Lo spam nell'anno 2012

Transcript

1 Lo spam nell'anno 2012 Dar'ja Gudkova Sommario Il 2012 in cifre...1 Le principali tendenze...1 Ulteriore diminuzione delle quantità di spam presenti nei flussi e mail...1 Una valida alternativa allo spam: le piattaforme di advertising del tutto legittime...3 Le e mail dannose e le truffe nello spam...5 Ridistribuzione delle fonti di spam...9 Allegati nocivi rilevati nel traffico di posta elettronica...13 Phishing...14 Conclusioni...17 Il 2012 in cifre La quota dello spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 72,1%. La quota percentuale relativa ai messaggi di phishing è rimasta invariata, facendo in tal modo segnare di nuovo un indice pari allo 0,02% del volume complessivo di messaggi e mail circolanti in Rete. Sono stati individuati file nocivi nel 3,4% dei messaggi di posta elettronica; rispetto all'anno precedente il valore di tale significativo indice è pertanto diminuito dello 0,4%. Le principali tendenze Ulteriore diminuzione delle quantità di spam presenti nei flussi e mail Come evidenzia il grafico qui sotto riportato, per tutto l arco dell anno le quantità di spam presenti nei flussi e mail sono risultate in costante diminuzione. Nel 2012, la quota inerente ai messaggi spazzatura rilevati nel traffico globale di posta elettronica ha fatto registrare un valore medio pari al 72,1%, sensibilmente inferiore all'analogo indice riscontrato nell'anno precedente ( 8,2%).

2 Quote percentuali di spam rilevate nel traffico di posta elettronica Una simile diminuzione degli indici percentuali relativi allo spam, talmente significativa e persistente, non era stata sinora mai osservata. Sottolineiamo, per di più, come nel 2012 la quota media dei messaggi indesiderati all interno dei flussi e mail si sia rivelata nettamente inferiore agli analoghi valori riscontrati nel 2010 (82,2%) e nel 2011 (80,3%), anni in cui si è assistito alla chiusura di un considerevole numero di centri di comando e controllo di estese botnet, così come all inibizione di vari programmi di partenariato dediti alla diffusione del cosiddetto spam farmaceutico. La quota relativa ai messaggi di spam individuati nel traffico di posta elettronica nel corso del 2012 presenta il valore più basso in assoluto degli ultimi 5 anni. Il motivo principale della sensibile diminuzione delle quantità di spam all interno dei flussi e mail è indubbiamente rappresentato dal generale innalzamento del livello di efficacia delle protezioni antispam adottate. Evidenziamo, in primo luogo, come allo stato attuale i filtri anti spam siano stati in pratica implementati all interno di ogni sistema di posta elettronica, anche in quelli gratuiti; ne consegue che il tasso di rilevamento dei messaggi di spam è ormai molto elevato, di solito mai inferiore al 98%. In secondo luogo, numerosi provider di posta hanno da tempo optato per l utilizzo obbligatorio della firma DKIM (DomainKeys Identified Mail); si tratta, in sostanza, dell aggiunta di una firma digitale all'intestazione dei messaggi di posta inviati, con la quale si intende certificare il dominio dal quale viene spedito un determinato messaggio e mail. I primi casi di utilizzo della firma DKIM risalgono già al 2006; tale accorgimento di sicurezza non ha tuttavia subito trovato larga diffusione. Possiamo difatti affermare che soltanto in questi ultimi due anni il sistema DKIM sia assurto al ruolo di criterio di rilevanza primaria per l effettuazione o meno della consegna dell e mail al destinatario. I malintenzionati, da parte loro, hanno così iniziato a falsificare anche le firme DKIM. Ciò si è reso possibile per il fatto che numerose società si servivano ancora di un

