Olimpiadi, vengono sfruttati già da molto tempo, dai truffatori della Rete, per cercare di attirare l’attenzione degli utenti nei confronti delle e-mail via via distribuite. A poche settimane dalla fine del secondo trimestre del 2016 ha avuto inizio, come è noto, il Campionato Europeo di calcio; alla vigilia dell’attesa manifestazione sportiva sono state da noi individuate, nel traffico di spam, numerose false notifiche relative ad improbabili vincite realizzate grazie ad una lotteria dedicata al popolare evento calcistico, il cui contenuto non si differenziava affatto dalle analoghe comunicazioni truffaldine ispirate allo svolgimento dei Giochi Olimpici brasiliani. Anche in tale circostanza, in effetti, i messaggi di posta indesiderata contenevano, in veste di allegato, appositi documenti in cui si rivelava, al destinatario dell’e-mail, l’esito del “fortunato” ed inatteso “sorteggio”.

Spam e phishing nel secondo trimestre del 2016

Nel corso del secondo trimestre dell’anno, il tema calcistico è stato ugualmente utilizzato dai cosiddetti truffatori “nigeriani”. Questi ultimi hanno difatti distribuito messaggi di posta fraudolenti a nome dell’ex-presidente della FIFA, cercando di sfruttare il clamore suscitato dallo scandalo mediatico legato all’accusa di corruzione a carico dell’alto dirigente sportivo – nel tentativo di conferire alle e-mail in questione maggiore veridicità e credibilità. Nella circostanza, gli spammer “nigeriani” hanno di sicuro ritenuto di poter contare sul fatto che la fantasiosa “storia” da essi ideata (liberamente ispirata alle vicende di corruzione di recente addebitate a Joseph Blatter), secondo la quale l’ex patron svizzero del calcio mondiale, durante il lungo periodo di presidenza della FIFA, avrebbe ricevuto ingenti somme di denaro in forma non ufficiale, denaro poi trasferito in gran segreto sul proprio conto, presso una banca europea – non avrebbe destato alcun sospetto da parte degli utenti. Stessa cosa, naturalmente, riguardo all’improbabile richiesta di custodire al sicuro l’ingente somma di denaro, sul conto bancario appartenente al destinatario del messaggio, a fronte di una lauta ricompensa, pari, addirittura, al 40% dell’importo complessivo in causa.

Spam e phishing nel secondo trimestre del 2016

Per cercare di convincere la potenziale vittima riguardo all’autenticità dell’autore dell’e-mail, i truffatori sono ricorsi all’utilizzo di uno dei metodi standard da essi praticati, il quale consiste nell’indicare, nel campo riservato al mittente, un nome decisamente “appropriato” per ciò che riguarda l’autore del messaggio, così come l’effettivo dominio della corrispondente organizzazione.

I personaggi politici americani nei flussi di spam

Negli Stati Uniti è ormai in pieno svolgimento la fase finale della lunga campagna elettorale per la presidenza degli USA; i personaggi politici in lizza per la Casa Bianca, così come i rispettivi entourage, sono ovviamente oggetto, al momento attuale, di costanti attenzioni da parte dei mass media di tutto il mondo. Gli spammer, da parte loro, non sono di certo rimasti a guardare; essi, in effetti, nel corso del trimestre qui analizzato, hanno indebitamente ed ampiamente utilizzato i nominativi di celebri esponenti politici statunitensi nell’ambito dei messaggi e-mail di natura fraudolenta o pubblicitaria progressivamente allestiti. Così, ad esempio, un considerevole numero di e-mail “nigeriane” è stato inviato a nome dell’attuale presidente degli Stati Uniti, Barack Obama, e della moglie di quest’ultimo, Michelle Obama. Attraverso le proprie missive “ufficiali”, il “presidente” e la “first lady” hanno cercato di rassicurare i destinatari delle e-mail riguardo al fatto che, a nome ed in favore di questi ultimi, era stata già emessa una speciale carta bancaria, oppure, in alternativa, era stato già sottoscritto un cospicuo assegno, per un importo davvero elevato. In pratica, si sarebbe rivelato necessario espletare soltanto alcune semplici formalità, e la consistente somma di denaro sarebbe stata messa a disposizione – nel più breve tempo possibile – del fortunato possessore dei suddetti strumenti di incasso. Le istruzioni necessarie per poter realizzare tutto questo, provenienti direttamente dalla “Casa Bianca”, sarebbero state poi ottenute dopo aver trasmesso agli indirizzi di posta elettronica fasulli indicati nei messaggi, tutta una serie di informazioni di carattere personale, incluso l’indirizzo e-mail e la relativa password, nonché dati particolarmente dettagliati inerenti al passaporto della vittima.

