Un anno dopo l’inizio ufficiale della pandemia da COVID-19, i metodi e le tattiche utilizzati dai cybercriminali sono mutati drasticamente.
Tratto da Cyber Magazine | Anno 2 n° 3 | 2021
A cura di Pierguido Iezzi
Le email di phishing a tema COVID, gli attacchi bruteforce su dipendenti in smart working e un particolare focus nell’attaccare le svariate piattaforme di video conferenza e file sharing sono i tratti distintivi delle organizzazioni criminali al primo anniversario del virus che ha cambiato le nostre vite.
Un anno dopo l’inizio della crisi da COVID-19, il modo in cui le persone vivono e lavorano è cambiato radicalmente. E con loro anche i metodi e le tattiche utilizzati dai criminali per cercare di sfruttare l’enorme aumento di traffico online.
Le truffe di phishing che fanno leva sul COVID-19
Le truffe via email (e il phishing in particolare) sono ancora uno dei metodi di attacco più efficaci nell’era della pandemia, dato che la paura e l’ansia sono due delle emozioni su cui è più facile fare leva per questo tipo di attacchi di socialengineering.
Le campagne come quelle che sostengono di voler offrire mascherine e igienizzante per mani (che richiedevano ai destinatari di inserire i dettagli di pagamento) sono diventate molto comuni nel corso dell’ultimo anno. Fra gli approcci abituali c’è anche stato l’impersonare le autorità mediche da parte dei cybercriminali, con l’offerta di “importanti” aggiornamenti. Ma invece di news di valore arrivavano i malware.
I cybercriminali hanno anche utilizzato il tema dei ritardi nelle consegne per celare l’esca dei loro attacchi. Questo perché, specie durante il picco pandemico, la catena di trasmissione della fornitura si era inceppata proprio a livello delle consegne a domicilio. Non a caso nel 2020, proprio i corrieri, i fornitori di servizi di consegna a domicilio, sono entrati a far parte della top 10 delle organizzazioni più soggette allo spoofing.
Attacchi brute-force verso i dipendenti che lavorano in Smart Working
Con la creazione improvvisa e a volte improvvisata di milioni di uffici in abitazioni di tutto il mondo, le misure di cybersecurity sono passate in secondo piano per molte aziende. I cybercriminali, consci di ciò, hanno messo nel mirino i dipendenti che accedono ad account di lavoro attraverso dispositivi personali in reti domestiche non protette. Nello specifico, gli attacchi brute-force (in cui l’aggressore prova nomi utente e password in maniera randomica per ottenere l’accesso a un account) su connessioni Remote Desktop Protocol (RDP) sono aumentati in modo esponenziale, con un incremento del 197% dall’anno precedente, arrivando a 277,4 milioni totali a marzo. RDP è il protocollo di Microsoft che permette agli utenti di accedere a postazioni di lavoro di questo sistema operativo da remoto. RDP è proprio uno dei protocolli di maggiore successo per l’accesso da remoto usato dalle aziende, diventando di conseguenza il preferito anche da parte dei criminali.
L’aumento degli attacchi sulle piattaforme
I cyberattacker si sono anche messi all’inseguimento di utenti di vari servizi di cloud, in particolare di app per il lavoro in team come Flock, GotoMeeting, HighFive, Join.me, Lifesize, Teams di Microsoft, Slack, Webex e Zoom. Kaspersky ha rilevato che a maggio del 2020, il numero medio degli attacchi giornalieri a questo tipo di servizi era cresciuto del 25% a partire da febbraio. E la tendenza non ha subito rallentamenti. La maggior parte di questi attacchi prevedono la diffusione di file dannosi rinominati in modo da ingannare i destinatari, convinti di stare scaricando o aprendo una di queste famose app. A gennaio sono stati rilevati ben 1,15 milioni di file di questo tipo, il numero più alto dall’inizio del lockdown. Spesso vengono creati dei veri e propri insiemi di file che imitano con fedeltà i file d’installazione dei programmi legittimi, per poi essere diffusi attraverso email di phishing, conditi con presunte offerte speciali dalle piattaforme, o attraverso pagine web.
Cosa dobbiamo aspettarci dal futuro dei cyberattacchi?
Con la pandemia diretta verso la nuova fase delle vaccinazioni, sorgono nuovi argomenti che possono essere sfruttati da truffatori ed esperti di phishing per nuove macchinazioni criminali. Ad esempio, la creazione di passaporti a certificare lo stato di buona salute per poter viaggiare, o messaggi a tema vaccino.
Molto probabilmente questi nuovi canali verranno sfruttati: è importante che gli utenti guardino a ogni email a tema pandemia con occhio scettico. I recenti eventi ci hanno dimostrato praticamente come i criminali siano pronti ad approfittare della crisi per il proprio tornaconto personale. L’uso dell’RDP non è destinato a svanire nel nulla, così come accadrà agli attacchi contro questo protocollo. Questo significa che le aziende devono rivalutare l’utilizzo di questo strumento in modo da garantire un accesso da remoto sicuro. Tutto questo nel bel mezzo del can can mediatico generato dall’hackeraggio di Exchange Server, altro prodotto di Microsoft, con potenziali ramificazioni politiche a livello globale, visto il numero e l’entità dei player coinvolti da questa ultima offensiva. Insomma, non una prospettiva “rosea”, ma neppure un’offensiva di fronte alla quale non abbiamo strumenti per difenderci.
La chiave è sempre la stessa: la Cyber Security di oggi e del futuro deve prevedere tre pilastri:
- Sicurezza Predittiva,
- Sicurezza Preventiva,
- Sicurezza Proattiva.
Tre pilastri fondamentali che devono appoggiarsi su competenze, tecnologie e processi.
Non abbassiamo la guardia!