3 algoritmo di codifica della firma rilasciato nel 2006; nel 2012, ovviamente, le firme DKIM cifrate tramite tale algoritmo sono state violate con relativa facilità. Sempre nel 2012, tuttavia, sulla versione online della rivista americana Wired è comparso un articolo ( vulnerability widespread/) nel quale è stato descritto in dettaglio il problema relativo alla non sufficiente efficacia e solidità del sistema di codifica adottato per le firme DKIM. Dopo la pubblicazione del suddetto articolo, numerose compagnie di primaria importanza quali Google, Yahoo e Microsoft hanno rapidamente provveduto a modificare la metodologia di cifratura della firma digitale in questione, adottando chiavi a 1024 bit o addirittura a 2048 bit, mentre sino ad allora si erano avvalse della consueta crittografia a 512 bit. Una volta realizzato tale upgrade, la contraffazione del sistema di sicurezza DKIM è divenuta di fatto impossibile, per lo meno se si considera il livello di sviluppo delle potenze di calcolo attualmente impiegate. Le efficaci misure adottate per realizzare il processo di rafforzamento della protezione anti spam hanno avuto quale immediata conseguenza la diminuzione ai livelli, minimi del numero di messaggi di spam quotidianamente indirizzati verso le e mail box degli utenti. Tale specifica circostanza è inevitabilmente destinata a rendere sempre di più lo spam uno strumento di scarsa efficacia; coloro che erano soliti commissionare l esecuzione di estese campagne di spam stanno così progressivamente migrando verso altre piattaforme pubblicitarie, mentre la quantità di messaggi spazzatura presente all interno dei flussi di posta elettronica risulta in costante diminuzione. Una valida alternativa allo spam: le piattaforme di advertising del tutto legittime Quando agli esperti anti spam viene chiesto cosa occorra per ridurre il numero dei messaggi spazzatura presenti all interno dei flussi e mail globali, vi sentirete rispondere che, oltre all adozione di provvedimenti legislativi in grado di contrastare efficacemente il fenomeno spam, oltre all utilizzo di filtri anti spam di elevata qualità, oltre ad istruire adeguatamente gli utenti dei sistemi di posta elettronica, una buona soluzione al problema può essere ugualmente rappresentata dal crescente impiego delle nuove piattaforme di advertising disponibili online, poco costose e pienamente legittime. In effetti, con la progressiva affermazione del Web 2.0, le possibilità di inserire réclame di ogni genere in Internet si sono considerevolmente ampliate: sono comparse sulla scena le pubblicità contestuali e quelle realizzate attraverso i banner, mentre si stanno diffondendo in misura sempre maggiore i messaggi pubblicitari collocati all interno di blog e social network. Al contrario dei messaggi di spam, le pubblicità effettuate attraverso le piattaforme di advertising legali non provocano, in genere, alcuna irritazione o reazione avversa da parte degli utenti che ricevono le offerte promozionali; inoltre, esse non vengono bloccate dai filtri anti spam; un altro innegabile vantaggio è poi rappresentato dal fatto che tali réclame si rivolgono direttamente ad un pubblico mirato, già orientato in maniera positiva verso il tipo di acquisto proposto. Per di più, come testimonia l esame di un ulteriore significativo parametro il costo per clic dal punto di vista economico le pubblicità del tutto legittime possono risultare molto più convenienti rispetto alle réclame normalmente distribuite attraverso i flussi di spam! Sulla base dei risultati ottenuti grazie a ricerche condotte da terze parti, abbiamo potuto stimare che, con una spesa media di 150 dollari per l invio di 1 milione di messaggi di spam verso le e mail box degli utenti, il valore unitario del parametro CPC (cost per click, ovvero il costo relativo a ciascun utente che procede effettivamente a cliccare sul link pubblicitario presente nel messaggio) ammonta come minimo

4 a 4,45 dollari. Il valore dell analogo indice rapportato al social network Facebook, è invece di appena 0,1 dollari. Le pubblicità realizzate nel pieno rispetto della legalità, secondo le nostre valutazioni, risultano quindi molto più efficaci rispetto ai messaggi di spam. La conclusione alla quale siamo giunti viene tra l altro indirettamente confermata dal fatto che le categorie pubblicitarie tradizionalmente presenti nel mondo dello spam (quali, ad esempio, le pubblicità relative alle repliche di articoli di lusso) stanno progressivamente migrando verso i nuovi spazi resi disponibili dall avvento dei social network. Abbiamo a tal riguardo individuato alcuni elementi ben precisi: ad esempio, l indirizzo IP di un negozio online, attualmente reclamizzato attraverso Facebook, era stato precedentemente rilevato all interno del traffico di spam. Sottolineiamo, inoltre, come negli ultimi tempi abbiano notevolmente attirato le attenzioni degli inserzionisti pubblicitari i cosiddetti servizi coupon, risorse web specificamente dedicate alla distribuzione di coupon sconto, volti ad offrire agli utenti della Rete l opportunità di ricevere consistenti sconti collettivi. Si tratta di un ulteriore strumento, del tutto legittimo, creato qualche anno fa per diffondere proposte commerciali di vario genere. In pratica, al momento dell acquisto di un prodotto o di un servizio, l utente Internet presenta il buono sconto di cui è entrato precedentemente in possesso, ed ottiene in tal modo un interessante sconto. Nel corso del 2012, i servizi Internet che si occupano della distribuzione degli ambiti coupon hanno acquisito una popolarità ancor più vasta presso il pubblico della Rete, in ogni angolo del pianeta. In vari paesi, tra l altro, molte società stanno attualmente cercando di utilizzare tali buoni sconto allo scopo di ampliare la propria clientela, mentre i clienti, da parte loro, sono ben lieti di ricevere proposte di acquisto particolarmente vantaggiose. I servizi coupon stanno alimentando in maniera sensibile il progressivo processo di allontanamento degli inserzionisti pubblicitari dal mondo dello spam. Al momento attuale, ad esempio, oltre il 10% delle proposte commerciali distribuite attraverso i coupon sconto riguarda la categoria tematica «Viaggi e vacanze», mentre quest ultima risulta in pratica scomparsa dal traffico globale di spam. Con ogni probabilità, al giorno d oggi, è proprio la notevole popolarità raggiunta in Rete dai servizi coupon ad aver impresso la maggiore accelerazione al processo di migrazione della réclame dai torbidi scenari dello spam ad altre innovative piattaforme di advertising. E di indubbio interesse osservare come l elevato livello di popolarità raggiunto dai servizi coupon si rifletta ormai ampiamente anche all interno degli stessi flussi di spam: i malintenzionati hanno difatti iniziato ad inondare le e mail box degli utenti con messaggi fasulli camuffati sotto forma di e mail provenienti da noti servizi Internet dedicati alla distribuzione dei buoni sconto. Nella circostanza, gli spammer utilizzano tali messaggi contraffatti sia per reclamizzare i prodotti ed i servizi da essi offerti, sia per cercare di indirizzare gli utenti verso siti malevoli.

5 Desideriamo sottolineare, nella circostanza, come la migrazione verso le piattaforme di advertising operanti nell ambito della legalità risulti possibile prevalentemente per tutte quelle pubblicità relative a prodotti e servizi pienamente legittimi. Tale opportunità assume particolare rilievo soprattutto riguardo alla Russia e agli altri paesi dell Europa Orientale, in cui il traffico di spam è tuttora caratterizzato dalla presenza di considerevoli quantità di messaggi pubblicitari commissionati da imprese di piccolo e medio calibro. Ad ogni caso, in considerazione del fatto che anche nei suddetti paesi la porzione più consistente dei messaggi indesiderati è rappresentata dalle réclame di prodotti contraffatti, dalle e mail fraudolente e da quelle malevole, le quantità di spam presenti nel traffico di posta elettronica sono destinate a mantenersi su livelli elevati anche nell imminente futuro. Le e mail dannose e le truffe nello spam Il 2012 si è rivelato un anno davvero sorprendente per la varietà delle tematiche utilizzate nell ambito dei messaggi e mail nocivi. In precedenza, i malintenzionati erano soliti mascherare i loro messaggi sotto forma di notifiche e comunicazioni ufficiali provenienti da servizi di hosting, social network, corrieri internazionali, organizzazioni finanziarie e governative. Nel corso dell anno esaminato nel presente report, gli spammer hanno ulteriormente ampliato la gamma dei messaggi contraffatti da essi confezionati. Ad esempio, hanno fatto la loro comparsa all interno dei flussi di spam numerose e mail relative a false notifiche provenienti da varie compagnie aeree e da servizi di prenotazione alberghiera, così come certi messaggi fasulli apparentemente inviati dai servizi online adibiti alla distribuzione dei buoni sconto, di cui abbiamo parlato in dettaglio nel capitolo precedente del report.

6 I messaggi e mail in tal modo contraffatti possono contenere sia allegati nocivi sotto forma di archivi zip, sia semplici link nocivi. In sostanza, lo schema di attacco dispiegato dai malintenzionati attraverso i link contenuti nelle e mail nocive è sempre lo stesso. L utente, ignorando totalmente la situazione di pericolo in cui effettivamente si trova, clicca sul link presente nel messaggio di posta ricevuto e viene così indirizzato verso un sito compromesso contenente un determinato script. Tale script, a sua volta, effettua il redirecting dell utente verso un sito web nocivo imbottito di pericolosi exploit. Nella maggior parte dei casi, gli

7 utenti vengono reindirizzati verso il famigerato kit di exploit denominato Blackhole; i malintenzionati, tuttavia, si avvalgono anche di altri insidiosi kit di exploit. Oltre allo schema di attacco qui sopra descritto, i cybercriminali dello spam hanno spesso provveduto ad utilizzare un ulteriore subdola opportunità, ovvero quella di collocare contenuti dannosi all interno di siti web legittimi. Nelle e mail dannose camuffate sotto forma di comunicazioni ufficiali provenienti da note risorse web, abbiamo ad esempio individuato link nocivi preposti a condurre i destinatari dei messaggi verso i siti di Wikipedia e Amazon. In pratica, i malintenzionati di turno hanno sfruttato per i loro loschi fini la possibilità offerta a tutti gli utenti della Rete di creare pagine web all interno di tali risorse Internet, iniettando di fatto contenuti dannosi all interno di esse. Tuttavia, poiché le pagine nocive vengono abitualmente rimosse con grande rapidità dagli esperti di sicurezza dei suddetti siti, simili link dannosi non riescono in genere a trovare un adeguata diffusione, e a sortire quindi gli effetti sperati dai malfattori. Probabilmente, è proprio per tale motivo che il metodo in questione non gode di particolare popolarità presso le folte schiere dei criminali informatici. All interno del traffico di spam sono stati ugualmente individuati link nocivi destinati a condurre gli ignari utenti verso altri siti web del tutto legittimi. I truffatori della Rete, ad esempio, per cercare di carpire i dati confidenziali degli utenti (in particolar modo username e password relativi alle caselle e mail), continuano ad utilizzare, così come in precedenza, i form di google.spreadsheets. Tra i più diffusi metodi di ingegneria sociale utilizzati dai malintenzionati troviamo, così come in passato, le e mail contraffatte relative a corrispondenze di natura personale. Spesso, tali messaggi vengono elaborati dai loro autori con grande cura, anche per ciò che riguarda il contenuto specifico; risulta quindi piuttosto difficile, talvolta, poter subito inquadrare e mail del genere nella categoria dello spam. Analizzando tramite il modulo antivirus i file contenuti negli archivi allegati, ci rendiamo immediatamente conto di come lo scopo di tali messaggi sia quello di diffondere diverse varianti di numerosi programmi malware.

8 Translation of the text in Russian language contained inside the Da: ZAO NEFT RUSSIA Oggetto: Pagamento fattura n 754. ZAO NEFT RUSSIA Salve! La fattura n 754 è stata pagata, per un importo di rubli. Inviamo in allegato copia scannerizzata del documento attestante l avvenuto pagamento. La preghiamo cortesemente di verificare l esattezza dei dati riportati nel documento allegato, in quanto abbiamo potuto realizzare il pagamento solo dopo aver effettuato alcuni tentativi. La preghiamo cortesemente di confermare la ricezione della contabile di pagamento e del relativo importo. Ribadiamo, con l occasione, la necessità che il nostro ordine venga completato nel più breve tempo possibile, ovvero prima delle festività di fine anno. Distinti saluti Ivan Lavrov Direttore Finanziario ZAO NEFT RUSSIA In genere, i malintenzionati cercano in ogni modo di nascondere al destinatario dell e mail il fatto che i file contenuti nell archivio allegato siano eseguibili (.exe), e provvedono quindi a mascherare i file in questione sotto forma di innocue applicazioni per l ufficio:

9 Nel traffico di posta elettronica abbiamo inoltre rilevato la presenza di un cospicuo numero di messaggi e mail fasulli ugualmente riconducibili alla specifica tipologia delle corrispondenze personali elaborati dagli spammer in maniera tale da stuzzicare a dovere la naturale curiosità umana ed indurre in tal modo il destinatario ad aprire il file contenuto nell archivio zip allegato alla missiva. Nella fattispecie, gli utenti dei sistemi di posta elettronica si sono visti recapitare un allettante messaggio relativo alla possibilità di entrare in possesso di una certa somma di denaro, da incassare tramite Western Union semplicemente comunicando le coordinate di pagamento trasmesse attraverso l e mail fasulla. Purtroppo, l archivio zip allegato all e mail esemplificativa qui sopra riportata, anziché contenere tutti i dati necessari per incassare al più presto tramite Western Union l inattesa somma, celava in realtà un temibile programma Trojan, facente parte della famigerata famiglia di malware denominata Zbot. Ridistribuzione delle fonti di spam Il 2012 è stato contrassegnato da profondi cambiamenti riguardo alla ripartizione geografica delle fonti dei messaggi di spam. La Cina, che nell anno precedente non era nemmeno entrata a far parte della Top 20 relativa ai paesi dal cui territorio vengono distribuite in Rete le maggiori quantità di e mail spazzatura, nell anno oggetto

10 del presente report è andata ad occupare la prima posizione della speciale graduatoria da noi stilata; la quota riconducibile al colosso dell Estremo Oriente si è attestata su un valore pari al 19,5%. L indice relativo ai flussi di spam generati entro i confini statunitensi ha fatto anch esso registrare un sensibile incremento (+ 13,5%); gli USA si sono in tal modo collocati sul secondo gradino del podio virtuale, con una quota pari al 15,6%. In passato, i due suddetti paesi si erano già posizionati, a più riprese, ai vertici del rating dedicato alla geografia delle fonti di spam. Ricordiamo tuttavia come, nel 2007, la quantità di messaggi e mail indesiderati provenienti dal territorio della Repubblica Popolare Cinese avesse subito una forte contrazione; in quell anno, in effetti, le autorità cinesi avevano provveduto ad approvare e mettere in atto uno specifico provvedimento legislativo anti spam, allo scopo di contrastare in maniera efficace il dilagare del fenomeno dei messaggi spazzatura. I flussi di spam provenienti dagli Stati Uniti, per parte loro, si erano quasi ridotti a zero dopo la chiusura, nel 2010, dei centri di comando e controllo di alcune estese botnet. Tali paesi, tuttavia, si collocano ai vertici della speciale classifica relativa al numero di utenti Internet, peraltro con un notevole margine percentuale rispetto agli altri paesi del globo. Negli Stati Uniti e in Cina risulta in effetti ubicato oltre il 30% del numero complessivo di utenti della Rete nel mondo. Naturalmente, un potenziale così elevato non poteva di certo passare inosservato ai malintenzionati dediti alla creazione di reti zombie, i quali, come è noto, cercano in ogni modo di estendere le proporzioni delle botnet da essi gestite, formate da computer infetti totalmente asserviti. Ripartizione delle fonti di spam per paesi Il processo di ridistribuzione attraverso i vari paesi del globo delle fonti di diffusione dello spam mondiale si è dipanato lungo tutto il corso dell anno. I cambiamenti di maggior rilievo sono intervenuti in Asia; la Cina è assurta al ruolo di leader della graduatoria regionale relativa al continente asiatico, mentre i paesi che nel 2011 capeggiavano la classifica delle fonti di spam asiatiche ovvero India, Indonesia e Corea del Sud hanno perso varie posizioni nell analogo rating del 2012.

11 Evoluzione su base trimestrale delle dinamiche relative alla ripartizione delle fonti di spam per paesi (TOP 10) Nel 2012, così come nell anno precedente, al primo posto della speciale graduatoria relativa alla ripartizione delle fonti di spam per macro regioni geografiche si è collocata l Asia. Nell arco di un anno l indice attribuibile alla regione asiatica ha fatto registrare un incremento pari all 11,2%, superando in tal modo, complessivamente, la soglia del 50%; in pratica, la metà dei messaggi e mail spazzatura che invadono le caselle di posta elettronica degli utenti della Rete situati in ogni angolo del pianeta, proviene proprio dall Asia. Suddivisione per macro regioni geografiche delle fonti di spam rilevate nel corso del 2012

12 Suddivisione per macro regioni geografiche delle fonti di spam rilevate nel corso del 2011 Il forte aumento del valore percentuale relativo al contributo apportato dagli Stati Uniti al traffico mondiale di spam ha proiettato l America Settentrionale (15,8%) al secondo posto del rating relativo alla suddivisione per macro aree geografiche delle fonti di spam rilevate nel corso del 2012; ricordiamo come, nel 2011, la quota riconducibile al continente nordamericano si limitasse ad un trascurabile 2%. Al contempo, rispetto all anno precedente, l indice relativo all America Latina (11,8%) è diminuito di ben 8 punti percentuali. Dinamiche relative alla diffusione dei messaggi di spam provenienti da aree geografiche situate nell America Settentrionale e in America Latina (Periodo: gennaio dicembre 2012) Nel suo insieme, anche la macro regione europea ha perso posizioni in classifica. Complessivamente, nel 2012, dai paesi situati in Europa Occidentale e in Europa Orientale è stato diffuso il 15,1% dello spam mondiale; rispetto al 2011 (30%), la quota relativa al continente europeo si è in pratica quasi dimezzata.

13 Allegati nocivi rilevati nel traffico di posta elettronica Nonostante la sensibile diminuzione delle quote di spam presenti nel traffico di posta elettronica, l indice relativo al numero di allegati nocivi individuati nel corso del 2012 all interno dei flussi e mail ha fatto segnare solo un lieve decremento rispetto all anno precedente, attestandosi in tal modo su un valore medio pari al 3,4%. Si tratta di un valore indubbiamente molto elevato, considerando che tale indice riguarda esclusivamente quei messaggi di posta elettronica che recano allegati nocivi, mentre, come è noto, all interno del traffico e mail, gli spammer diffondono ugualmente un consistente numero di messaggi di spam contenenti semplici link preposti a condurre gli utenti verso siti web dannosi. La Top 10 dell anno 2012 relativa ai software nocivi maggiormente diffusi nei flussi di posta elettronica globali risulta capeggiata dal malware classificato come Trojan Spy.HTML.Fraud.gen; tale programma nocivo è rimasto saldamente al primo posto di questa speciale graduatoria per tutto l arco dei primi tre trimestri dell anno, peraltro sempre con un ampio margine percentuale rispetto agli altri diretti concorrenti del rating. Nel quarto trimestre, la leadership della Top 10 in questione è invece andata ad appannaggio, in successione, dei malware denominati Trojan Spy.Win32.Zbot.fsfe e Trojan PSW.Win32.Tepfer.cfwf. I tre software nocivi sopra citati sono stati appositamente creati dai virus writer per realizzare il furto dei dati sensibili (login e password) relativi agli account aperti in Rete dagli utenti. Precisiamo, nella circostanza, come Fraud.gen e Zbot (ZeuS) siano destinati a prendere di mira esclusivamente le password utilizzate dalla clientela di vari servizi di pagamento online ed Internet banking, mentre Tepfer è ugualmente specializzato nel carpire password di altro genere. TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica nel corso del 2012 La seconda e la terza posizione della graduatoria relativa all anno oggetto del presente report, risultano occupate da due worm di posta elettronica. L elevata quantità di worm presenti in classifica trova una logica spiegazione nel fatto che, una volta penetrati all interno dei computer vittima, tali programmi nocivi sono in grado di auto diffondersi attraverso gli indirizzi e mail illecitamente raccolti nelle macchine contagiate. I worm di tal genere risultano particolarmente diffusi nei paesi asiatici, dove gli utenti si avvalgono piuttosto di frequente di software «pirata» e non procedono al regolare e costante aggiornamento dei database antivirus. I worm riconducibili alla famiglia Bagle risultano inoltre provvisti di ulteriore potenziale nocivo: in aggiunta alle funzionalità che generalmente contraddistinguono gli

14 illustri confratelli, essi sono difatti in grado di interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare sui computer degli utenti altri software nocivi. Ripartizione per paesi dei rilevamenti eseguiti nel corso del 2012 dall'antivirus e mail Il maggior numero di rilevamenti eseguiti nel corso del 2012 dal nostro antivirus e mail ha avuto luogo sul territorio degli Stati Uniti d America. Per vari mesi dell anno, la posizione di leader del rating in questione è risultata tuttavia occupata dalla Germania, collocatasi poi al secondo posto della classifica che riassume i valori riscontrati nell intero Come evidenzia il grafico qui sopra riportato, il terzo posto della specifica graduatoria è andato ad appannaggio della Gran Bretagna. La Russia, paese verso il quale era stato indirizzato il maggior numero di messaggi di spam nocivi durante il 2011, si è collocata solo al nono posto del rating annuale riguardante il E di particolare interesse osservare come la quota relativa ai messaggi con allegati nocivi indirizzati agli utenti ubicati negli USA sia aumentata di pari passo con il sensibile incremento della quota di messaggi e mail indesiderati distribuiti in Rete dal territorio statunitense. Risulta aumentata in maniera significativa anche la quantità di e mail nocive rivolte agli utenti situati entro i confini della Repubblica Popolare Cinese. Con ogni probabilità, i malware in tal modo diffusi, in aggiunta all abituale payload nocivo, hanno provveduto a scaricare sui computer degli utenti vittima i famigerati spam bot. La naturale conseguenza di circostanze del genere è che i computer infetti entrano a far parte di estese botnet, e iniziano a loro volta a distribuire montagne di messaggi spazzatura verso le e mail box degli utenti. Phishing

15 TOP 100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel corso del 2012 Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti phishing La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web. Il primo posto della speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher nel corso del 2012 è andato ad appannaggio della categoria che raggruppa i social network (24,5%). Come era lecito attendersi, la rete sociale maggiormente bersagliata dai phisher si è rivelata essere Facebook, il social network più esteso del pianeta. Nella fattispecie, gli account illegalmente carpiti vengono principalmente utilizzati dai malintenzionati per l invio di messaggi di spam e la distribuzione di insidiosi programmi malware; per perseguire il loro scopo, i phisher si avvalgono in particolar modo delle liste dei contatti presenti sulle pagine personali degli utenti dei vari social network. Rileviamo, al contempo, come sia diminuito, rispetto allo scorso anno, il numero degli assalti di phishing rivolti alla categoria Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari ; così come in precedenza, tuttavia, la quota relativa alla categoria in questione continua a mantenersi su livelli indubbiamente elevati (22,9%). Il terzo posto della graduatoria risulta invece occupato dai negozi Internet e dalle aste online, con un indice pari al 18,4% del numero complessivo di attacchi di phishing

16 condotti nel corso del 2012; una volta ottenuto l accesso agli account relativi alle organizzazioni riunite sotto tale categoria, i phisher possono agevolmente impadronirsi dei dati sensibili riguardanti le carte di credito degli utenti. Alla quarta posizione della classifica sopra riportata si sono poi insediati i motori di ricerca; la quota relativa ai search engine appare piuttosto consistente (14,1%). Come è noto, numerosi motori di ricerca, quali ad esempio Google o Mail.ru, si presentano in Rete sotto forma di ampi portali, e mettono a disposizione degli utenti un vasto numero di servizi online aggiuntivi. Anche tali account attirano in maniera considerevole le losche attenzioni dei truffatori. Ripartizione per paesi degli hosting che celano siti di phishing Al quarto e al sesto posto della Top 10 relativa agli hosting in questione si sono rispettivamente collocate Russia e India; tutte le rimanenti posizioni della graduatoria risultano occupate da paesi caratterizzati da un alto tasso di sviluppo economico. Quasi tutte le nazioni presenti in classifica possiedono estesi sistemi di banking online e vantano, allo stesso tempo, un elevato numero di utenti delle reti sociali. Come abbiamo visto, sono proprio i social network, al pari delle organizzazioni finanziarie, dei sistemi di pagamento online e degli istituti bancari, a costituire il bersaglio prediletto dai phisher. E importante sottolineare, in ogni caso, come un hosting che cela siti adibiti al phishing non debba necessariamente trovarsi entro i confini del medesimo paese i cui utenti vengono sottoposti agli assalti dei phisher. Un altro elemento particolarmente significativo è rappresentato dal fatto che i phisher, in genere, cercano di fare in modo che la denominazione del sito fasullo da essi allestito risulti il più possibile simile al nome dell effettiva risorsa Internet presa di mira (ad esempio tramite la sostituzione di una sola delle lettere presenti nell indirizzo del sito legittimo), con la speranza che, in tal modo, l utente non si accorga di essere andato a finire su una pagina web fraudolenta. Ovviamente, per far sì che il sito Internet truffaldino appaia in tutto e per tutto identico all originale, dovranno esattamente coincidere anche le zone di dominio nelle quali risultano registrati i due diversi siti web, quello fasullo e quello autentico. La specifica ripartizione delle zone di dominio osservata nella Top 10 sopra riportata può trovare una logica spiegazione proprio in tale particolare elemento.

17 E infine interessante osservare come i 3 paesi nei quali risulta collocato il maggior numero di siti di phishing, ovvero Stati Uniti, Germania e Gran Bretagna, siano allo stesso tempo i paesi verso i quali vengono attualmente inviate le maggiori quantità di messaggi di posta elettronica recanti allegati dannosi. Conclusioni Nel 2012, la quota percentuale relativa allo spam presente nei flussi e mail è risultata in costante diminuzione; addirittura, nell ultimo trimestre dell anno analizzato nel presente report, l indice relativo alle e mail spazzatura distribuite nelle caselle di posta elettronica degli utenti della Rete, non ha mai superato il valore soglia del 70%. Tale circostanza trova una logica ed evidente spiegazione nel fatto che le pubblicità dei prodotti e dei servizi del tutto legittimi stanno progressivamente abbandonando la scena dello spam, per orientarsi sempre di più verso piattaforme di advertising legali. Ciò non significa, in ogni caso, che potremo assistere entro breve alla totale scomparsa del fenomeno spam: difatti, proprio in ragione del loro specifico carattere criminoso, i messaggi e mail infarciti di allegati nocivi, lo spam fraudolento e le pubblicità di prodotti illegali non potranno mai migrare verso piattaforme del tutto legittime. Per ciò che riguarda le previsioni per il prossimo anno, ci attendiamo semplicemente una lieve diminuzione delle quote di spam presenti nel traffico di posta elettronica. Nel corso del 2012 sono significativamente aumentate le quote percentuali relative ai messaggi di spam inviati dal territorio di Stati Uniti e Cina. In passato, tali paesi si erano già collocati, a più riprese, ai vertici della speciale graduatoria dedicata alla geografia delle fonti di spam; tuttavia, negli anni più recenti, dopo l adozione di specifiche leggi anti spam e lo smantellamento di estese botnet, le quantità di e mail spazzatura provenienti da USA e Repubblica Popolare Cinese risultavano notevolmente diminuite. Con ogni probabilità, gli spammer intendono comunque avvalersi delle ingenti risorse in termini di potenza di calcolo di cui sono complessivamente provvisti i computer ubicati in queste due nazioni colosso e provvedono, pertanto, ad allestire nuove reti zombie sul territorio di tali paesi. I software nocivi maggiormente diffusi nei flussi di posta elettronica del 2012 sono risultati essere quei programmi malware appositamente creati dai virus writer per realizzare il furto dei dati sensibili (login e password) relativi agli account aperti in Rete dagli utenti. I malintenzionati hanno puntato in particolar modo a carpire login e password riguardanti i servizi di pagamento online e l Internet banking, non disdegnando, tuttavia, password di altro genere, ad esempio quelle collegate agli account utilizzati per accedere a social network, posta elettronica e altri servizi online. Le quantità di e mail nocive rilevate all interno dei flussi globali di posta elettronica si sono mantenute per tutto l arco dell anno su livelli decisamente elevati. I malfattori inviano verso le e mail box degli utenti un numero sempre maggiore di messaggi di posta contraffatti, mascherati sotto forma di notifiche e comunicazioni ufficiali, provenienti (in apparenza!) da risorse web del tutto legittime ed ampiamente note al pubblico della Rete. In simili circostanze, riteniamo quindi doveroso ribadire alcune semplici raccomandazioni inerenti alla sicurezza IT: una volta ricevuta l e mail, occorre innanzitutto assicurarsi che il messaggio provenga realmente dalla risorsa od organizzazione web in esso citata; non bisogna inoltre in alcun modo cliccare sui link contenuti nelle e mail sospette; un fattore di sicurezza altrettanto importante è infine rappresentato dal costante e tempestivo aggiornamento dei software installati sul proprio computer.