Spam e phishing nel secondo trimestre del 2016

Un altro famoso personaggio politico, il cui nome è comparso di frequente all’interno dei flussi di spam globali del secondo trimestre del 2016, è di sicuro Donald Trump, uno dei due candidati alla poltrona presidenziale degli Stati Uniti. Gli screenshot qui sotto riportati illustrano, ad esempio, una modalità davvero unica, suggerita (apparentemente!) dallo stesso Trump, per realizzare interessanti guadagni online; secondo quanto promettono gli spammer, grazie a tale metodo potrà facilmente arricchirsi chiunque desideri venire a conoscenza di ulteriori dettagli riguardo al piano proposto, cliccando semplicemente sul link inserito nel messaggio e-mail. È di particolare interesse rilevare come i messaggi in questione siano stati elaborati sotto forma di vere e proprie news, “diramate”, rispettivamente, da CNN e Fox News.

Spam e phishing nel secondo trimestre del 2016

I collegamenti ipertestuali presenti su tali e-mail sono di fatto destinati a condurre l’utente verso siti di news fasulli, anch’essi realizzati nel tipico stile che caratterizza i principali canali di informazione e le reti di notizie che operano su scala globale. Nella fattispecie, la notizia offerta viene poi presentata in veste di racconto atto ad illustrare un semplice metodo per realizzare consistenti profitti; in realtà, la singolare iniziativa intrapresa dagli spammer si è rivelata essere soltanto una variazione sul tema, riguardo ad uno degli intenti principali che animano le campagne di spam: la pubblicazione di hyperlink di ogni genere e tipo. Ad ogni caso, per poter partecipare al programma consigliato, l’utente avrebbe dovuto innanzitutto registrarsi, fornendo così ai malintenzionati i propri dati personali, tra cui numero di telefono ed indirizzo e-mail.

Le statistiche del secondo trimestre 2016

Quota di spam nel traffico di posta elettronica

Spam e phishing nel secondo trimestre del 2016

Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale –
Primo e secondo trimestre 2016

La quota più elevata di messaggi e-mail indesiderati è stata riscontrata, in seno ai flussi globali di posta elettronica del secondo trimestre dell’anno in corso, nel mese di maggio; il valore di tale indice (59,46%) è difatti risultato superiore di quasi 3 punti percentuali rispetto all’analoga quota rilevata nel mese di aprile 2016. Riassumendo, nel secondo trimestre del 2016 la quota relativa ai messaggi di spam presenti all’interno del traffico e-mail mondiale si è attestata su un valore medio pari al 57,25% del volume totale dei messaggi di posta elettronica circolanti in Rete.

Geografia delle fonti di spam

Spam e phishing nel secondo trimestre del 2016

Geografia delle fonti di spam rilevate nel secondo trimestre del 2016 – Graduatoria su scala mondiale

Osserviamo, innanzitutto, come nel secondo trimestre dell’anno corrente sia rimasta invariata la composizione della “trojka” dei paesi leader della speciale graduatoria relativa alle fonti geografiche dello spam mondiale, inerente ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura”: le prime tre posizioni della classifica qui esaminata risultano in effetti nuovamente occupate da Stati Uniti (10,79%), Vietnam (10,10%) e India (10,01%). Per contro, hanno fatto registrare sostanziali variazioni gli indici attribuibili a tali paesi; da rilevare, in particolar modo, come il gap percentuale che divide questi ultimi si sia davvero assottigliato ai minimi termini.

La quarta piazza del rating è andata ad appannaggio della Cina (6,52%), la cui quota, nel trimestre oggetto del presente report, ha evidenziato un aumento di 1,43 punti percentuali; ricordiamo che il paese-colosso dell’Estremo Oriente, nell’analoga graduatoria del trimestre precedente, occupava la quinta posizione. Al quinto posto del ranking globale delle fonti di spam troviamo poi il Messico (4,55%), seguito, nella speciale classifica da noi elaborata, da Russia (4,07%) e Francia (3,60%). Il Brasile (3,28%), quarto nell’analoga graduatoria relativa al primo trimestre dell’anno, ha visto il proprio indice diminuire di 2,2 punti percentuali, ed è in tal modo sceso all’ottavo posto del rating. Le ultime due posizioni della TOP-10 inerente al secondo trimestre del 2016 risultano infine occupate da Germania (2,97%) e Turchia (2,30%).

Dimensioni dei messaggi di spam

Spam e phishing nel secondo trimestre del 2016

Dimensioni delle e-mail di spam – Primo e secondo trimestre del 2016 a confronto

Come da tradizione ormai consolidata, anche nel trimestre oggetto della nostra analisi, il quadro relativo alla ripartizione delle e-mail di spam in base alle dimensioni delle stesse vede nuovamente prevalere, con il solito ampio margine percentuale, i messaggi “spazzatura” aventi dimensioni estremamente contenute, sino a 2 kilobyte (72,26%); la quota percentuale ad essi ascrivibile ha tuttavia evidenziato un decremento piuttosto significativo, pari al 9,6%. Per contro, all’interno del traffico di posta elettronica globale del secondo trimestre dell’anno in corso, risulta considerevolmente aumentata (+ 6,76%) la quota inerente ai messaggi e-mail indesiderati aventi dimensioni comprese tra i 10 ed i 20 Кb. Le quote relative alle altre categorie presenti in classifica hanno invece mostrato variazioni del tutto trascurabili rispetto ai valori per esse rilevati nel trimestre precedente.

Allegati maligni rilevati nel traffico e-mail

Attualmente, la maggior parte dei programmi malware viene rilevata in maniera proattiva, per mezzo di strumenti automatici; questo complica considerevolmente la raccolta di dati statistici riguardo alle specifiche varianti di software nocivo. Abbiamo pertanto deciso di offrire un quadro più completo dal punto di vista informativo, fornendo, di fatto, le statistiche relative alla TOP-10 delle famiglie di malware maggiormente diffuse nel traffico e-mail, sulla base delle singole quote percentuali inerenti ai rilevamenti ascrivibili ad ognuna delle famiglie in questione, rispetto al numero complessivo di rilevamenti eseguiti dal nostro modulo antivirus dedicato alla posta elettronica.

TOP-10 relativa alle famiglie di malware

Notiamo innanzitutto come, nel secondo trimestre del 2016, anche all’interno di tale rating sia rimasta invariata la “trojka” dei leader; così come in precedenza, in effetti, le prime tre posizioni della speciale graduatoria risultano occupate, rispettivamente, dalle seguenti famiglie di malware: Trojan-Downloader.JS.Agent (10,45%), Trojan-Downloader.VBS.Agent (2,16%) e Trojan-Downloader.MSWord.Agent (1,82%).

