Spam e phishing nel terzo trimestre del 2014

Contenuti

Spam: le caratteristiche peculiari del trimestre

Il lancio sul mercato dell’iPhone 6

Nello scorso mese di settembre ha avuto luogo un avvenimento particolarmente eclatante per il settore dell’industria IT, costituito dalla presentazione al pubblico di tutto il mondo, e dalla conseguente messa in vendita, del nuovo smartphone iPhone 6. Come era lecito attendersi, gli spammer ed i criminali informatici non potevano ovviamente ignorare tale novità; ne è conseguito che, lungo tutto l’arco del trimestre oggetto della nostra analisi, all’interno del traffico globale di posta elettronica abbiamo osservato un sensibile aumento del numero dei messaggi di spam volti a sfruttare, in maniera indebita, il noto brand statunitense. A seguito dell’attesa release del nuovo smartphone della Mela si è ugualmente registrato un considerevole incremento, in seno ai flussi dello spam mondiale, del numero delle notifiche di phishing, e più precisamente dei messaggi di posta fasulli provenienti, in apparenza, da noti servizi Apple, particolarmente popolari presso il pubblico della Rete, quali iTunes e iCloud.

A dir la verità, gli spammer hanno iniziato ad offrire il nuovo dispositivo mobile già molto tempo prima della data stessa in cui è stato organizzato, da parte della società di Cupertino, il consueto evento mediatico abitualmente allestito per il lancio dei prodotti hardware e software sviluppati dall’azienda californiana, stavolta incentrato sulla release ufficiale del nuovo prodotto sopra menzionato. In effetti, coloro che si dilettano ad inondare le e-mail box degli utenti delle Rete di montagne di messaggi di spam hanno insistentemente proposto il nuovo modello di smartphone quale ambito premio per la semplice partecipazione a sondaggi, oppure alla vendita di azioni, per l’acquisto dei prodotti via via reclamizzati e per l’eventuale utilizzo dei servizi proposti alla potenziale clientela Internet da parte degli stessi spammer. Il noto smartphone alla moda è stato inoltre “messo in palio” in numerose lotterie online, nonché “consegnato” agli utenti tramite false notifiche relative a fantomatiche vincite realizzate attraverso altrettanto inesistenti lotterie. Gli spammer hanno infine proposto l’acquisto dell’iPhone 6 a prezzi incredibilmente bassi (rispetto al prezzo ufficiale di acquisto stabilito per tale dispositivo mobile).

Spam e phishing nel terzo trimestre del 2014

Rispetto ai modelli precedenti, nel design dell’iPhone 6 sono indubbiamente intervenuti alcuni significativi cambiamenti; in particolar modo, sono state modificate le dimensioni dello schermo. Tale elemento ha involontariamente generato, di riflesso, un repentino aumento del numero dei messaggi di spam pubblicitario inoltrati nelle caselle di posta elettronica degli utenti per conto delle fabbriche produttrici di ogni possibile tipologia di accessori ad hoc; queste ultime, ad esempio, hanno attivamente proposto ai potenziali clienti della Rete sia l’acquisto di apposite custodie per il nuovo dispositivo mobile, sia l’acquisto di pellicole protettive per il relativo schermo, adatte alle nuove dimensioni dello smartphone prodotto dalla casa di Cupertino.

In tal modo, un unico avvenimento, per quanto di risonanza mondiale, è servito agli spammer come ghiotta occasione per incrementare le quantità di e-mail indesiderate da essi distribuite, messaggi di spam, peraltro, di genere ed orientamento completamente diversi tra loro (sia fraudolento che pubblicitario). In molti casi, il lancio sul mercato tecnologico globale dell’iPhone 6 e dell’iPhone 6 Plus si è trasformato in un potente meccanismo, adottato dagli spammer di ogni latitudine, per cercare di attirare al massimo l’attenzione dei destinatari delle suddette e-mail nei confronti del contenuto principale presente nei messaggi di posta indesiderata; in effetti, la sola menzione del nuovo iPhone, a livello di titolo (od oggetto) del messaggio e-mail di spam, è servita, di per se stessa, ad accrescere considerevolmente le chance di una possibile lettura del messaggio da parte degli utenti.

Lo spam come strumento per realizzare il furto di indirizzi e-mail

Nel trimestre oggetto del presente report si sono verificate alcune importanti fughe di login e password relativi ad account registrati presso sistemi di posta elettronica notevolmente estesi. I dati in questione hanno poi fatto la loro comparsa in Rete; tale spiacevole circostanza ha sollevato non di poco le giustificate preoccupazioni degli utenti, generando al tempo stesso attive ed insistite discussioni riguardo alle problematiche inerenti alla riservatezza e alla confidenzialità delle informazioni di natura sensibile. Occorre tuttavia sottolineare come le società proprietarie dei servizi di posta presi di mira abbiano dichiarato che la maggior parte degli account pubblicati sul web era stata ormai dismessa da tempo, non risultando pertanto più utilizzata, mentre gli account e-mail violati ancora attivi, in numero peraltro limitato, erano stati verosimilmente carpiti mediante apposite operazioni di phishing.

È ben noto come i dati identificativi di un account di posta elettronica possano di fatto permettere ai malintenzionati di accedere non soltanto alla corrispondenza personale intrattenuta dal titolare di tale account, e al relativo elenco dei contatti, ma anche ad altri servizi online forniti dall’hosting di posta. Quindi, nelle avide mani dei malfattori possono cadere login e password utilizzati per l’accesso ad altre popolari risorse web, quali social network o negozi online, risorse registrate sulla casella di posta elettronica in causa. La forte “domanda” di login e password relativi alle e-mail box degli utenti – che si sta attualmente manifestando negli ambienti cybercriminali – viene indiscutibilmente confermata dall’elevato numero di messaggi di phishing, da noi individuati all’interno del traffico di posta elettronica, volti a realizzare in maniera diretta il furto di tali dati sensibili. Lungo tutto l’arco del terzo trimestre dell’anno in corso ci siamo difatti imbattuti in una vera e propria schiera di e-mail di phishing che si sono avvalse di vari metodi illeciti per cercare di carpire agli utenti i dati in questione. Riportiamo, qui di seguito, alcuni esempi in merito.

  1. Notifiche in cui la pagina HTML di phishing è risultata direttamente allegata al messaggio di posta elettronica.
  2. Spam e phishing nel terzo trimestre del 2014

  3. Notifiche contenenti i link di phishing nel testo del messaggio e-mail. Il collegamento ipertestuale fasullo è stato abbinato ad un frammento di testo, oppure è stato inserito all’interno del testo presente nel messaggio di posta. Sottolineiamo, nella circostanza, come i malfattori, spesso, collochino le pagine web di phishing all’interno di domini di terzo livello, appositamente creati.
  4. Spam e phishing nel terzo trimestre del 2014

    Spam e phishing nel terzo trimestre del 2014

  5. Notifiche in cui si richiedeva di inviare ad un determinato indirizzo di posta elettronica l’indirizzo e-mail dell’utente-vittima, così come la relativa password.

Spam e phishing nel terzo trimestre del 2014

Fra i trucchi maggiormente utilizzati dai phisher nel corso del terzo trimestre, nel tentativo di impadronirsi di tale genere di dati confidenziali, spiccano indubbiamente i messaggi di posta in cui si comunicava al destinatario dell’e-mail che era stato superato il limite previsto per l’effettiva capacità della casella di posta elettronica appartenente a quest’ultimo; in altri casi, poi, i malfattori hanno preso come pretesto l’effettuazione di un improbabile aggiornamento del sistema, oppure una minacciosa comunicazione relativa all’imminente blocco dell’account dell’utente. E sebbene tali e-mail di phishing imitassero, di frequente, le abituali notifiche provenienti da determinati servizi di posta elettronica, occorre tuttavia dire che la stragrande maggioranza di esse si presentava, agli occhi del potenziale utente-vittima, come una richiesta del tutto generica, quasi anonima, relativa alla conferma di login e password collegati alla casella di posta elettronica presa di mira. Molto probabilmente, tale circostanza è da imputare al fatto che i malintenzionati, di solito, provvedono ad inviare le false notifiche avvalendosi direttamente di un intero database di indirizzi e-mail, senza selezionare, preventivamente, alcun servizio di posta elettronica specifico, operazione, questa, che richiederebbe un notevole dispendio di tempo, senza peraltro fornire alcuna precisa garanzia riguardo all’ottenimento dei dati sensibili desiderati.

Lo spam si avventura oltre i confini della posta elettronica

Al momento attuale, una delle tematiche più popolari e maggiormente diffuse nell’ambito dello spam è indubbiamente rappresentata dalle proposte di conduzione di specifiche campagne di marketing, volte a promuovere le attività di business delle imprese ed attrarre, conseguentemente, nuova clientela per queste ultime; tali proposte si presentano, abitualmente, sotto forma di mailing di massa composti da messaggi di posta elettronica in cui si pubblicizzano i suddetti servizi di natura commerciale. Sempre più spesso, tuttavia, la piattaforma prescelta per la conduzione delle campagne di marketing in questione è rappresentata non dai tradizionali servizi di posta elettronica e, quindi, dalle e-mail box degli utenti, bensì dai telefoni cellulari e dagli smartphone.

Spam e phishing nel terzo trimestre del 2014

Nel corso del terzo trimestre del 2014, gli spammer hanno iniziato a proporre, sempre più di frequente, il recapito di testi pubblicitari destinati agli utenti mediante l’utilizzo di messaggi SMS e di servizi di messaggistica istantanea che godono di particolare popolarità presso il pubblico della Rete, quali, ad esempio, WhatsApp o Viber. Forse questo significa che con il passare del tempo lo spam “classico”, distribuito tramite gli ordinari flussi di posta elettronica, sia destinato a passare in secondo piano e cedere quindi la leadership virtuale allo spam diffuso via SMS? Analizzando le evidenti correlazioni esistenti tra lo spam inoltrato tramite i messaggi SMS ed il tradizionale spam distribuito attraverso i flussi e-mail, siamo giunti alla conclusione che un simile sviluppo degli eventi possa davvero ritenersi poco probabile. In primo luogo, un numero sempre maggiore di paesi sta prestando le dovute attenzioni al problema delle campagne di spam eseguite tramite SMS e sta adottando, pertanto, appositi provvedimenti legislativi volti ad impedire l’attuazione di tale genere di pubblicità di massa. Esiste poi, in secondo luogo, una chiara correlazione tra il cosiddetto spam classico, diffuso attraverso i messaggi di posta elettronica, e tutte le altre piattaforme mediali utilizzate per la distribuzione di réclame indesiderate.

Spam e phishing nel terzo trimestre del 2014

Il fatto è che gli spammer, comunque, continuano ancora a ricercare con metodi “all’antica” i committenti dei nuovi generi di pubblicità di massa, ovvero si avvalgono tuttora, per tali scopi, delle tradizionali campagne di spam “postale”. Esiste, inoltre, un genere ben specifico di mailing di massa condotto tramite gli ordinari servizi e-mail; in pratica, attraverso di esso, gli spammer propongono l’acquisto di vasti database, già pronti per l’uso, composti da indirizzi di posta elettronica e numeri di telefono, database realizzati applicando determinati criteri, allo scopo di attirare le attenzioni di un determinato pubblico, scelto in maniera mirata. Esistono, allo stesso modo, campagne di phishing preposte alla raccolta dei dati confidenziali relativi ad utenti privati e società, enti od organizzazioni, allo scopo di ripartire poi gli stessi in appositi database destinati sia alla successiva vendita, sia alla realizzazione di nuovi mailing di massa. Quindi, attraverso i flussi di spam viene effettuata la raccolta di quei dati che andranno a comporre i suddetti database, in seguito messi in vendita dagli spammer, oppure utilizzati per procedere all’invio di nuovo spam. Di fatto, gli spammer continuano ad avvalersi della forma più classica dello spam – quella che prevede l’utilizzo della posta elettronica quale piattaforma prediletta – sia per realizzare la vendita dei numeri di telefono precedentemente raccolti, destinati alla conduzione delle campagne di spam via SMS, sia per attirare nuovi clienti riguardo agli specifici servizi da essi offerti in Rete.

Un’ulteriore piattaforma mediale, in cui la diffusione dello spam continua a guadagnare sempre maggiore slancio, è rappresentata dai social network, i quali contano, ormai, un pubblico davvero sterminato, di milioni e milioni di utenti, peraltro in costante crescita. Al tempo stesso, occorre dire che centinaia di migliaia di account sono, in realtà, del tutto fittizi, ovvero risultano costituiti da bot appositamente creati per realizzare l’invio di spam o compiere il furto dei dati personali relativi ad utenti del tutto legittimi. Nel corso del trimestre oggetto della presente analisi abbiamo ad esempio individuato, sempre più di frequente, contenuti riconducibili allo spam in seno a notifiche formali e legittime provenienti dalle reti sociali. Il fatto è che, in pratica, tutti gli account esistenti nell’ambito dei social network risultano collegati agli indirizzi di posta elettronica dei rispettivi proprietari, per cui i messaggi ricevuti all’interno della rete sociale vengono poi duplicati sotto forma di notifiche nell’ambito dei servizi e-mail. Il contenuto di tali messaggi può essere ricondotto ad alcune delle più tradizionali e consolidate forme di spam: si tratta, nella fattispecie, delle consuete “storie nigeriane” che vedono come indiscussi protagonisti i soliti fantomatici importi milionari sempre in cerca di nuovi possessori, oppure delle abituali offerte di aiuto finanziario per risollevare le sorti del proprio business, oppure, semplicemente, delle classiche pubblicità relative ai prodotti ed ai servizi più disparati.

Spam e phishing nel terzo trimestre del 2014

Le campagne condotte tramite gli SMS, al pari dei messaggi inseriti nell’ambito dei social network, non rappresentano, di fatto, nuove tipologie di spam, ma, piuttosto, nuovi metodi per recapitare messaggi pubblicitari agli utenti, elaborati dagli spammer e collegati, in un modo o nell’altro, al classico spam distribuito attraverso i tradizionali client di posta elettronica. Gli spammer possono, inoltre, inviare gli stessi identici messaggi pubblicitari mediante l’utilizzo di canali diversi; questo, ovviamente, crea l’impressione di un sensibile aumento del numero complessivo di réclame indesiderate messe in circolazione.

Gli avvenimenti internazionali nello spam “nigeriano”

Nel corso del terzo trimestre dell’anno 2014, per sviluppare i temi che contraddistinguono le cosiddette e-mail “nigeriane”, i truffatori dello spam si sono principalmente “ispirati” all’attuale situazione politica in Ukraina, così come all’enorme clamore suscitato dalla grave emergenza sanitaria causata a livello globale dal virus Ebola, con i numerosi casi di contagio che si sono via via manifestati in diversi paesi. Come è noto, la politica rappresenta, attualmente, uno dei soggetti preferiti dai “nigeriani”; ciò è testimoniato in maniera inequivocabile dall’elevata quota di messaggi di posta fraudolenti collegati, dal punto di vista tematico, alle questioni di natura politica, oppure, direttamente, a noti personaggi politici. Non costituisce pertanto motivo di particolare sorpresa il fatto che, lungo tutto l’arco del trimestre oggetto del presente report, sia stata propria l’attuale situazione in Ukraina ad essere attivamente sfruttata dai suddetti malintenzionati nel tentativo di raggirare subdolamente gli utenti. In qualità di sedicenti autori di tali messaggi di spam, i truffatori “nigeriani” hanno indicato non solo cittadini ukraini impegnati nello svolgimento di varie professioni, ma anche politici ed imprenditori, attraverso i quali sono state offerte, ai destinatari delle e-mail, laute (ed immaginarie) ricompense per l’aiuto e l’assistenza prestati nelle operazioni di trasferimento od investimento delle (altrettanto immaginarie) somme milionarie possedute.

Spam e phishing nel terzo trimestre del 2014

Da parte loro, i messaggi e-mail “nigeriani” aventi per tema il virus Ebola sono risultati essere inviati, in apparenza, soprattutto da cittadini di paesi africani colpiti dalla diffusione della terribile malattia, persone infettate dal famigerato virus ed ormai prossime alla morte, secondo quanto riferito in tali e-mail truffaldine. I nostri analisti di spam si sono ad ogni caso ugualmente imbattuti in varianti piuttosto inusuali, quali, ad esempio, inviti a conferenze a tema. Lo scopo che si prefiggono gli autori delle e-mail qui sopra descritte, indipendentemente dal mittente del messaggio e dall’effettiva sostanza di cui si compone quest’ultimo, rimane tuttavia identico, anno dopo anno, e consiste sempre nel cercare di sottrarre cospicue somme di denaro alle potenziali vittime del raggiro.

Allegati maligni rilevati nel traffico e-mail

Spam e phishing nel terzo trimestre del 2014

TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica – Situazione riguardante il terzo trimestre del 2014

La prima posizione della speciale graduatoria trimestrale da noi stilata relativamente ai programmi malevoli rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale risulta occupata dal malware classificato con la denominazione di Trojan.JS.Redirector.adf. Tale software malevolo è stato elaborato dai suoi autori sotto forma di una pagina HTML, alla cui apertura l’utente viene immediatamente reindirizzato verso un sito web infetto, appositamente allestito dai malintenzionati. In genere, su tale sito maligno viene proposto all’utente di effettuare il download di Binbot, il noto servizio adibito al trading automatizzato su opzioni binarie; queste ultime, al momento attuale, sembrano godere di notevole popolarità presso il vasto pubblico della Rete. Il suddetto programma malware – leader della classifica relativa al terzo trimestre del 2014 – viene abitualmente distribuito attraverso i flussi di posta elettronica, tramite un archivio ZIP non protetto da password.

Alla seconda piazza del ranking qui analizzato, relativo ai programmi nocivi più diffusi all’interno del traffico e-mail globale, si è collocato il malware rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, come tale software dannoso, per un lungo arco di tempo – ovvero per molti dei precedenti trimestri – abbia occupato la posizione di leader nell’ambito della graduatoria qui esaminata; nel terzo trimestre dell’anno in corso, ad ogni caso, Fraud.gen è stato scalzato dal suo abituale “trono”, in maniera piuttosto inattesa. Rammentiamo, con l’occasione, che il suddetto oggetto maligno è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, principalmente, agli account di Internet banking aperti in Rete dagli utenti. In seguito, tutte le informazioni confidenziali inserite dall’utente-vittima in tali “form” fasulli vengono trasmesse ai cybercriminali di turno, i quali utilizzeranno poi i dati sensibili illegalmente carpiti per impadronirsi delle somme di denaro depositate nei conti bancari violati. Desideriamo sottolineare come, rispetto al trimestre precedente, la quota ascrivibile a tale insidioso programma malware abbia fatto registrare una significativa diminuzione, pari a 0,62 punti percentuali.

Il terzo gradino del “podio” virtuale del terzo trimestre dell’anno corrente è andato ad appannaggio del software nocivo denominato Trojan.Win32.Yakes.fize; si tratta, più precisamente, di un trojan downloader provvisto di funzionalità dannose riconducibili a quelle che caratterizzano la famigerata tipologia Dofoil. A tal proposito, è piuttosto curioso osservare come in quarta posizione si sia insediato proprio il programma malevolo classificato dagli esperti di sicurezza IT come Trojan-Downloader.Win32.Dofoil.dx. I software dannosi riconducibili a tale specifica tipologia provvedono a generare il download e l’esecuzione di un ulteriore programma maligno sul computer-vittima sottoposto ad attacco; in seguito, avvalendosi dell’aiuto fornito da tale malware, realizzano il furto delle più svariate informazioni sensibili custodite dall’utente (in particolar modo le password) ed inviano i dati illecitamente carpiti ai malintenzionati di turno.

Il quinto ed il nono posto della speciale graduatoria qui sopra riportata risultano occupati, rispettivamente, da Backdoor.Win32.Androm.enji e Backdoor.Win32.Androm.euqt; si tratta di due programmi malware appartenenti alla famigerata famiglia battezzata dagli esperti di sicurezza informatica con l’appellativo di Andromeda (altrimenti conosciuta come Gamarue), la quale raggruppa diverse varianti di bot modulare universale, sulla cui base risulta possibile, per i malfattori, creare ed organizzare estese botnet provviste delle più svariate possibilità. Le principali funzionalità nocive di cui sono provvisti i bot modulari in questione sono in primo luogo rappresentate dalla possibilità di generare il download di un file eseguibile, il quale sarà successivamente custodito ed eseguito all’interno del computer-vittima; tali temibili programmi maligni sono ugualmente in grado di realizzare il download ed il caricamento di determinate DLL (senza che le stesse vengano necessariamente salvate su disco), di scaricare certi plug-in, di effettuare auto-aggiornamenti ed auto-rimuoversi dal sistema sottoposto ad attacco informatico. A tal proposito, è di particolare interesse sottolineare come i cybercriminali, di fatto, siano soliti estendere le funzionalità qui sopra descritte tramite appositi plug-in, i quali possono essere, in qualunque momento, agevolmente caricati dai malintenzionati, nelle quantità che si rivelano di volta in volta necessarie.

La sesta e la settima posizione del ranking del terzo trimestre del 2014 – relativo agli allegati maligni individuati con maggior frequenza all’interno dei flussi e-mail mondiali – sono andate ad appannaggio, rispettivamente, dei software malevoli rilevati dalle soluzioni anti-malware di Kaspersky Lab come Trojan.Win32.Bublik.clhs e Trojan.Win32.Bublik.bwbx. Le principali funzionalità di cui sono dotati tali programmi dannosi – riconducibili, per tipologia, alla forma più classica e diffusa di trojan-downloader – consistono, per l’appunto, nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi maligni, a totale insaputa dell’utente. Una volta portato a termine il proprio compito, i programmi malware riconducibili alla famiglia Bublik non rimangono allo stato attivo, anche se provvedono a realizzare una copia di se stessi all’interno della cartella <%temp%>. Riteniamo infine di particolare utilità evidenziare come i trojan-downloader Bublik siano soliti camuffarsi sotto forma di applicazioni o documenti Adobe.

All’ottavo posto della graduatoria qui analizzata troviamo una “vecchia conoscenza” nell’ambito della TOP-10 in questione, ovvero il worm di posta elettronica denominato Email-Worm.Win32.Bagle.gt. La principale funzionalità di cui sono provvisti tutti gli e-mail worm consiste nel raccogliere illecitamente gli indirizzi di posta presenti nei computer-vittima contagiati e realizzare il successivo processo di auto-diffusione in Rete, condotto tramite gli account di posta elettronica sottratti. I worm riconducibili alla famiglia Bagle, tuttavia, in aggiunta alla funzionalità standard qui sopra illustrata, risultano dotati di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire da remoto con il centro di controllo allestito dai cybercriminali, e di ricevere quindi da quest’ultimo appositi comandi volti a generare il download e la successiva installazione di altri software maligni sui computer precedentemente infettati.

All’ultimo posto della TOP-10 relativa ai software dannosi maggiormente diffusi in seno ai flussi di posta elettronica globali troviamo infine il programma nocivo rilevato dalle nostre soluzioni anti-malware come Trojan-Banker.Win32.ChePro.ink. Si tratta, più precisamente, di un downloader realizzato dai propri autori sotto forma di applet dotato di estensione CPL (componente del pannello di controllo), preposto a scaricare temibili programmi Trojan sul computer sottoposto ad attacco; tali programmi maligni, a loro volta, vengono in seguito utilizzati dai cybercriminali per compiere il furto delle informazioni confidenziali legate alla sfera finanziaria dell’utente-vittima. Sino ad ora, i malware riconducibili a tale specifica tipologia hanno principalmente preso di mira gli istituti bancari brasiliani e portoghesi.

Suddivisione per famiglie dei programmi malware maggiormente diffusi nei flussi e-mail

Per ciò che riguarda la situazione relativa alle famiglie di malware maggiormente diffuse all’interno del traffico di posta elettronica del terzo trimestre dell’anno in corso – non considerando quindi le singole varianti di malware – osserviamo come la ripartizione percentuale delle stesse si presenti in forma piuttosto diversa rispetto a quanto evidenziato dalla TOP-10 precedentemente analizzata, relativa ai programmi malware classificati, nella circostanza, come entità “singole”:

Spam e phishing nel terzo trimestre del 2014

TOP-10 relativa alle famiglie di malware maggiormente diffuse nel traffico di posta elettronica globale – Situazione riguardante il terzo trimestre del 2014

Come evidenzia il grafico qui sopra riportato, la leadership della speciale classifica stilata dagli esperti di Kaspersky Lab è andata ad appannaggio della famiglia di malware denominata Andromeda, la quale occupava la terza posizione nell’analogo ranking relativo al trimestre precedente. La quota ascrivibile alla famiglia Andromeda è risultata pari al 12,35% del volume complessivo di programmi malware rilevati dalle nostre soluzioni di sicurezza IT – nel periodo oggetto del presente report – in seno al traffico di posta elettronica globale. La seconda piazza della graduatoria in questione risulta occupata, così come nel trimestre precedente, dai software dannosi riconducibili alla famiglia di malware classificata con l’appellativo di ZeuS/Zbot; tali programmi maligni si contraddistinguono per il fatto di essere particolarmente complessi e sofisticati; nello specifico, essi risultano preposti ad attaccare sia i server che i computer degli utenti, allo scopo di intercettare e carpire dati di natura sensibile e riservata. Sebbene i trojan sopra menzionati (ZeuS/Zbot) siano in grado di eseguire attività dannose di vario genere, nella maggior parte dei casi essi vengono utilizzati proprio per compiere il furto delle informazioni bancarie custodite nei computer degli utenti, incluso – ovviamente – i dati sensibili relativi alle carte di credito. I malware appartenenti alla famiglia ZeuS/Zbot possono ugualmente generare l’installazione di CryptoLocker, un programma “estorsore” che richiede all’utente-vittima una certa somma di denaro per effettuare la decodifica dei dati precedentemente criptati.

Fa ugualmente parte della TOP-10 qui analizzata la famiglia Bublik, posizionatasi al primo posto dell’analoga classifica relativa al secondo trimestre dell’anno 2014, peraltro con un significativo margine percentuale rispetto alle famiglie di malware “concorrenti”; ricordiamo, nella circostanza, come di frequente i software nocivi riconducibili a Bublik provvedano ad effettuare il caricamento dei famigerati trojan Zbot sui computer da essi sottoposti ad attacco.

Paesi maggiormente bersagliati dai mailing di massa maligni

Spam e phishing nel terzo trimestre del 2014

Suddivisione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del terzo trimestre del 2014

La speciale graduatoria trimestrale relativa ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – presenta alcune importanti variazioni rispetto all’analogo rating stilato per il trimestre precedente. Osserviamo, innanzitutto, come al primo posto del ranking elaborato dai nostri esperti sia salita la Germania, la cui quota, nel periodo oggetto della nostra analisi, è risultata pari al 10,11%. La Gran Bretagna, leader nel trimestre precedente, ha invece perso una posizione in classifica e si è in tal modo collocata sul secondo gradino del “podio” virtuale; nell’arco del periodo oggetto del presente report l’indice ascrivibile al Regno Unito è complessivamente diminuito di 1,22 punti percentuali. La terza piazza della graduatoria qui sopra riportata risulta occupata dagli Stati Uniti; la quota relativa agli USA ha presentato un significativo decremento (- 1,77%) rispetto all’analogo valore riscontrato riguardo al secondo trimestre dell’anno in corso.

La Federazione Russa, che nel precedente trimestre – con un indice pari all’ 1,48% – era andata a collocarsi al 19° posto del ranking, nel terzo trimestre del 2014 ha “guadagnato” ben tredici posizioni in classifica, salendo in tal modo sino al 6° posto del rating qui esaminato; la quota relativa allo spam nocivo inviato verso il territorio russo (4,25%) risulta in sostanza quasi triplicata.

Peculiarità e tratti caratteristici dello spam nocivo del terzo trimestre

L’Ice Bucket Challenge

Lungo tutto l’arco del trimestre oggetto della nostra analisi, come da tradizione ormai ampiamente consolidata, i cybercriminali hanno continuato a sfruttare, imperterriti, gli eventi mediatici più eclatanti che, in tale periodo, si sono prodotti sulla scena internazionale, con il preciso intento di attirare al massimo l’attenzione delle potenziali vittime nei confronti dei mailing di massa da essi appositamente allestiti per distribuire pericolosi software nocivi nelle e-mail box degli utenti della Rete. Questa volta, le subdole attenzioni dei malfattori in questione si sono concentrate in particolar modo sulla famosa campagna mediatica soprannominata Ice Bucket Challenge, la quale, nel corso della passata estate, ha davvero conosciuto un’enorme popolarità in ogni angolo del globo. Come è noto, il preciso e nobile scopo di tale campagna è stato quello di sensibilizzare l’opinione pubblica riguardo alla terribile malattia denominata sclerosi laterale amiotrofica, o SLA, unitamente all’intento di raccogliere fondi per la relativa ricerca da condurre in campo medico-scientifico. Alla suddetta iniziativa ha preso parte un enorme numero di persone, tra cui una folta schiera di personaggi famosi: noti attori, uomini politici, atleti, imprenditori, musicisti, celebri cantanti, tutti disposti di buon grado a cimentarsi nella “sfida” della doccia ghiacciata, a suon di secchiate di acqua gelata, per poi pubblicare in Rete il video destinato ad immortalare l’impresa, e passare così il testimone ad altre persone, di fatto nominando il successivo “sfidante”. E, guarda a caso, proprio nel momento in cui, in buona parte del mondo, si registrava la massima partecipazione alla campagna internazionale indetta contro la SLA, i malintenzionati della Rete specializzati nel diffondere temibili programmi malware hanno subdolamente pensato di “unirsi” anch’essi all’iniziativa, intravedendo nell’enorme livello di popolarità raggiunto dalla campagna mediatica sopra descritta un’eccellente opportunità per attirare l’attenzione degli utenti nei confronti dei messaggi e-mail dannosi da essi distribuiti.

Spam e phishing nel terzo trimestre del 2014

Ne è conseguito che, agli indirizzi di posta elettronica degli utenti, del tutto ignari delle mire malevole dei cybercriminali, hanno ad esempio iniziato a giungere messaggi contenenti la proposta di aderire ad una non ben precisata associazione contro la SLA e cambiare in tal modo la propria vita, come – a detta del mittente dell’e-mail in questione – era già stato fatto da migliaia di altre persone nel mondo. Nella circostanza, i destinatari dei messaggi di posta nocivi venivano esplicitamente invitati a visionare un filmato “ispiratore”, custodito nell’archivio ZIP allegato all’e-mail recapitata. In realtà, ad attendere gli ignari utenti, anziché il video promesso, era, di fatto, un pericoloso programma malware, quale, ad esempio, Backdoor.Win32.Androm.euop. Si tratta, in sostanza, di software nocivi che consentono ai criminali informatici di assumere il pieno controllo del computer sottoposto a contagio informatico, all’insaputa dell’utente-vittima. Inoltre, i computer infettati da programmi malevoli di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati.

“Notifiche maligne” provenienti (in apparenza!) da sistemi di prenotazione online

Nel terzo trimestre del 2014 i malintenzionati dediti alla distribuzione di pericolosi allegati maligni nelle caselle di posta elettronica degli utenti della Rete hanno realizzato, come al solito, l’invio di un cospicuo numero di messaggi e-mail indesiderati riconducibili al cosiddetto spam nocivo a carattere “stagionale”, le cui quantità aumentano, tradizionalmente, proprio nel periodo delle ferie e delle vacanze estive. Così, all’interno del traffico di spam, ci siamo imbattuti in false notifiche e comunicazioni provenienti, apparentemente, da hotel, servizi di prenotazione di vario genere e compagnie aeree; i messaggi “spazzatura” in questione erano stati elaborati in lingua inglese ed in lingua tedesca. Come di consueto, i malfattori hanno cercato di convincere i destinatari di tali messaggi riguardo al fatto che, nell’archivio ZIP appositamente allegato all’e-mail, si trovavano le necessarie informazioni relativamente alla prenotazione alberghiera “effettuata”, oppure al biglietto aereo “acquistato”.

In particolare, all’interno dei flussi e-mail del terzo trimestre dell’anno in corso, è stato da noi individuato un mailing di massa malevolo preposto a recapitare notifiche fasulle provenienti, in apparenza, dalla nota compagnia aerea statunitense American Airlines. Di fatto, nella circostanza, i malintenzionati avevano provveduto ad allegare a tali e-mail dei file eseguibili, rivelatisi poi essere temibili programmi malware appartenenti alla famigerata famiglia Net-Worm.Win32.Aspxor. Si tratta, nella fattispecie, di insidiosi worm di rete in grado di inviare messaggi di spam, generare il download ed avviare l’esecuzione di software arbitrario nel sistema informatico preso d’assalto, raccogliere informazioni e dati preziosi all’interno del computer-vittima (quali le password in esso custodite, così come le credenziali relative agli account FTP e di posta elettronica); le funzionalità dannose insite in tali worm di rete permettono inoltre, a questi ultimi, di poter ricercare in maniera automatica siti web vulnerabili, per poi provvedere al relativo processo di infezione, con il preciso obiettivo di ottenere l’ulteriore diffusione del bot.

Spam e phishing nel terzo trimestre del 2014

Da parte loro, le comunicazioni fasulle in lingua tedesca, apparentemente inviate a nome di un portale Internet tedesco specializzato nell’effettuare prenotazioni alberghiere in Germania, contenevano il programma maligno classificato dagli esperti di sicurezza IT come Trojan-Spy.Win32.Ursnif. Si tratta, più precisamente, di un programma Trojan adibito al furto dei dati confidenziali, i quali vengono poi trasmessi al server remoto appositamente predisposto dai cybercriminali. Oltre a ciò, il Trojan in causa è perfettamente in grado di spiare il traffico di rete, generare il download e l’esecuzione di ulteriori software malevoli, nonché disabilitare alcune applicazioni di sistema, quali, ad esempio, il firewall.

Malware nell’archivio ARJ

Nello scorso mese di settembre, all’interno del traffico di spam nocivo, abbiamo individuato la conduzione di un esteso mailing di massa maligno, preposto a recapitare nelle e-mail box degli utenti messaggi di posta elettronica contenenti un allegato dall’estensione del tutto atipica, ovvero un archivio in formato ARJ. Occorre sottolineare come la scelta effettuata nell’occasione dai malintenzionati, ovvero l’utilizzo di tale archiviatore di file, o file archiver che dir si voglia, è stata con ogni probabilità dettata proprio dalla specificità del formato di file in questione, alquanto inusuale. Nella circostanza, i cybercriminali hanno di sicuro ritenuto che un file provvisto di un’estensione probabilmente sconosciuta al destinatario non avrebbe destato particolari sospetti nemmeno in quegli utenti che, di fatto, sono ben coscienti della potenziale pericolosità insita negli archivi ZIP e RAR allegati ai messaggi di posta elettronica di natura malevola. Inoltre, l’archiviatore ARJ permette di ridurre al minimo le dimensioni del file sottoposto a compressione, mentre il suo codice sorgente risulta perfettamente accessibile a tutti coloro che desiderano studiarlo o, eventualmente, modificarlo.

Nell’ambito di un unico mailing di massa, i malintenzionati hanno distribuito nelle caselle di posta elettronica degli utenti varie tipologie di messaggi e-mail malevoli. Si è trattato, nella fattispecie, di notifiche relative alla ricezione di un nuovo fax, oppure di comunicazioni riguardanti la trasmissione di copie di non ben definite fatture o documenti emessi da qualche imprecisata società, così come dell’invio di messaggi personali contenenti varie formule di saluto. Tutti i messaggi dannosi in questione, ad ogni caso, recavano in allegato programmi malware riconducibili alla famiglia Trojan-Downloader.Win32.Cabby, i quali, una volta lanciati sul computer sottoposto ad attacco informatico, avrebbero mostrato alla potenziale vittima un documento provvisto di estensione RTF o DOC, mentre, a totale insaputa dell’utente, avrebbero provveduto a generare, al contempo, il download di un temibile software maligno appartenente alla famiglia ZeuS/Zbot. È poi risultato che tutti i nomi dei file allegati a tali messaggi di spam nocivo erano stati generati, dai cybercriminali, mediante l’utilizzo di uno stesso identico modello. Sottolineiamo, infine, come i malfattori, nel tentativo di conferire ai messaggi di posta malevoli un aspetto di unicità, abbiano via via provveduto a modificare alcuni frammenti del testo contenuto in tali e-mail maligne, così come la “firma” automatica apposta dal “programma antivirus” in calce ai suddetti messaggi.

Spam e phishing nel terzo trimestre del 2014

Le statistiche del terzo trimestre 2014

Quota di spam nel traffico di posta elettronica

Spam e phishing nel terzo trimestre del 2014

Quote percentuali di spam rilevate nel traffico di posta elettronica – Situazione relativa al periodo aprile – settembre 2014

Nel terzo trimestre del 2014, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento di 1,7 punti percentuali rispetto all’analogo indice riscontrato nel trimestre precedente, attestandosi in tal modo su un valore medio pari al 66,9%. L’indice percentuale più elevato è stato osservato nel mese di agosto (67,2%); la quota di spam più contenuta è stata invece rilevata, all’interno dei flussi e-mail mondiali, nel mese di settembre (66,5%).

Geografia delle fonti di spam

Spam e phishing nel terzo trimestre del 2014

Geografia delle fonti di spam rilevate nel terzo trimestre del 2014 – Graduatoria su scala mondiale

Rispetto all’analogo rating del trimestre precedente, traspare in tutta evidenza come, all’interno della speciale graduatoria “globale” delle fonti di spam – relativa ai paesi dal cui territorio, nel corso del terzo trimestre del 2014, sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” – non siano intervenuti cambiamenti particolarmente significativi. La TOP-3, ad esempio, ovvero il “podio” virtuale del ranking da noi stilato, è rimasta in pratica invariata. Si confermano quindi al primo posto gli Stati Uniti, dal cui territorio è stato inoltrato in Rete quasi il 14% del volume complessivo dei messaggi e-mail indesiderati. La seconda piazza del ranking relativo alle fonti dello spam mondiale è andata nuovamente ad appannaggio della Russia, paese dal cui territorio, nel terzo trimestre dell’anno in corso è stato generato il 6,1% del traffico mondiale di spam. Così come nel trimestre precedente, chiude la TOP-3 dei leader della graduatoria qui analizzata il Vietnam; l’indice percentuale ascrivibile al popoloso paese del Sud-Est asiatico (circa il 6% dello spam globale) risulta quasi identico, in sostanza, all’analoga quota attribuibile alla Federazione Russa.

Per ciò che riguarda gli ulteriori paesi presenti nella speciale classifica relativa alla ripartizione delle fonti dello spam mondiale, si nota immediatamente come tale suddivisione risulti, tutto sommato, piuttosto uniforme. Rileviamo, ad ogni caso, come siano entrati a far parte della TOP-10 relativa alle “sorgenti” geografiche della posta elettronica “spazzatura” i seguenti paesi: Cina (5,1%), Argentina (4,1%) e Germania (3,4%). La decima posizione del rating da noi stilato risulta infine occupata dal Brasile, con una quota pari al 2,9%.

Dimensioni dei messaggi di spam

Spam e phishing nel terzo trimestre del 2014

Dimensioni delle e-mail di spam – Quadro relativo al terzo trimestre del 2014

Il quadro riguardante la ripartizione dei messaggi di spam in base alle loro dimensioni non presenta variazioni di rilievo rispetto a quanto riscontrato relativamente al secondo trimestre dell’anno in corso. Così come in precedenza, all’interno dei flussi di spam risulta particolarmente elevato il numero dei messaggi e-mail “spazzatura” aventi dimensioni estremamente contenute (1 Kb o addirittura meno di un kilobyte). Le ragioni di tutto ciò appaiono ben evidenti: per gli spammer, in effetti, l’invio di messaggi di spam “super-brevi” presenta innegabili vantaggi; in tal modo, i mailing di massa di notevoli proporzioni possono essere condotti molto più agevolmente, con maggiore rapidità. Sottolineiamo, nella circostanza, come l’indice relativo alle e-mail di tali dimensioni abbia evidenziato un aumento di 4,6 punti percentuali rispetto all’analogo valore riscontrato nel trimestre precedente.

Rileviamo, poi, come sia sensibilmente diminuita, nell’arco di tre mesi, la quota relativa ai messaggi di posta indesiderata con dimensioni comprese tra i 2 Kb ed i 5 Kb (- 4,8%). Al contempo, si è registrato un significativo decremento del numero delle e-mail “spazzatura” che si collocano nel range 5-10 Kb (- 2,5%). Per contro, all’interno del traffico di posta elettronica globale del terzo trimestre dell’anno corrente risulta considerevolmente aumentata (+ 1,7%) la quota inerente ai messaggi e-mail indesiderati aventi dimensioni comprese tra i 10 ed i 20 Кb.

Phishing

Nel terzo trimestre del 2014, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 71.591.006 rilevamenti eseguiti grazie al sistema “Anti-phishing”. Si tratta, complessivamente, di 11,5 milioni di rilevamenti in più rispetto all’analogo valore riscontrato relativamente al secondo trimestre dell’anno in corso.

Così come nel trimestre precedente, la percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Brasile; l’indice relativo al “paese-colosso” del continente sudamericano ha fatto registrare, in totale, un incremento di 3,53 punti percentuali, e si è in tal modo attestato su un valore pari al 26,73%.

Spam e phishing nel terzo trimestre del 2014

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al terzo trimestre del 2014

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Paese % di utenti
1 Brasile 26,73
2 India 20,08
3 Australia 19,37
4 Francia 18,08
5 Emirati Arabi Uniti 17,13
6 Canada 17,08
7 Kazakhstan 16,09
8 Cina 16,05
9 Gran Bretagna 15,58
10 Portogallo 15,34

Una considerevole crescita dell’indice percentuale in questione, relativo al numero di utenti sottoposti ad attacchi di phishing nel corso del terzo trimestre dell’anno 2014, si è inoltre registrata in Cina (+ 4,74%), Australia (+ 3,27%), Emirati Arabi Uniti (+ 2,83%) e Canada (+ 1,31%).

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Le statistiche relative agli obiettivi presi di mira dagli assalti dei phisher si basano sui rilevamenti eseguiti dal componente euristico implementato nel sistema “Anti-phishing”. Il componente euristico del sistema “Anti-phishing” entra in azione nel momento stesso in cui l’utente clicca su un link malevolo preposto a condurre verso una pagina di phishing, nel caso in cui le informazioni relative a tale pagina non risultino ancora presenti all’interno dei database appositamente allestiti da Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Così come nel secondo trimestre dell’anno corrente, la categoria “Portali di posta elettronica e di ricerca” (precedentemente definita “Portali Internet globali”) continua a detenere la leadership tra le categorie maggiormente sottoposte ad attacco da parte dei phisher. La quota ad essa ascrivibile ha tuttavia evidenziato una sensibile diminuzione rispetto al trimestre precedente, quantificabile in 22,15 punti percentuali, e si è in tal modo attestata su un valore pari al 28,54% del volume complessivo degli attacchi di phishing. Fanno parte della suddetta categoria quei portali che integrano molteplici servizi online, incluso servizi di ricerca e posta elettronica. In pratica, impadronendosi dei dati che forniscono l’autorizzazione necessaria per ottenere l’accesso ai portali in causa, i malfattori hanno poi la possibilità di accedere a tutti i servizi online erogati dal vendor preso di mira. Nella maggior parte dei casi, i phisher provvedono a falsificare le pagine web che, nel sito ufficiale, vengono abitualmente preposte alle procedure di autorizzazione occorrenti per poter usufruire dei servizi e-mail forniti da tali portali.

Spam e phishing nel terzo trimestre del 2014

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing*
nel corso del terzo trimestre del 2014

Per contro, nel terzo trimestre del 2014 la categoria “Finanze online”, la quale raggruppa tre importanti sub-categorie collegate alla sfera finanziaria degli utenti, ha visto crescere in maniera davvero considerevole la propria quota (+ 13,39%), raggiungendo, complessivamente, i 38,23 punti percentuali. Di fatto, ormai per il secondo trimestre consecutivo, sta sensibilmente aumentando l’indice dei rilevamenti eseguiti dal componente euristico del sistema “Anti-phishing” relativamente alle categorie finanziarie denominate “Istituti bancari” (+ 6,16%), “Sistemi di pagamento” (+ 5,85%) e “Negozi Internet” (+ 3,18%). Come è noto, nel corso degli attacchi condotti nei confronti delle organizzazioni riconducibili a tali categorie i malintenzionati vanno subdolamente a caccia dei dati personali degli utenti, dati che poi forniscono un comodo accesso agli account elettronici posseduti da questi ultimi.

Spam e phishing nel terzo trimestre del 2014

Ripartizione degli attacchi di phishing condotti nei confronti dei sistemi di pagamento –
Situazione relativa al terzo trimestre del 2014

La forte attrattiva esercitata dai sistemi di pagamento online sui malintenzionati che si rendono autori degli assalti di phishing è indubbiamente dovuta al fatto che i cybercriminali possono riuscire ad ottenere, attraverso tali pratiche illecite, l’accesso diretto al denaro posseduto dalla vittima. Nel trimestre oggetto del presente report, leader della speciale graduatoria qui sopra riportata, relativa alle organizzazioni più frequentemente sottoposte agli attacchi di phishing nell’ambito della categoria “Sistemi di pagamento”, è divenuto PayPal (32,08%), il noto operatore specializzato nell’offrire ai propri utenti servizi di pagamento online e di trasferimento di denaro elettronico attraverso Internet. Segue in classifica, a ruota, il sistema di pagamento gestito da Visa Inc. (31,51%), il cui indice percentuale, come si può vedere, non si discosta davvero molto dalla quota attribuibile a PayPal. Sul terzo gradino del “podio” riservato ai sistemi di pagamento troviamo poi American Express (24,83%).

Gli attacchi di phishing condotti dai malintenzionati nei confronti degli utenti dei sistemi di pagamento online vengono spesso eseguiti mediante l’invio di messaggi e-mail contraffatti, in apparenza provenienti da qualche rappresentante ufficiale, o dipartimento operativo, dell’organizzazione finanziaria presa di mira nell’occasione specifica. Di frequente, tali messaggi contengono esplicite minacce riguardo al blocco dell’account dell’utente, oppure alla sospensione di ogni attività inerente a tale account; secondo le intenzioni dei malfattori, tale impatto dovrebbe provocare nell’utente una forte reazione emotiva, spingendo quest’ultimo a compiere atti irragionevoli o avventati, come, in particolar modo, trasmettere immediatamente le proprie informazioni confidenziali ai malintenzionati in agguato.

Spam e phishing nel terzo trimestre del 2014

Esempio di e-mail di phishing in cui si minaccia di bloccare l’account dell’utente-vittima

Nello screenshot esemplificativo qui sopra inserito viene evidenziato, mediante apposita sottolineatura in rosso, come il messaggio di posta elettronica fasullo sia stato inviato attraverso un indirizzo e-mail alquanto sospetto, che non ha, in realtà, nulla a che vedere con gli indirizzi abitualmente utilizzati nelle notifiche e nelle comunicazioni ufficiali provenienti dal servizio online PayPal. Il messaggio di posta in causa contiene un avvertimento piuttosto minaccioso rivolto al destinatario dell’e-mail (in pratica, se non si provvede rapidamente all’aggiornamento dei dati relativi al proprio account, quest’ultimo verrà bloccato), invitando al contempo l’utente a cliccare sul link di phishing subdolamente inserito nella parte conclusiva della falsa notifica, link preposto ad aprire la pagina web qui sotto riprodotta, all’interno della quale la potenziale vittima del raggiro ordito dai phisher avrebbe dovuto introdurre, secondo le intenzioni dei malfattori, i propri dati personali.

Spam-report_Q3-2014_it_23

Esempio di pagina web di phishing preposta ad imitare i contenuti del sito web ufficiale del sistema di pagamento PayPal


Cliccando sul link sopra descritto l’ignaro e spaventato utente sarebbe giunto su una pagina web volta ad imitare i contenuti ed il lay-out che caratterizzano il sito Internet ufficiale di PayPal, pagina provvista, ovviamente, di un apposito form fasullo contenente tutti i campi necessari per l’inserimento dei dati personali da parte della “vittima”. Come si evidenzia nello screenshot qui sopra raffigurato, mediante apposite iscrizioni, frecce e sottolineatura in rosso, la connessione Internet con tale pagina non risulta affatto protetta, visto che manca, di fatto, la sigla HTTPS nella barra degli indirizzi del browser, mentre l’indirizzo IP che viene mostrato non appartiene in alcun modo alla società PayPal.

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Organizzazione % di link di phishing
1 Google 10,34%
2 Facebook 10,21%
3 Yahoo! 6,36%

La TOP-3 che riunisce i principali obiettivi degli assalti compiuti dai phisher, a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di malintenzionati della Rete, risulta nuovamente composta, così come nel trimestre precedente, da Google, Facebook e Yahoo!, sebbene riguardo alle tre posizioni di vertice di tale speciale classifica del phishing siano intervenuti notevoli cambiamenti. Gli indici percentuali relativi a Google (10,34%) e Facebook (10,21%), a dir la verità, hanno fatto registrare, rispettivamente, un incremento non eccessivamente pronunciato; quasi in maniera sincrona, le due suddette organizzazioni hanno ad ogni caso “guadagnato” una posizione all’interno della TOP-3 qui analizzata. Yahoo!, che nel primo semestre del 2014 era improvvisamente divenuto leader incontrastato del rating da noi stilato, in maniera altrettanto repentina ha visto ridursi drasticamente la quota percentuale ad esso ascrivibile; in effetti, in soli tre mesi, l’indice relativo a Yahoo! è diminuito di ben 24,62 punti percentuali, attestandosi così su un valore medio pari al 6,36%. L’organizzazione in causa ha quindi perso, in un sol colpo, ben due posizioni all’interno della speciale graduatoria elaborata dagli analisti di Kaspersky Lab, andando pertanto ad occupare il gradino più basso del “podio” virtuale relativo al terzo trimestre dell’anno in corso.

I temi caldi del phishing

Apple Inc., come testimonia la tabella qui sopra inserita, non è entrata a far parte della TOP-3 analizzata nel precedente capitolo del nostro consueto report trimestrale dedicato all’evoluzione dello spam e del phishing; la celebre società di Cupertino ha tuttavia visto più che raddoppiato l’indice percentuale ad essa ascrivibile (1,39%, ovvero + 0,98% rispetto al trimestre precedente). Apple si è così posizionata alla quarta piazza del ranking relativo alle organizzazioni maggiormente bersagliate dagli attacchi portati dai phisher. All’inizio dello scorso mese di settembre la nota azienda informatica statunitense si è trovata suo malgrado coinvolta in una sorta di grosso scandalo, determinato dal clamore mediatico suscitato dal furto di fotografie appartenenti ad alcuni personaggi famosi, foto custodite nella nuvola telematica della Mela, ovvero lo storage iCloud, l’insieme dei servizi di cloud computing sviluppati da Apple. La società Apple, da parte sua, ha fermamente smentito le voci relative all’eventuale presenza di vulnerabilità all’interno dei propri sistemi di storage, iCloud incluso, una qualche falla di sicurezza che avrebbe potuto condurre alla suddetta fuga di dati. Di fatto, il furto delle foto personali di varie celebrità è da imputare ad un severo attacco di phishing, rivolto ad utenti dei prodotti Apple (non è noto se si è trattato, nella circostanza, di un attacco estremamente mirato, oppure si è trattato di un insperato “successo” riportato da qualche hacker; l’elemento incontrovertibile è che, nel novero delle “vittime” prodotte da tale assalto spicca la presenza di numerose star internazionali).

Inoltre, lo scorso 9 settembre è stata annunciata l’attesa release dei nuovi smartphone della Mela, l’iPhone 6 e l’iPhone 6 Plus; di solito, come si può facilmente presupporre, gli eclatanti eventi mediatici periodicamente organizzati dalla società californiana in occasione del lancio dei nuovi prodotti, o delle nuove versioni degli stessi, innalzano considerevolmente il livello d’interesse dei malintenzionati del phishing nei confronti delle attività e delle iniziative condotte da Apple. Non costituisce quindi motivo di particolare sorpresa il fatto che, all’interno dei flussi di phishing globali, sia stato rilevato un consistente aumento del numero dei messaggi di posta elettronica mascherati (più o meno abilmente) sotto forma di notifiche o comunicazioni ufficiali provenienti (in apparenza!) da alcuni noti servizi forniti da Apple, quali iTunes e iCloud.

Spam-report_Q3-2014_it_24

Nella circostanza, i malfattori hanno indebitamente sfruttato il celebre nominativo della compagnia Apple per cercare di attirare al massimo l’attenzione dei destinatari delle subdole e-mail di phishing da essi inviate; tra l’altro, è di particolare interesse osservare come, spesso, per allestire i loro mailing di massa, i phisher abbiano utilizzato un unico modello di messaggio di posta, all’interno del quale, in pratica, è stata di volta in volta cambiata soltanto la denominazione del servizio Apple preso di mira.

Spam-report_Q3-2014_it_25

Numero di rilevamenti giornalieri riguardanti pagine di phishing preposte ad imitare le pagine web ufficiali dei servizi online forniti da Apple – Periodo: secondo e terzo trimestre dell’anno 2014

Come è noto, per proteggere in maniera efficace i dati personali dei propri utenti, Apple ha implementato una funzione di sicurezza aggiuntiva, ovvero la verifica in due distinti passaggi dell’ID Apple, la quale comprende, tra l’altro, la registrazione di uno o più dispositivi da ritenere sicuri ed affidabili. La verifica in due passaggi impedisce, di fatto, l’accesso non autorizzato all’account dell’utente Apple da parte di terze persone, così come l’eventuale introduzione di modifiche allo stesso; viene in tal modo scongiurato il rischio di eventuali acquisti compiuti da estranei mediante l’utilizzo di un account violato. Lo scorso 5 settembre Apple ha annunciato l’imminente adozione di misure di sicurezza aggiuntive, attraverso le quali verrà notificata, agli utenti iCloud, ogni possibile attività sospetta eseguita tramite i loro account.

Spam-report_Q3-2014_it_26

Spam-report_Q3-2014_it_27

Esempi di pagine web di phishing, attraverso le quali viene richiesta l’immissione dei dati sensibili relativi all’ID Apple degli utenti

Riteniamo di particolare importanza ed utilità evidenziare come, tra le altre cose, l’utente possa garantire al meglio la propria protezione nei confronti delle insidiose attività svolte dai phisher, semplicemente esaminando con attenzione le caratteristiche e le peculiarità della pagina web attraverso la quale viene richiesta l’introduzione dei dati confidenziali. Nel caso specifico qui esaminato, occorre prestare particolare attenzione all’effettiva presenza, sulla pagina web, della relativa connessione protetta, così come alla reale appartenenza alla compagnia Apple del dominio indicato sulla barra degli indirizzi del browser. È ugualmente di estrema importanza sottolineare il fatto che, oltre alle informazioni abitualmente sollecitate dai malfattori, relative alla gestione dell’ID Apple, i phisher non esitano, di frequente, a richiedere i dati sensibili riguardanti la carta di credito dell’utente, con il subdolo pretesto dell’effettivo collegamento di quest’ultima con l’account Apple. In tal caso, qualora l’utente provveda a fornire egli stesso ai malfattori le informazioni di natura finanziaria, la protezione implementata da Apple non sarà comunque in grado di poter proteggere l’utente da eventuali spiacevoli conseguenze.

Spam-report_Q3-2014_it_28

Esempio di pagina web di phishing allestita allo scopo di imitare la richiesta, da parte di Apple, di confermare i propri dati personali.

Conclusioni

Nel terzo trimestre del 2014, la quota inerente ai messaggi e-mail “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento di 1,7 punti percentuali rispetto all’analogo indice riscontrato nel trimestre precedente, attestandosi in tal modo su un valore medio pari al 66,9%.

Gli importanti avvenimenti che si sono prodotti sulla scena internazionale, al pari di alcuni eclatanti eventi mediatici di risonanza globale, hanno profondamente influenzato la scelta, da parte degli spammer, delle tematiche via via utilizzate nella conduzione dei mailing di massa da essi allestiti. I temi dominanti all’interno dei flussi di spam che hanno caratterizzato il terzo trimestre dell’anno in corso sono risultati essere i seguenti: il lancio sul mercato dell’iPhone 6, il nuovo smartphone di Apple; gli eventi politici in Ukraina; la fuga e la successiva pubblicazione in Rete delle password relative agli account di servizi e-mail di primaria importanza; la famosa campagna contro la SLA, denominata Ice Bucket Challenge. Hanno inoltre assunto particolare rilievo, all’interno del traffico di posta elettronica del terzo trimestre 2014, le tematiche connesse con l’avvento della stagione estiva, il periodo dell’anno tradizionalmente dedicato alle attese ferie e vacanze. Alcuni dei più eclatanti avvenimenti che hanno avuto luogo sulla scena globale sono stati attivamente ed indebitamente sfruttati anche nell’ambito del cosiddetto spam “nigeriano”.

Le prime tre posizioni della speciale graduatoria del terzo trimestre dell’anno 2014 relativa alle fonti dello spam “globale” – riguardante i paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” – risultano occupate, rispettivamente, dalle seguenti nazioni: Stati Uniti (14%), Russia (6,1%) e Vietnam (6%).

Nel periodo oggetto del presente report, la leadership della TOP-10 relativa ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica mondiale, è andata ad appannaggio del malware classificato con la denominazione di Trojan.JS.Redirector.adf, con una quota pari al 2,8% del volume complessivo dei rilevamenti effettuati. La principale funzionalità di cui è provvisto tale insidioso software malevolo, elaborato dai suoi autori sotto forma di una pagina HTML, consiste nel reindirizzare gli utenti verso un sito web infetto, appositamente predisposto dai malintenzionati. La TOP-10 relativa alle famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale risulta capeggiata dalla famiglia di malware denominata Andromeda, la quale occupava la terza posizione nell’analogo ranking relativo al trimestre precedente. La quota ascrivibile alla famiglia Andromeda è risultata pari al 12,35% del volume complessivo di programmi malware rilevati dalle nostre soluzioni di sicurezza IT – nel terzo trimestre del 2014 – in seno al traffico di posta elettronica mondiale. Sono risultati sottoposti con maggior frequenza agli attacchi portati dai software dannosi gli utenti ubicati in Germania.

Lungo tutto l’arco del terzo trimestre dell’anno corrente, all’interno dei flussi di spam sono state individuate e-mail di phishing esplicitamente allestite dai malintenzionati per compiere il furto di login e password relativi agli account di posta elettronica degli utenti. A sua volta, la release delle nuove versioni dell’iPhone ha ugualmente generato un consistente aumento delle notifiche di phishing, e più precisamente di messaggi di posta fasulli provenienti, in apparenza. da noti servizi Apple, quali iTunes e iCloud.

Per generare l’installazione di programmi maligni sui computer-vittima presi di mira, nel corso del terzo trimestre dell’anno i cybercriminali hanno provveduto ad inoltrare verso le e-mail box degli utenti non solo falsi messaggi provenienti, a prima vista, da servizi di prenotazione di hotel e biglietti aerei, ma anche e-mail nocive preposte a recapitare alle potenziali vittime un archiviatore di file piuttosto inusuale, non utilizzato da molto tempo nell’ambito dello spam dannoso.

Continua a crescere in maniera considerevole la quota percentuale relativa agli attacchi di phishing condotti nei confronti delle organizzazioni collegate all’effettuazione di operazioni finanziarie online (istituti bancari, sistemi di pagamento, negozi Internet). Per contro, risulta fortemente diminuito il numero degli assalti di phishing orditi nei confronti delle organizzazioni riunite nella categoria “Portali di posta elettronica e di ricerca”; in effetti, nel terzo trimestre del 2014 tale indice si è attestato su un valore pari al 28,54% del volume complessivo degli attacchi allestiti dai phisher. Risulta ugualmente diminuita in maniera drastica la quota percentuale ascrivibile agli attacchi di phishing volti a prendere di mira Yahoo!, società che, ovviamente, fa parte del novero delle organizzazioni che compongono la suddetta categoria.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *