Grazie all’analisi dei dati raccolti tra febbraio e settembre di quest'anno,
Trend Micro ha rilevato che il 91% delle minacce costanti evolute (APT) prevede azioni di spear phishing.
Lo
spear phishing, termine che in inglese richiama la pesca con la fiocina, è una nuova categoria di
phishing altamente mirato che sfrutta le informazioni disponibili su un utente-obiettivo per rendere gli attacchi maggiormente specifici e “personali”. I messaggi email di questo tipo, per esempio, possono rivolgersi alla vittima adoperandone nome, carica o posizione, anziché usare titoli generici come accade nelle campagne di phishing generalizzate.
Obiettivo dell’azione
è catturare l'attenzione di un determinato individuo, spingendolo ad aprire un allegato pericoloso o a cliccare su un link che rimanda a un sito dove sono nascosti exploit o malware in grado di compromettere la rete della vittima.
In base al report “
Spear Phishing Email: Most Favored APT Attack Bait”, il 94% degli APT sfrutta allegati email pericolosi come payload o veicolo di intrusione; il restante 6% ricorre a metodi alternativi come l'installazione del malware tramite link che a loro volta scaricano file con contenuto dannoso.
“Le minacce costanti evolute sono in continua crescita e l’utilizzo della posta elettronica quale veicolo di intrusione tornerà a essere fondamentale”, afferma
Rik Ferguson, Director of Security Research and Communication di Trend Micro. "L'esperienza ci ha dimostrato che i cybercriminali continuano ad abusare di metodi provati e fidati per sfruttare quanto è stato scoperto durante il rilevamento degli APT precedenti. Inoltre, l'abbondanza di informazioni disponibili sulle singole persone e sulle aziende rende semplice la creazione di messaggi email molto credibili. In questo contesto, una difesa personalizzata, ‘custom’, non dovrebbe essere sottovalutata".
Fra i dati in evidenza nel report:
il 70% degli allegati ai messaggi di spear phishing nel periodo di tempo esaminato è costituito dalle più comuni tipologie di file: .RTF (38%), .XLS (15%) e .ZIP (13%). I file eseguibili (.EXE) non sono altrettanto diffusi tra i cybercriminali, molto probabilmente perché gli allegati di questo tipo vengono solitamente intercettati e bloccati dalle soluzioni di sicurezza
i settori più colpiti sono gli enti pubblici e i gruppi di attivisti. Informazioni approfondite sulle organizzazioni e relativi dirigenti si trovano facilmente su Internet, spesso sui siti degli stessi enti pubblici. I gruppi di attivisti, molto presenti sui social media, forniscono molte informazioni sui propri iscritti per facilitare la comunicazione, organizzare campagne o raggiungere nuovi partecipanti. Queste abitudini mettono in evidenza il profilo degli associati trasformandoli in bersagli ben visibili
gli indirizzi email di tre vittime su quattro vengono reperiti agevolmente attraverso ricerche sul Web o utilizzando formati di indirizzo email comuni.