La famiglia denominata Trojan.Win32.Bayrob, inoltre, ha “guadagnato” una posizione in classifica rispetto al trimestre precedente, andando in tal modo ad occupare la quarta piazza del rating, con una quota pari all’1,7%. Per contro, la famiglia di software nocivi classificata come Backdoor.Win32.Androm (0,55%) ha “perso” alcune posizioni all’interno della speciale TOP-10 del malware da noi stilata, scendendo, di fatto, dal 4° al penultimo posto della graduatoria.

Spam e phishing nel secondo trimestre del 2016

TOP-10 relativa alle famiglie di malware maggiormente diffuse nel traffico e-mail globale –
Situazione riguardante il secondo trimestre del 2016

Rileviamo, poi, nell’ambito delle nuove famiglie di malware che sono entrate a far parte del rating qui sopra riportato, la presenza della famiglia denominata Trojan.Win32.Inject (0,61%). I programmi maligni appartenenti a tale famiglia si caratterizzano per il fatto di iniettare il proprio codice dannoso nello spazio di indirizzamento degli altri processi.

Chiude infine la nostra TOP-10, così come nel trimestre precedente, la famiglia di malware denominata Trojan-Spy.HTML.Fraud (0,55%).

Paesi maggiormente bersagliati dai mailing di massa maligni

Spam e phishing nel secondo trimestre del 2016

Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail
nel corso del secondo trimestre del 2016

La prima posizione del ranking qui analizzato risulta occupata, così come nel primo trimestre del 2016, dalla Germania (14,69%), la cui quota ha fatto tuttavia registrare un significativo decremento, quantificabile in 4,24 punti percentuali. Sul secondo gradino del “podio” virtuale si è poi insediata la Cina (13,61%); l’indice percentuale ad essa ascrivibile ha invece fatto segnare, complessivamente, un considerevole aumento, pari al 4,18%. La terza piazza del ranking è andata ad appannaggio del Giappone (6,42%); ricordiamo a tal proposito che, nel primo trimestre dell’anno in corso, il Paese del Sol Levante occupava “soltanto” la settima posizione della graduatoria, con una quota del 4,29%.

Il Brasile (5,57%), da parte sua, è andato a collocarsi al quarto posto della speciale classifica, relativa ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo; rileviamo, inoltre, come la quinta piazza del rating da noi stilato sia occupata dall’Italia, il cui indice trimestrale si è attestato su un valore pari al 4,86%. Al sesto posto, così come nel trimestre precedente, troviamo poi la Russia, con una quota pari a 4,4 punti percentuali.

Continuando ad esaminare la graduatoria in questione, inerente ai paesi maggiormente presi di mira dai flussi di spam recanti messaggi e-mail con allegati maligni, osserviamo la presenza degli Stati Uniti (4,06%) al settimo posto del rating; chiude infine la TOP-10 l’Austria, il cui indice (2,29%) risulta lievemente diminuito rispetto all’analogo valore fatto registrare nel primo trimestre dell’anno.

Phishing

Nel secondo trimestre del 2016, grazie al sistema “Anti-phishing” sono stati prevenuti e neutralizzati ben 32.363.492 tentativi, da parte degli utenti dei prodotti Kaspersky Lab, di accedere a pagine web di phishing. Si tratta, complessivamente, di 2,6 milioni di rilevamenti in meno rispetto all’analogo valore riscontrato relativamente al primo trimestre dell’anno in corso. In totale, lungo tutto l’arco del trimestre qui preso in esame, è stato attaccato, dai phisher, l’8,7% del numero complessivo di utenti unici dei prodotti Kaspersky Lab, ubicati nei vari paesi del globo.

Geografia degli attacchi

La quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Cina (20,22%). Sottolineiamo come, nel secondo trimestre del 2016, l’indice attribuibile al paese asiatico abbia fatto registrare un sensibile incremento, pari a 3,52 punti percentuali.

Spam e phishing nel secondo trimestre del 2016

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al secondo trimestre del 2016

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

Rileviamo, poi, come sia sostanzialmente diminuita (- 2,87%) la quota inerente agli utenti sottoposti ad attacco in Brasile; l’indice relativo al paese sudamericano si è in effetti attestato, nel secondo trimestre dell’anno, su un valore pari al 18,63%. Questo ha fatto sì che il Brasile, leader dell’analogo rating stilato riguardo al trimestre precedente, scendesse al secondo posto della TOP-10 qui analizzata. Al terzo posto della graduatoria troviamo poi l’Algeria (14,3%), il cui indice, nell’arco dei tre mesi, ha evidenziato un aumento di 2,92 punti percentuali.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Cina 20,22%
Brasile 18,63%
Algeria 14,3%
Gran Bretagna 12,95%
Australia 12,77%
Vietnam 11,46%
Ecuador 11,14%
Cile 11,08%
Qatar 10,97%
Maldive 10,94%

Quadro delle organizzazioni sottoposte agli attacchi di phishing

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare tutte le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link malevoli presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – nel caso in cui i collegamenti ipertestuali che conducono a tali pagine non risultino ancora inseriti nei database di Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Nell’ambito della speciale classifica riservata alle organizzazioni sottoposte con maggiore frequenza agli attacchi portati dai phisher, è considerevolmente diminuita, nel corso del secondo trimestre del 2016, la quota percentuale attribuibile alla categoria “Portali Internet globali” (20,85%), rivelatasi peraltro leader dell’analoga classifica inerente al trimestre precedente; nella circostanza, il decremento da noi osservato è risultato pari al 7,84%. Per contro, ha fatto registrare un significativo aumento (+ 2,07%) l’indice percentuale relativo ai rilevamenti eseguiti dal componente euristico del sistema “Anti-phishing” riguardo alla categoria denominata “Organizzazioni finanziarie” (46,23%), la quale riunisce, a sua volta, le singole categorie “Banche” (25,43%; + 1,51%), “Sistemi di pagamento” (11,42%; – 0,42%) e “Negozi Internet” (9,39%; + 0,99%).

8-it

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing
nel corso del secondo trimestre del 2016

Rileviamo, inoltre, un pronunciato aumento della quota ascrivibile alla categoria “Social network” (+ 2,65%), la quale si è complessivamente attestata su valore pari al 12,4%; è poi cresciuto di 1,96 punti percentuali, rispetto all’analogo valore per esso riscontrato nel primo trimestre del 2016, l’indice relativo alla categoria “Giochi online” (5,65%). Osserviamo, infine, una diminuzione di 1,17 punti percentuali della quota attribuibile alla categoria “Fornitori di servizi di telefonia ed Internet provider” (4,33%), così come un notevole decremento (- 2,15%) dell’indice percentuale inerente ai “Programmi di messaggistica istantanea” (1,28%).

I temi “caldi” del trimestre

I Giochi Olimpici di Rio de Janeiro 2016

Ormai da alcuni anni il Brasile fa stabilmente parte del novero dei paesi che presentano le quote percentuali più elevate di utenti sottoposti ad attacco da parte dei phisher. Nel 2015 e nel 2016, le disoneste attenzioni di malintenzionati e truffatori sono state attirate, in particolar modo, dall’imminente svolgimento dei Giochi Olimpici, l’evento sportivo di risonanza planetaria in programma in Brasile nell’estate dell’anno in corso. Tra l’altro, nel primo trimestre del 2016 sono divenuti potenziali vittime dei phisher non solo gli utenti ordinari della Rete, ma anche gli stessi organizzatori dell’Olimpiade brasiliana.

