Negli ultimi tempi gli attacchi di phishing hano cambiato dinamica di attacco per eludere le difese di un’azienda. Tra quelle più in voga tra i pirati informatici rientra l’utilizzo di software proxy che rende ancora più semplice l’iter di attacco a un server.
Quali sono le differenze da un attacco phishing tradizionale? Esistono delle misure di difesa da attuare per mitigare il rischio di subire questa nuova tipologia di attacco basata sul phishing?
Nei paragrafi seguenti un’analisi del comportamento degli attacchi phishing che utilizzano software proxy qualche consiglio utile su come difendersi.
La nuova era del phishing (e come difendersi)
I phisher, ovvero gli autori di malware utilizzato per il phising, si sono adattati alle funzionalità offerte dagli strumenti di sicurezza informatica per realizzare i loro scopi criminali. Ad esempio il software Matasploit Pro ha un toolkit di phishing che consente di automatizzare gran parte dell’attacco, mentre il Social-Engineer Toolkit (SET) di TrustedSec può addirittura rendersi utile per sviluppare attacchi phishing.
I phiser utilizzano diversi strumenti per automatizzare la clonazione di un sito web e generare mail di
phishing che raccolgono informazioni in merito a utenti inconsapevoli e poi vengono trasferite a un sito controllato dai pirati informatici e utilizzate per diversi scopi criminali. Una nuova tecnologia di phishing scoperta nel novembre del 2014 e soprannominata Operazione Huyao, conteneva due tipologie di attacco che erano state studiate per ridurre al minimo le probabilità che la vittima si rendesse conto di essere sotto attacco. Questa tecnica di attacco è stata utilizzata verso un sito di shopping online e consisteva nel creare un processo di checkout personalizzato e l’utilizzo di software proxy per accedere al sito preso di mira. Il check-out personalizzato si è reso necessario perché alcuni browser web hanno pop-up che mettono in guardia l’utente quando si inseriscono i dati su un sito web per l’acquisto di un bene. In questo caso utilizzare un proxy SSL avrebbe reso possibile al sito di e-commerce di ricevere comunque i dati, e al tempo stesso avrebbe reso molto più impegnativo la creazione di un proxy SSL fraudolento da parte dei phiser.
Aiutare gli utenti con i certificati SSL
È molto difficile che gli utenti finali riescano a rilevare un attacco phishing della serie Operazione Huyao. UN metodo utile è quello di esaminare attentamente la barra degli indirizzi e controllare se un proxy viene utilizzato per prevenire attacchi phishing: non tutti controllano, e inoltre ci sono altri modi per eseguire un attacco di tipo man-in-the-middle. Inoltre se si fosse utilizzato un proxy SSL il certificato SSL potrebbe essere esaminato dall’utente per capire che non si stanno rivelando dati sensibili a un sito web pirata.
Gli strumenti di sicurezza host-based, come un sistema di rilevamento delle intrusioni o i tool antimalware devono rilevare e bloccare i siti web creati per attacchi phishing fino a quando questi non vengono rimossi dalle autorità o direttamente dall’azienda che ha subito un furto del dominio. Anche se gli operatori dei siti web possono rilevare questi tipi attacchi monitorando un numero di connessioni in arrivo da un solo nuovo IP, queste possono essere ingannata perché potrebbero essere accessi da un proxy legittimo o da un NAT (Network Address Translation). Per questo motivo ogni tipo di incidente che si possa registrare sul sito richiede un’analisi approfondita per capire se si tratta di un attacco phishing o di un altro tipo di accesso consentito.
Insomma, che si lavori sui sistemi tradizionali o in cloud, la sicurezza deve essere ripensata in una chiave più moderna e flessibile.