I cybercriminali inventano costantemente nuovi metodi per aggirare i sistemi di difesa anti-phishing e perfezionano quelli già collaudati. Uno di questi è il cosiddetto “Delayed Phishing”, che potrebbe essere tradotto come “phishing ad azione ritardata”.
Di che si tratta?
Questa minaccia riguarda un tentativo di portare la vittima su un sito dannoso o falso utilizzando una tecnica nota come Post-Delivery Weaponized URL. Come suggerisce il nome, con questa tecnica viene sostituito il contenuto online con una versione dannosa dopo la consegna di un’e-mail che reindirizza su questo contenuto. In altre parole, la potenziale vittima riceve un’e-mail con un link che non conduce da nessuna parte o verso una risorsa legittima che potrebbe essere già compromessa, ma che in quel momento non ha alcun contenuto dannoso. Di conseguenza, il messaggio supera qualsiasi filtro. Gli algoritmi di protezione trovano l’URL nel testo, scansionano il sito collegato, non vedono nulla di pericoloso e lasciano passare il messaggio. Tuttavia, ad un certo punto, dopo la consegna (sempre dopo la consegna del messaggio e idealmente prima della sua lettura), i cybercriminali cambiano il sito a cui reindirizza il messaggio o attivano contenuti dannosi su una pagina precedentemente innocua. Può trattarsi di un falso sito bancario o un exploit del browser che tenta di scaricare malware sul computer della vittima. In circa l’80% dei casi, comunque, si tratta di un sito di phishing.Come vengono imbrogliati gli algoritmi anti-phishing?
I criminali informatici usano uno di questi tre modi per superare i filtri:- Utilizzo di un link semplice: in questo tipo di attacco, i cybercriminali hanno il controllo del sito bersaglio, che hanno creato da zero, hackerato o dirottato. I cybercriminali preferiscono questi ultimi, che tendono ad avere una reputazione positiva, il che piace agli algoritmi di sicurezza. Al momento della trasmissione, il link conduce a uno stub privo di significato o, più comunemente, a una pagina con un messaggio di errore 404.
- Modifica di un link accorciato: molti strumenti online permettono a chiunque di trasformare un URL lungo in uno più corto. Gli shortlink rendono la vita più facile agli utenti; in effetti, è corto, facile da ricordare e si può ritornare al link più lungo. In altre parole, innesca un semplice reindirizzamento. Con alcuni servizi è possibile modificare i contenuti nascosti dietro uno shortlink, una scappatoia che sfruttano i cybercriminali. Al momento della consegna del messaggio, l’URL rimanda a un sito legittimo, ma dopo un po’ lo convertono in un sito dannoso.
- Aggiunta di un link accorciato casuale: alcuni strumenti per l’accorciamento del link consentono il reindirizzamento probabilistico. Cioè, il link ha il 50% di possibilità di portare su google.com e il 50% di possibilità di aprire un sito di phishing. La possibilità di arrivare su un sito legittimo apparentemente può confondere i crawler (programmi per la raccolta automatica di informazioni).
Quando i link diventano dannosi?
I cybercriminali di solito operano partendo dal presupposto che la loro vittima sia un normale lavoratore che dorme di notte. Pertanto, i messaggi di phishing ad azione ritardata vengono inviati dopo la mezzanotte (nel fuso orario della vittima) e diventano dannosi poche ore dopo, verso l’alba. Guardando le statistiche di quando si attivano i sistemi anti-phishing, vediamo un picco intorno alle 7-10 del mattino, quando gli utenti, dopo aver preso un caffè. cliccano su link che erano legittimi al momento dell’invio, ma che ora sono dannosi. Anche lo spear-phishing non rimane certo a guardare. Se i criminali informatici trovano una persona specifica da attaccare, possono studiare la routine quotidiana della loro vittima e attivare il link dannoso a seconda di quando la vittima è solita controllare la posta.Come identificare il Delayed Phishing
Idealmente, bisogna evitare che il link di phishing arrivi all’utente, per cui una continua scansione della posta in arrivo sembrerebbe la strategia migliore. Per fare in modo che questo sia sempre possibile è bene usufruire di appositi software in grado di garantire il rilevamento di tentativi di Delayed Phishing senza creare un carico aggiuntivo sul server nel momento di picco della posta. Gran parte delle soluzioni presenti sul web consentono anche di monitorare la posta interna (che non passa attraverso il gateway di sicurezza della posta, e quindi non viene analizzata dai filtri e dai motori di scansione), nonché di implementare regole di filtraggio dei contenuti più complesse. In casi particolarmente pericolosi di business e-mail compromise (BEC), in cui i cybercriminali ottengono l’accesso a un account di posta aziendale, assume particolare importanza la possibilità di ripetere la scansione dei contenuti delle caselle di posta e di controllare la corrispondenza interna. Continua a seguire il blog su www.musaformazione.it per tanti altri contenuti di sicurezza informatica e scopri il corso di Ethical Hacker & Security Manager per diventare un vero professionista di cyber security. Al prossimo articolo!