Spam e phishing nel secondo trimestre del 2016

Ovviamente, il grande “clamore” suscitato dall’evento olimpico è stato oggetto di continue e crescenti attenzioni ostili, da parte di numerosi esponenti della cybercriminalità, anche nel corso del trimestre oggetto del presente report, con l’avvicinarsi della data di apertura delle Olimpiadi di Rio 2016. Gli stessi truffatori della Rete non sono di certo rimasti a guardare, ed hanno provveduto ad inviare nelle e-mail box degli utenti false notifiche relative a fantomatiche vincite ottenute grazie ad una speciale lotteria dedicata al popolare evento sportivo, lotteria organizzata, apparentemente, dallo stesso governo del paese sudamericano e dal Comitato Olimpico, per celebrare l’attesa edizione brasiliana dei Giochi.

Un “pornovirus” destinato agli utenti di Facebook

Gli utenti di Facebook, il celebre social network, risultano spesso sottoposti ad attacchi orditi dai phisher. Nel corso di uno di tali assalti, verificatosi proprio nel secondo trimestre dell’anno, i malintenzionati hanno preso di mira le potenziali vittime prospettando, per queste ultime, la possibilità di visualizzare un video “provocante”. Per far questo, gli utenti avrebbero dovuto recarsi su una pagina web fasulla, realizzata nello stile di YouTube, il popolare e frequentatissimo portale video, per poi installare un’apposita estensione per il browser.

Spam e phishing nel secondo trimestre del 2016

Tale estensione avrebbe di fatto richiesto i diritti per poter leggere tutti i dati custoditi nel browser; potenzialmente, ciò avrebbe permesso ai malintenzionati di carpire, in seguito, password e login via via immessi dall’utente, nonché i dati sensibili relativi alle carte di credito utilizzate da quest’ultimo, ed altre informazioni di natura confidenziale appartenenti alla vittima. L’estensione nociva, inoltre, avrebbe successivamente diffuso su Facebook, a nome dello stesso utente preso di mira, ulteriori link malevoli, destinati a condurre verso se stessa.

Trucchi e sotterfugi utilizzati dai phisher

Violazione di domini caratterizzati da buona reputazione

Per bypassare i filtri implementati attraverso i software di sicurezza, i malintenzionati cercano di collocare le pagine web di phishing all’interno di domini che godono di una buona reputazione. In tal modo, si riducono considerevolmente le probabilità che le pagine malevole possano essere bloccate, mentre aumenta, in maniera speculare, il livello di fiducia da parte delle potenziali vittime. Ad esempio, rappresenta di sicuro un notevole successo, per i phisher, riuscire a sfruttare, per i propri loschi fini, un dominio appartenente ad un istituto bancario, oppure ad un’organizzazione statale. Nel trimestre qui preso in esame ci siamo imbattuti in un attacco di phishing rivolto ai visitatori di un popolare sito brasiliano dedicato al commercio elettronico: nella circostanza, la pagina web fasulla era stata collocata, dai malintenzionati, sul dominio di un’importante banca indiana. Non si tratta affatto del primo caso in cui i malfattori violano il dominio web appartenente ad una banca di primaria importanza, per poi posizionare all’interno di esso i propri contenuti fraudolenti.

Spam e phishing nel secondo trimestre del 2016

Le varie fasi dell’assalto di phishing diretto agli utenti del frequentato negozio online brasiliano <americanas.com>

Nel momento in cui l’utente cerca di acquistare i prodotti presenti sulla pagina Internet contraffatta, relativa al negozio di e-commerce in questione, vengono richieste, alla vittima, numerose informazioni di carattere personale. Per compiere la successiva operazione di pagamento, i malfattori propongono all’ignaro cliente di stampare una sorta di assegno (sotto forma di “boleto”, il noto strumento di pagamento molto utilizzato, in Brasile, soprattutto dalle persone che non possiedono carte di credito), contenente il logo di un noto istituto bancario brasiliano.

Con una frequenza ancora maggiore, siamo soliti imbatterci, poi, in episodi di hacking che hanno per oggetto la violazione, da parte dei phisher, di domini web riconducibili ad organizzazioni statali. Nel trimestre qui analizzato, ad esempio, sono stati da noi individuati numerosi casi in cui i cybercriminali hanno provveduto a collocare insidiose pagine di phishing su domini Internet appartenenti ad autorità statali ed enti governativi di vari paesi. Riportiamo, qui di seguito, alcuni specifici esempi in merito:

Spam e phishing nel secondo trimestre del 2016

Pagine web di phishing collocate all’interno di domini web riconducibili ad autorità statali ed istituzioni governative.

Occorre sottolineare come in tal modo – grazie alla buona reputazione di cui gode il dominio compromesso dai malfattori – si riducano sensibilmente le probabilità che tali link malevoli possano essere inseriti nelle apposite blacklist.

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

I truffatori, naturalmente, cercano di concentrare il più possibile i loro sforzi nei confronti degli utenti dei brand che godono di maggior popolarità; questo consente ai malintenzionati del phishing di vedere considerevolmente aumentate le proprie chance di cogliere nel segno, e realizzare, quindi, attacchi di phishing dall’esito – per essi – positivo. Più della metà del numero complessivo dei rilevamenti effettuati dal componente euristico del nostro sistema “Anti-phishing” riguarda pagine web di phishing che intendono sfruttare in maniera indebita il nome e la popolarità di meno di 15 note società ed organizzazioni.

Alle tre organizzazioni più frequentemente sottoposte agli attacchi condotti dai phisher nel corso del secondo trimestre del 2016 è invece riconducibile il 23% del volume complessivo dei rilevamenti eseguiti grazie al componente euristico del sistema “Anti-phishing”.

Organizzazione % di rilevamenti eseguiti
1 Microsoft 8,1
2 Facebook 8,03
3 Yahoo! 6,87

La composizione della TOP-3 del secondo trimestre 2016, che riunisce i principali obiettivi degli assalti compiuti dai phisher – a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di malintenzionati della Rete – presenta alcune variazioni rispetto all’analogo rating relativo al primo trimestre dell’anno in corso. La speciale graduatoria da noi stilata risulta in effetti capeggiata, adesso, da Microsoft (8,1%), la cui quota, nell’arco di un trimestre, ha fatto registrare un incremento pari a 0,61 punti percentuali. Il secondo gradino del “podio” virtuale è andato ad appannaggio di Facebook (8,03%); l’indice ascrivibile al popolare social network risulta aumentato di ben 2,32 punti percentuali rispetto a quanto riscontrato nel trimestre precedente. Per contro, la società Yahoo! (6,87%), leader dell’analoga TOP-3 relativa al primo trimestre del 2016, ha di fatto “perso” l’1,49%, ed è così andata a collocarsi in terza posizione.

Il leader del secondo trimestre dell’anno, Microsoft, viene da noi considerato facente parte della categoria “Portali Internet globali”, visto che, ricorrendo all’utilizzo di un unico account, l’utente è in grado di acquisire l’accesso ad un gran numero di servizi online offerti da tale corporation. Una simile circostanza, tuttavia, attira in particolar modo le attenzioni dei malfattori, in quanto questi ultimi, nel caso in cui anche uno solo degli attacchi da essi sferrati vada a segno, possono ottenere l’accesso a tutta una serie di servizi di cui si avvale l’utente-vittima.

Spam e phishing nel secondo trimestre del 2016

Esempio di pagina web di phishing indirizzata agli utenti di <Live.com>, il noto servizio allestito
dalla società Microsoft

Conclusioni

Nel secondo trimestre del 2016, la quota relativa alle e-mail di spam presenti nei flussi di posta elettronica globali si è attestata su un valore medio pari al 57,25% del volume totale dei messaggi di posta circolanti in Rete, facendo registrare un lieve aumento (+ 0,33%) rispetto all’analogo indice rilevato riguardo al primo trimestre dell’anno in corso. Così come in precedenza, la speciale graduatoria relativa alla ripartizione geografica delle fonti dello spam mondiale, risulta capeggiata dagli Stati Uniti. La composizione della “trojka” dei paesi leader di tale rating viene completata, come nel trimestre precedente, da Vietnam e India.

La prima posizione del ranking relativo ai paesi maggiormente bersagliati dai mailing di massa recanti allegati maligni, è andata nuovamente ad appannaggio della Germania; segue, in classifica, la Cina, con uno scarto percentuale minimo (di poco superiore all’1%). Il terzo gradino del podio “virtuale” risulta occupato dal Giappone; ricordiamo che, nel primo trimestre del 2016, il Paese del Sol Levante si trovava al settimo posto del rating in questione.

La famiglia di malware maggiormente diffusa nel traffico e-mail globale continua ad essere Trojan-Downloader.JS.Agent; seguono, nell’ambito della speciale TOP-10 da noi stilata, le famiglie di software nocivi denominate Trojan-Downloader.VBS.Agent e Trojan-Downloader.MSWord.Agent. È di particolare rilevanza osservare come una significativa quantità dello spam nocivo distribuito dai malintenzionati sia stata di fatto destinata alla diffusione dei cosiddetti Trojan “estorsori”, quali, ad esempio, il famigerato Locky. È inoltre interessante rilevare come, nel corso del trimestre qui esaminato, i malfattori abbiano interrotto per quasi un mese l’invio di tale genere di spam dannoso, finché, poi, è entrata nuovamente in azione la botnet Necurs, principale responsabile della distribuzione dei temibili programmi ransomware. Non ci attendiamo, nell’immediato futuro, una significativa diminuzione del volume di spam maligno all’interno dei flussi e-mail; potranno tuttavia manifestarsi importanti cambiamenti per quel che riguarda i modelli adottati per l’elaborazione dei messaggi di spam, la complessità degli stessi programmi malware, i metodi di ingegneria sociale utilizzati dai cybercriminali, attraverso i quali i malintenzionati cercano costantemente di indurre gli utenti-vittima a lanciare l’esecuzione dell’allegato dannoso.

È leggermente mutato l’orientamento degli attacchi di phishing; gli assalti condotti dai phisher, in precedenza rivolti soprattutto alla categoria “Portali Internet globali”, hanno in effetti spostato progressivamente il loro asse verso le tematiche inerenti alle “Organizzazioni finanziarie”.

Sia nell’ambito del phishing, sia nello spam, i truffatori della Rete hanno fatto ampiamente ricorso al tema dei Giochi Olimpici di Rio de Janeiro 2016. Sfruttando le tematiche “olimpiche”, i malintenzionati hanno cercato di indirizzare ingannevolmente le loro vittime verso pagine web fasulle, per cercare di carpire informazioni di natura confidenziale, oppure procedere direttamente al furto di cospicue somme di denaro.

Sottolineiamo, in conclusione, come nel trimestre oggetto del presente report siano nuovamente finiti nel mirino degli spammer gli avvenimenti politici di particolare rilevanza globale, quali, ad esempio, le ormai prossime elezioni presidenziali negli USA. Nel quadro delle attività di phishing, infine, i malintenzionati hanno attivamente utilizzato numerosi siti web violati, appartenenti ad autorità statali ed istituzioni governative.

La tendenza principale del trimestre è ad ogni caso rappresentata dal tentativo fraudolento, da parte dei cybercriminali, di impossessarsi del denaro degli utenti-vittima ricorrendo a soluzioni malevole piuttosto dirette, non troppo intricate, come, ad esempio, l’utilizzo dei famigerati Trojan crittografici – attraverso i quali viene imposto alle vittime il pagamento di un riscatto – o la conduzione di campagne di phishing rivolte a note organizzazioni operanti nella sfera finanziaria. Simili circostanze non fanno altro che confermare, una volta di più, l’impellente necessità di un’efficace e completa protezione IT per i computer degli utenti, così come il bisogno di un ulteriore innalzamento del livello di attenzione e vigilanza da parte degli utilizzatori di Internet.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *