Nel primo trimestre 2019 l’Email Threat Report condotto da FireEye su un campione di 1,3 miliardi di email ha rilevato un aumento nei tentativi di phishing con tecniche di spoofing, l’uso di HTTPS per i link malevoli, nonché attacchi basati sul servizi cloud pubblici e ben noti di file-sharing.
Nel report, FireEye ha osservato diverse importanti tendenze:
- Gli attacchi di phishing sono aumentati del 17%: una tipica email di phishing impersonifica un contatto noto o un’azienda di fiducia per indurre il destinatario a cliccare su un link, per collezionare le credenziali della vittima o i dati della carta di credito. Durante il primo trimestre del 2019, FireEye ha visto questa tipologia di attacchi aumentare del 17% rispetto al trimestre precedente. Tra i brand che hanno subito il maggior numero di tentativi di spoofing ci sono Microsoft, con circa il 30% di tutti i rilevamenti, seguita da OneDrive, Apple, PayPal e Amazon, ciascuna di essi con un range tra il 6 e il 7%.
- L’utilizzo del protocollo HTTPS negli attacchi basati su URL è cresciuto del 26%: nel 2018, FireEye ha rilevato che gli attacchi basati su URL avevano superato gli attacchi basati sugli allegati. Questa è una tendenza che è continuata anche nel primo trimestre di quest’anno. In particolare, FireEye ha registrato un aumento del 26% trimestre su trimestre degli URL malevoli che utilizzano il protocollo HTTPS. Questo indica che gli attori delle minacce stanno approfittando della percezione comune dei consumatori che il protocollo HTTPS sia un’opzione “più sicura” per navigare in internet.
- Servizi di file sharing sfruttati per consegnare payload malevoli: gli attacchi basati sul cloud, in particolare quelli che sfruttano i servizi di file sharing, sono aumentati nel primo trimestre 2019. L’analisi delle email di questo periodo ha mostrato un forte aumento dei link a file malevoli collocati su servizi di file sharing noti e affidabili, come WeTransfer, Google Drive e OneDrive. Dropbox è stato il servizio più utilizzato dagli attaccanti.
- Nuove varianti di impersonificazione focalizzate su ufficio paghe e supply chain: gli attaccanti hanno continuato ad aumentare le attività fraudolente di impersonificazione dei CEO. Hanno inoltre diversificato il loro approccio. Storicamente questo attacco informatico “cash cow” prendeva di mira la divisione di contabilità delle aziende con l’invio di una email falsificata proveniente dal CEO o da un altro dirigente.
Nel corso dell’ultimo trimestre, FireEye ha osservato che gli attaccanti utilizzano sempre più spesso due nuove varianti:
Ufficio paghe: questa nuova variante è rivolta appunto all’ufficio paghe di un’organizzazione con un’email contenente una richiesta di modifica dei dati personali di un dirigente, come i dati bancari, con l’obiettivo di trasferire la retribuzione di un dirigente verso un conto di terzi.
Supply Chain: questa nuova variante colpisce il dipartimento che segue la contabilità dei fornitori dove gli attaccanti impersonano, tramite email, un fornitore di fiducia (al posto del CEO o di un dirigente) per reindirizzare un pagamento fraudolento verso un conto di terzi.
Come riferito in una nota ufficiale da Ken Bagnall, Vice President of Email Security di FireEye: «Gli attaccanti stanno facendo i loro compiti. Stiamo assistendo a nuove varianti degli attacchi di impersonificazione che mirano a nuovi contatti e nuovi dipartimenti all’interno delle organizzazioni. Il pericolo è che queste nuove vittime potrebbero non essere preparate o possedere le conoscenze necessarie per identificare un attacco. Sfortunatamente, una volta scoperta l’attività fraudolenta, l’organizzazione vittima ritiene di aver pagato una fattura legittima, anziché aver effettuato la transazione direttamente sul conto dell’attaccante».