DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

Transcript

1 DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

2 DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza i dipendenti e, in particolare, i dirigenti di un azienda. Si tratta di paranoia o è un angoscia giustificata? I recenti compromessi in materia di sicurezza, inclusi quelli di un laboratorio pubblico federale, di un colosso dell marketing e di un azienda leader nella tecnologia della sicurezza, accreditano la seconda interpretazione e provano che i pirati informatici hanno modificato le loro tattiche di phishing in modo tale da aggirare le tradizionali difese della posta elettronica. Infatti, nonostante la posta elettronica rimanga altamente vulnerabile ai comportamenti illeciti, la sicurezza continua ad affidarsi pesantemente a princìpi e tecnologie vecchi di dieci anni. Le aziende devono guardare diversamente alla sicurezza della posta elettronica, soprattutto per il proliferare di nuovi e più mirati attacchi di phishing. Il modello tradizionale di un attacco di phishing Gli attacchi di phishing hanno seguito per lungo tempo un modello ben collaudato basato sulla quantità: grandi volumi di , contenenti malware negli allegati o nel testo, inviati a destinatari a caso. La procedura era la seguente: 1. Un hacker invia un di massa a migliaia di utenti. 2. Una piccola percentuale di destinatari reagisce all (ad es. scaricando un allegato contenente un virus). 3. I PC dei destinatari vengono infettati da un trojan o da un altra forma di malware. Invio in massa di di spam File malevolo scaricato da un'allegato PC dell'utente infettato con un trojan o altri malware

3 DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 3 Le difese tradizionali contro gli attacchi di phishing Anche se il modello tradizionale di attacco di phishing è stato efficace per anni, la sua capacità è andata diminuendo. Gli utenti ora sono inclini a riconoscere e a ignorare questi attacchi, avendo avuto a che fare per anni con presunte di parenti lontani. Allo stesso modo, le tradizionali soluzioni di sicurezza sono diventate più efficienti nel riconoscere queste macchinazioni grazie all utilizzo di tecnologie come: La reputazione del mittente dell per identificare gli indirizzi che notoriamente riversano spam. L analisi lessicale per analizzare il contenuto delle alla ricerca di combinazioni di parole e schemi riscontrabili solitamente nello spam. Queste tecniche di difesa sono diventate così affidabili ed efficaci che molte soluzioni leader per la sicurezza della posta elettronica garantiscono di poter rilevare il 99% di tutto lo spam e il 100% dei virus noti. Di conseguenza la maggior parte degli utenti non riceve più queste nella propria casella. L evoluzione degli attacchi di phishing Alcuni pirati informatici sono stati scoraggiati dall efficacia delle difese, ma la maggior parte ha reagito modificando il modello degli attacchi di phishing in maniera lieve ma significativa. La cornice di base rimane la stessa ma gli attacchi odierni sono caratterizzati da volumi più piccoli, sono altamente mirati e hanno un aspetto più legittimo. Inoltre il malware viene ora inviato attraverso URL inclusi all interno delle . Gli antivirus a protezione dai virus noti che risiedono negli allegati della posta elettronica. Reputazione del mittente Blocco delle da sospetti spammer noti, come readjustedha6@ 12481bmatter.com Antivirus Confronto dei file binari e degli allegati malevoli, come il file copy.docx, con le firme dei virus noti. Analisi lessicale Analisi delle combinazioni di parole e degli schemi riscontrabili solitamente nello spam.

4 DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 4 La procedura rivista è la seguente: 1. Gli hacker prendono di mira i destinatari raccogliendo informazioni su di essi attraverso i Mi piace dei siti di Social Networking. 2. Compromettono un dominio o un server legittimo, con il quale i destinatari sotto tiro potrebbero avere una interrelazione, per ottenere accesso a un indirizzo di posta elettronica legittimo e quindi dalla buona reputazione. 3. I pirati usano poi le informazioni raccolte per creare le di phishing, che vengono inviate tramite un indirizzo rispettabile ai destinatari presi di mira. 4. Un ampia percentuale di destinatari reagisce all cliccando su un URL incluso nella stessa, che collega a un sito web legittimo ma compromesso, con il risultato di scaricare il malware senza rendersene conto. 5. Il malware cerca le vulnerabilità della rete, magari per annullare le difese e per creare delle porte di servizio dalle quali accedere ai sistemi interni e impossessarsi di preziose informazioni aziendali. Perché le difese tradizionali falliscono Modificando solo leggermente il tradizionale modello degli attacchi di phishing, i pirati informatici sono riusciti a sconfiggere le tradizionali misure di difesa, conseguendo dei profitti considerevoli: La reputazione dell indirizzo del mittente non riesce a bloccare l di phishing perché quest ultima viene inviata da un indirizzo non tradizionalmente associato alle di massa o malevoli. L analisi lessicale fallisce perché l di phishing non contiene alcuna combinazione di parole associata comunemente allo spam. L antivirus è inefficace perché il malware non è contenuto all interno del messaggio ma viene inviato invece tramite una pagina web dallo script occulto. 6. I dati riservati, come le proprietà intellettuali e i dettagli dei clienti, vengono sottratti. L'hacker raccoglie informazioni tramite i siti web sociali. Prende il controllo di server aziendali legittimi. Crea le di phishing mirate. I destinatari ignari cliccano sull'url incluso nel corpo dell' . L'hacker si infiltra nella rete aziendale con dei trojan o altro Le informazioni riservate vengono trasmesse all'hacker.

5 DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 5 Il nuovo modello di attacco di phishing ha consentito ai pirati informatici di compromettere organizzazioni come l Oak Ridge National Laboratory, nota per le sue ricerche nell ambito della sicurezza informatica comprendenti malware, vulnerabilità e phishing. Nell attacco dell aprile 2011, 57 utenti cliccarono su un link malevolo che sfruttò una vulnerabilità del giorno zero presente in Internet Explorer (IE), rivelando i loro codici della previdenza sociale e date di nascita. Attacchi simili esposero le informazioni sensibili del gigante del marketing Epsilon e del produttore di soluzioni di sicurezza RSA. Le migliori pratiche per fermare gli attacchi di phishing più moderni Data la proliferazione degli attacchi di phishing mirati, le aziende devono rivedere la condizione di sicurezza del proprio sistema di posta elettronica. Ecco alcuni punti con i quali possono cominciare ad adattarsi per ridurre al minimo il rischio: Data la proliferazione degli attacchi di phishing mirati le aziende devono rivedere la condizione di sicurezza del proprio sistema di posta elettronica. Web Intelligence all interno dell Security Gateway Ora quasi tutti gli attacchi di phishing - il 92% - contengono un componente web che elude i tradizionali antivirus dei gateway di posta. Gli URL incorporati in queste conducono spesso a dei siti web che ospitano del malware occulto. Le analisi web in tempo reale e un database aggiornato di siti web noti, buoni e malevoli, comprendente i siti sociali, sono vitali per impedire alle minacce convergenti provenienti da web e posta elettronica di entrare nelle caselle degli utenti. Raccomandazione: combinare nella tecnologia di sicurezza della posta elettronica l antivirus del gateway con informazioni proattive sulle minacce provenienti dal web, nell ambito di una strategia di difesa multilivello. Reputazione del mittente Example@ info. example.com non è notoriamente un indirizzo che invia spam. Analisi lessicale Nessuna combinazione di parole comunemente usata né schemi di spam. Antivirus Attacchi basati sullo script nella pagina web; nessuna firma nota né esperienza di attacchi simili.

6 DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 6 Numero di virus rilevati da Websense Advanced Detection e NON rilevati dai primi 5 motori antivirus (17-23 apr) Apr 17 Apr 18 Apr 19 Apr 20 Apr 21 Apr 22 Apr 23 Analisi della minaccia al momento del Click I moderni attacchi di phishing hanno avuto successo soprattutto perché le di phishing incorporano ora dei link che puntano a dei botnet con indirizzo IP dinamico o a delle pagine web che ospitano del codice dinamico: due tecniche che possono eludere anche l analisi antimalware dei gateway più forti. Per esempio, un inviata a mezzanotte può contenere un collegamento a una pagina web che era innocua durante l iniziale scansione di sicurezza al gateway. Tuttavia, quando il destinatario clicca sul link il mattino seguente la stessa pagina web può essere stata iniettata con del codice malevolo. Ogni settimana una media di oltre 700 malware viene inviata usando questo modello di attacco che supera indisturbato i principali motori antivirus. Raccomandazione: isolare e testare le sospette che contengono gli URL, compiendo un analisi in tempo reale sul punto di clic del destinatario, al fine di ridurre i rischi per la sicurezza senza aumentare i falsi positivi né compromettere l esperienza dell utente. Analisi in tempo reale della trasmissione dei dati Gli hacker moderni sono alla ricerca di dati, ma non di dati qualsiasi. Cercano proprietà intellettuali, roadmap dei prodotti e qualsiasi cosa che possa essere di vitale importanza per il successo di un impresa. Le organizzazioni hanno bisogno di un ulteriore linea di difesa nella propria infrastruttura della posta elettronica e nei dispositivi che accedono ai dati, come tablet e smartphone, per sorvegliare il flusso di informazioni e prevenire le perdite di dati. Raccomandazione: analizzare tutti i dati in uscita per bloccare, mettere in quarantena o cifrare automaticamente i dati sensibili e monitorare gli andamenti che possono indicare una lenta ma inesorabile perdita di informazioni. Formazione degli utenti L installazione delle soluzioni di sicurezza più recenti non serve a niente se gli utenti non seguono le regole base della sicurezza informatica. La soglia di separazione fra la vita personale e la vita lavorativa di un utente si è di fatto assottigliata, se non del tutto scomparsa. Questo significa che gli utenti possono essere ben protetti al lavoro, ma non lo sono più quando controllano la posta personale a casa tramite il computer portatile dell azienda. Il modo migliore per far loro tenere a mente la sicurezza è quello di sensibilizzarli all interno dell organizzazione sulle strategie e le tattiche usate dagli hacker moderni. Raccomandazione: mostrare ai dipendenti alcuni esempi reali di attacchi di phishing, dare immediatamente un feedback mirato a coloro che restano vittime degli attacchi-esercitazione e formarli di conseguenza Websense, Inc. Tutti i diritti riservati. Websense e il logo Websense sono tutti marchi registrati Websense, Inc. negli Stati Uniti e in altri paesi. Tutti gli altri marchi sono di proprietà dei rispettivi produttori. IT-WP-PHISHING