Una significativa quota dello spam di settembre ha inoltre riguardato numerose proposte relative all'assicurazione auto, così come varie offerte commerciali inerenti a servizi poligrafici, quali, ad esempio, la realizzazione di calendari per il 2014.
Tat’jana Šerbakova
Marija Vergelis
- Le peculiarità del mese
- Ripartizione geografica delle fonti di spam
- Allegati nocivi rilevati nel traffico di posta elettronica
- Phishing
- Conclusioni
Le peculiarità del mese
Con il manifestarsi dei primi freddi autunnali ed il conseguente irrigidimento delle temperature, è stato da noi subito individuato, all'interno dei flussi di spam globali, un enorme numero di mailing di massa recanti le più disparate proposte relative alla possibilità di ottenere significativi risparmi sui consumi di energia elettrica, oppure di realizzare efficaci sistemi di isolamento termico per le abitazioni. Abbiamo rilevato simili campagne di spam sia nel segmento russo di Internet, sia in quello anglofono. Una significativa quota dello spam di settembre ha inoltre riguardato numerose proposte relative all'assicurazione auto, così come varie offerte commerciali inerenti a servizi poligrafici, quali, ad esempio, la realizzazione di calendari per il 2014. Nel mese di settembre, all'interno del traffico di posta elettronica mondiale sono stati ugualmente individuati numerosi mailing di massa dedicati alle più importanti festività stagionali, celebrate in molti paesi del globo, o perlomeno conosciute su scala mondiale - quali, ad esempio, la festa di Ognissanti. Tali campagne di spam sono state principalmente condotte in lingua inglese.
Lo spam di Halloween
Ogni anno, alla vigilia della festa di Halloween, in seno ai flussi di spam circola sempre un gran numero di messaggi e-mail dedicati a tale festività, ormai riconosciuta e celebrata su scala globale. I messaggi indesiderati in lingua inglese riconducibili a tale tipologia sono tradizionalmente volti a reclamizzare ogni genere di costumi e mascheramenti da indossare in occasione della popolare festività. Da parte loro, gli abituali mailing di massa che pubblicizzano le più svariate repliche di borse prodotte da famose marche internazionali, cercano di attirare l'attenzione dei destinatari delle e-mail - oltre che con la promessa di forti sconti - con l'utilizzo della classica immagine della zucca, il principale simbolo della celebre festività autunnale. Anche numerose piccole e medie imprese non sono certo rimaste a guardare e si sono servite del vettore spam per pubblicizzare i propri prodotti, tramite singolari offerte decorate con i motivi tipici della festività di Halloween. Come da tradizione, allo scopo di attirare al massimo l'attenzione dei destinatari dei messaggi, gli spammer hanno provveduto ad inserire il nome della popolare festa di fine ottobre già nell'oggetto delle loro e-mail, distribuite nelle caselle di posta elettronica degli utenti della Rete ubicati in ogni angolo del globo.
Nel mese di settembre abbiamo ugualmente rilevato la conduzione di alcune campagne di spam in lingua francese espressamente dedicate ad Halloween. Nella circostanza, i messaggi distribuiti dagli spammer recavano la pubblicità di costumi e vari accessori da utilizzare per celebrare al meglio la suddetta festività.
Gli spammer in favore del risparmio energetico
Con l'arrivo dell'autunno e delle prime temperature rigide aumentano, inevitabilmente, le spese da sostenere per il riscaldamento della propria abitazione e per le forniture di energia elettrica. Gli spammer, come al solito, hanno notevolmente speculato su tale "fattore" stagionale. Una delle tematiche più diffuse all'interno dei flussi di posta elettronica indesiderata di settembre 2013 è quindi risultata essere quella inerente ai metodi più disparati per garantire un adeguato isolamento termico delle abitazioni; altro tema di primaria importanza, quello collegato alla riduzione dei costi relativi alle forniture di gas, acqua ed energia elettrica.
All'interno delle campagne di spam in lingua inglese dedicate a tali tematiche hanno nettamente prevalso i messaggi e-mail pubblicizzanti l'installazione di speciali pannelli solari sugli edifici, allo scopo di garantire una fonte autonoma per la produzione di energia elettrica. Simili messaggi sono giunti nelle e-mail box degli utenti in vari formati: alcuni, meno vistosi, contenevano brevi porzioni di testo; altri, invece, sono risultati elaborati quasi alla stregua di veri e propri sgargianti banner pubblicitari.
In tutti i casi sopra descritti, tuttavia, all'interno di tali messaggi era presente un link piuttosto esteso, che avrebbe condotto il destinatario dell'e-mail verso un dominio di recente registrazione, dominio che è poi risultato variare da messaggio a messaggio. I link in questione, quindi, dopo una serie di redirect, indirizzavano l'utente verso un sito web contenente la descrizione di un programma - finanziato a livello governativo - relativo all'installazione di pannelli fotovoltaici negli USA, oppure verso un sito formato da un'unica pagina web, contenente appositi link preposti a condurre verso speciali offerte per l'installazione di pannelli solari, oppure verso siti Internet di negozi specializzati nel fornire simili equipaggiamenti.
Ci siamo spesso imbattuti anche in mailing di massa relativi a proposte riguardanti l'installazione di finestre termoisolate, in grado di garantire - come si legge in tali e-mail - un'ottima conservazione del calore negli ambienti abitativi e ridurre, di conseguenza, le spese connesse all'utilizzo di energia elettrica. Simili messaggi contenevano diversi link; cliccando su uno qualsiasi di tali collegamenti ipertestuali, dopo la consueta serie di reindirizzamenti, l'utente sarebbe infine giunto sul sito web di un negozio, sito preposto a fornire informazioni aggiuntive e da utilizzare, eventualmente, per piazzare gli ordini.
Sono state inoltre da noi individuate alcune campagne di spam promosse da società specializzate nella produzione di tubi a LED, le quali, nel reclamizzare i propri articoli, hanno attivamente sfruttato l'importante e sentito tema relativo all'abbassamento dei costi legati all'erogazione dell'energia elettrica. Spesso tali messaggi sono risultati provenire direttamente da uno dei manager dell'azienda produttrice; in calce all'e-mail pubblicitaria venivano abitualmente riportate tutte le necessarie informazioni di contatto, relative al mittente. Un breve ma efficace testo descriveva poi le caratteristiche fondamentali degli innovativi prodotti offerti. I messaggi contenevano, inoltre, il link da utilizzare per poter accedere al sito web dell'azienda produttrice.
Si è trattato, in sostanza, di messaggi e-mail del tutto simili a quelli normalmente utilizzati nell'ambito delle ordinarie pratiche di corrispondenza commerciale; l'unica sostanziale differenza è rappresentata dall'assenza, all'interno di tali messaggi, di opportuni riferimenti personali, in altre parole un effettivo e specifico destinatario. Da segnalare, infine, come l'indirizzo del mittente risulti sempre un miscuglio di lettere disordinate, e si distingua quindi, in maniera netta, dall'esatta formulazione utilizzata per segnalare, nella parte conclusiva del messaggio, gli indirizzi e-mail adibiti al contatto.
L'assicurazione auto
Nel mese oggetto del presente report, gli spammer del segmento anglofono di Internet hanno utilizzato il tema dell'assicurazione auto in qualità di subdola esca per cercare di attirare l’attenzione degli utenti, con il preciso scopo di carpire i dati personali di questi ultimi. Già i titoli dei messaggi e-mail nocivi in causa erano volti ad "abbagliare" i destinatari degli stessi, promettendo un semplice metodo per ridurre significativamente le tariffe mensili relative all'assicurazione degli autoveicoli. I link contenuti in tali messaggi erano in realtà preposti a condurre gli ignari utenti verso un sito web di recente creazione, dal quale il destinatario dell'e-mail indesiderata sarebbe stato poi rediretto verso un'altra risorsa Internet, per nulla correlata al settore assicurativo. Qui, l'utente era atteso da un allettante banner, attraverso il quale si proponeva di rispondere a tre semplici quesiti, per avere l'opportunità di poter vincere un Macbook Air, un iPhone o un iPad. Una volta fornite le risposte ed aver scelto il regalo desiderato, si invitava il destinatario del messaggio a fornire i propri dati personali, incluso nome, cognome, indirizzo, codice postale, telefono e indirizzo di posta elettronica. In tal modo, dopo aver attirato l'attenzione attraverso la pubblicità di un determinato prodotto, i malintenzionati deviavano l'utente verso un sito web dal contenuto completamente diverso da quello illustrato inizialmente, dove si sarebbe in realtà cercato di ottenere i dati personali del destinatario dell'e-mail, con il pretesto di fornire a quest'ultimo la possibilità di ricevere un prezioso ed inatteso "regalo".
Ripartizione geografica delle fonti di spam
Nel mese di settembre 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un decremento dell' 1,4%, attestandosi in tal modo su un valore medio pari al 66,2%. Le prime tre posizioni della speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - sono rimaste invariate rispetto all’analogo rating del mese precedente. La leadership della classifica analizzata nel presente capitolo del nostro report mensile dedicato al fenomeno spam è andata nuovamente ad appannaggio della Cina (22%). Rispetto all'analogo indice rilevato nello scorso mese di agosto, la quota relativa al “colosso” dell’Estremo Oriente ha fatto registrare un aumento pari all' 1%. L’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America ha presentato invece un decremento di un punto percentuale rispetto al mese precedente; gli USA hanno tuttavia mantenuto la seconda posizione nell’ambito della graduatoria qui sotto riportata, facendo complessivamente segnare una quota percentuale media pari al 18%. La terza piazza del rating di settembre 2013 risulta occupata - così come nel mese scorso - dalla Corea del Sud (14%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese asiatico ha fatto ad ogni caso registrare una lieve flessione (- 1,4%) rispetto al medesimo indice rilevato nel mese di agosto 2013. In totale, nel mese oggetto del presente report, circa il 54% del volume globale dei messaggi di posta elettronica “spazzatura” diffusi su scala mondiale è stato inoltrato verso le e-mail box degli utenti dal territorio dei tre suddetti paesi (- 1% rispetto all’analogo indice complessivo riscontrato nello scorso mese di agosto).
Geografia delle fonti di spam rilevate nel mese di settembre 2013 - Graduatoria su scala mondiale
Così come un mese fa, la quarta posizione della speciale graduatoria da noi stilata è andata ad appannaggio di Taiwan (6%); la quota percentuale riconducibile al paese dell'Estremo Oriente insulare risulta leggermente aumentata (+ 0,8%) rispetto all'analogo rating di agosto 2013.
L'indice relativo allo spam proveniente dal territorio dell'India ha fatto registrare un incremento di quasi due punti percentuali rispetto al mese precedente, attestandosi in tal modo su un valore medio pari al 5%; il "gigante" del sub-continente indiano ha così "guadagnato" ben tre posizioni in classifica, passando dall'ottava alla quinta posizione della graduatoria qui esaminata.
Così come avevamo previsto un mese fa, all'interno del nostro consueto report mensile sullo spam, in settembre il Giappone è effettivamente entrato a far parte della TOP-10 del rating. Il Paese del Sol Levante è andato ad occupare la nona piazza della nostra speciale graduatoria, facendo segnare un indice complessivo pari al 2,4%. In ultima posizione, all'interno della TOP-10 di settembre 2013, troviamo infine il Canada, con una quota pari al 2%; il paese nordamericano, rispetto all'analogo rating del mese precedente, è pertanto salito di due posizioni in classifica.
Sottolineiamo, infine, come nel mese oggetto del presente report si sia registrata una sensibile diminuzione della quota di spam ascrivibile alla Bielorussia (0,8%); ricordiamo che, nel mese precedente, tale paese faceva parte della TOP-10 in questione (settima posizione). Le analisi da noi condotte sui flussi di spam globali hanno evidenziato come, in settembre, la Bielorussia abbia "perso" ben sei posizioni all'interno della classifica dedicata alle fonti dello spam mondiale. Una significativa flessione della quota di spam si è manifestata anche riguardo alla Germania (0,7%).
Complessivamente, gli indici relativi ai rimanenti paesi presenti in graduatoria non hanno subito significative variazioni percentuali.
Geografia delle fonti di spam rilevate nel mese di settembre 2013 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei
La prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata ancora una volta ad appannaggio della Corea del Sud; la quota attribuibile al paese dell’Estremo Oriente ha fatto tuttavia segnare una significativa diminuzione (- 6%) rispetto allo scorso mese di agosto e si è quindi attestata su un valore complessivo pari al 54%. Alla seconda piazza del rating si è poi collocata Taiwan (5,6%). Il terzo gradino del rating "europeo" di settembre 2013 risulta occupato dall'India (4,8%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese asiatico - e diretti verso gli utenti della Rete europei - ha fatto registrare un sensibile incremento (+ 2,7%) rispetto all’analogo indice riscontrato nello scorso mese di agosto. L'India ha in tal modo "guadagnato" tre posizioni in classifica; ricordiamo a tal proposito che, un mese fa, il paese in questione si trovava "soltanto" al sesto posto dell'analoga graduatoria.
Per contro, la situazione degli Stati Uniti nell'ambito della classifica relativa alle fonti geografiche dello spam “europeo”, risulta esattamente speculare rispetto a quella dell'India. Con un indice pari al 3,6% - peraltro diminuito solo dello 0,3% rispetto al mese precedente - gli USA si sono difatti collocati al sesto posto della graduatoria di settembre, mentre nel rating di agosto 2013 il paese nordamericano era andato ad occupare il terzo gradino del "podio" virtuale.
Hanno invece conservato le rispettive posizioni in classifica (4° e 5° posto) sia la Russia (4,3%) che il Vietnam (4,1%). Rileviamo tuttavia come, in settembre, le quote percentuali attribuibili a tali paesi abbiano fatto segnare un significativo aumento, pari, all'incirca, all' 1,5%.
E' entrata a far parte della TOP-10 di settembre 2013 anche la Malaysia; con una quota dell' 1,2%, il paese del Sud-est asiatico si è insediato alla nona piazza della graduatoria da noi stilata. Desideriamo inoltre porre in evidenza come siano sensibilmente cresciuti gli indici relativi a due ulteriori paesi della macro-regione asiatica; si tratta, nella fattispecie, del Giappone (1,2%) e di Hong Kong (1%), le cui quote percentuali hanno fatto rispettivamente registrare un aumento pari allo 0,6% e allo 0,9%.
Per contro, nel mese di settembre 2013, l'indice ascrivibile alla Germania - quale fonte dello spam "europeo" - è risultato in marcata flessione rispetto al mese precedente (- 0,8%). Rileviamo come la Germania non faccia più parte della TOP-10 sopra riportata; con un indice pari allo 0,7%, il paese in questione è andato difatti ad insediarsi al sedicesimo posto del rating da noi stilato.
Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di settembre 2013
La graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 59%; nel mese di settembre 2013, l’indice attribuibile al continente asiatico è aumentato di ben quattro punti percentuali rispetto all’analogo valore riscontrato nel mese precedente. Il secondo gradino del “podio” risulta occupato dall'America Settentrionale (20%), la cui quota, in settembre, ha fatto registrare un incremento pari al 2%. Così come in precedenza, al terzo posto della speciale graduatoria si è insediata l'Europa Orientale (12%); la quota ad essa attribuibile ha tuttavia presentato una flessione di due punti percentuali rispetto all'analoga classifica di di agosto 2013. La quarta e la quinta posizione del rating "regionale" delle fonti di spam sono andate rispettivamente ad appannaggio di Europa Occidentale (4%) ed America Latina (2,4%).
Allegati nocivi rilevati nel traffico di posta elettronica
La TOP-10 del mese di settembre 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali ha subito importanti variazioni rispetto al mese precedente: osserviamo, in primo luogo, come il rating qui analizzato presenti ben 5 "new entry".
TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica nel mese di settembre 2013
Rispetto al mese precedente, nell'ambito della TOP-10 di settembre 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali, è rimasta invariata esclusivamente la posizione occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen, software nocivo che, già da alcuni mesi, capeggia incontrastato la graduatoria sopra riportata. Ricordiamo, nella circostanza, che Fraud.gen è riconducibile a quella particolare famiglia di programmi Trojan che si avvale della tecnologia spoofing: software del genere vengono elaborati dai loro autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; essi vengono appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. I malware in questione vengono abitualmente distribuiti dai malfattori della Rete tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da istituti bancari, negozi online, software house di primaria importanza, etc.
In settembre, al 2°, 3°, 6° e 9° posto della nostra speciale graduatoria si sono insediate quattro "new entry", interamente costituite da rappresentanti della famiglia di malware denominata Bublik. Le principali funzionalità di cui sono provvisti tali programmi dannosi consistono nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi nocivi, a totale insaputa dell'utente. Una volta portato a termine il proprio compito, i programmi malware in questione non rimangono allo stato attivo, anche se provvedono a realizzare una copia di se stessi all'interno della cartella <%temp%>. Bublik è solito camuffarsi sotto forma di applicazione o documento Adobe.
Il quarto posto del rating di settembre 2013 è andato ad appannaggio del software nocivo classificato come Email-Worm.Win32.Bagle.gt. Si tratta di un virus worm in forma di file eseguibile, abitualmente diffuso come allegato ai messaggi di posta elettronica. Esso è in grado di raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma nocivo risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file nocivi sui computer sottoposti ad attacco, all'insaputa degli utenti-vittima. Per realizzare l'invio dei messaggi infetti, Email-Worm.Win32.Bagle.gt utilizza la propria libreria SMTP.
La quinta posizione della speciale classifica risulta poi occupata dal malware denominato Trojan-PSW.Win32.Fareit.xvf. E' questa l'ulteriore "new entry" di settembre: si tratta di un programma Trojan abitualmente utilizzato dai malintenzionati per effettuare il furto dei dati sensibili (login e password) relativi agli account degli utenti. Esso provvede a scaricare autonomamente i propri aggiornamenti, senza per questo "attecchire" nel sistema informatico sottoposto ad attacco; si maschera, in genere, sotto forma di documenti o applicazioni Adobe.
Il settimo posto del rating di settembre 2013 relativo ai malware più frequentemente rilevati all'interno dei flussi di posta elettronica globali, è andato ad appannaggio del software dannoso classificato come Trojan.Win32.Llac.dleq. La principale funzionalità posseduta da tale programma malware è rappresentata dal monitoraggio delle attività condotte dall'utente sul proprio computer. Esso raccoglie informazioni relative al software installato nella macchina sottoposta ad attacco (essenzialmente riguardo ai programmi antivirus ed ai firewall presenti), così come numerosi dati riguardo alle caratteristiche del personal computer preso di mira (processore, sistema operativo, dischi); inoltre, il suddetto malware cattura le immagini provenienti dalla web cam, intercetta le sequenze dei tasti premuti dall'utente (keylogger) e provvede a raccogliere, infine, i dati confidenziali mediante una notevole varietà di applicazioni.
All'ottava piazza della speciale graduatoria si è insediato il software nocivo denominato Email-Worm.Win32.Mydoom.I - decisamente una "vecchia conoscenza" della TOP-10 qui esaminata. Ricordiamo, con l'occasione, che questo insidioso worm di rete - il quale possiede anche specifiche funzionalità di backdoor - viene distribuito sotto forma di allegato ai messaggi e-mail, nonché attraverso le reti di condivisione dei file e le risorse di rete disponibili per operazioni di scrittura. Il compito principale che si prefigge Mydoom.l è quello di effettuare la raccolta degli indirizzi e-mail custoditi nei computer sottoposti ad attacco, per poi realizzare il consueto processo di auto-diffusione in Rete tramite gli account carpiti. Per inviare i messaggi infetti il worm in questione stabilisce una connessione diretta con il server SMTP del destinatario dell'e-mail.
Chiude la TOP-10 di settembre 2013 un'ulteriore variante dei worm di posta elettronica riconducibili alla famiglia Mydoom: si tratta di Email-Worm.Win32.Mydoom.m. Anch'esso realizza attraverso la posta elettronica l'abituale processo di auto-riproduzione. Per ricercare gli indirizzi delle proprie "vittime", il suddetto worm scansiona l'elenco dei contatti Windows custodito nel computer sottoposto a contagio, così come la cache del browser Internet Explorer. Il worm invia inoltre apposite query di ricerca anonime a noti search engine, quali Google, Yahoo, Altavista, Lycos. Il programma malware in causa provvede poi a confrontare gli indirizzi dei siti web restituiti sulla prima pagina dei risultati forniti dai suddetti motori di ricerca - con un elenco di indirizzi precedentemente scaricato dai server nocivi allestiti dai malintenzionati. Nel caso in cui il worm Mydoom.m individui una precisa corrispondenza, il link in questione verrà immediatamente aperto sulla pagina dei risultati prodotti dal search engine, incrementando in tal modo in maniera "artificiale" il numero delle visite ricevute dal sito web in causa; il risultato della subdola operazione condotta sarà pertanto rappresentato da una sorta di innalzamento forzato del ranking di tale sito Internet nell'ambito dei risultati restituiti dal motore di ricerca. In termini di sicurezza informatica, lo spam è quindi destinato a divenire ancor più pericoloso di quanto lo sia già adesso.
Ripartizione per paesi dei rilevamenti eseguiti dal modulo antivirus e-mail
Le prime tre posizioni della classifica qui sopra riportata - riguardante i paesi nei quali, durante il mese di settembre 2013, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - sono rimaste invariate rispetto al mese precedente. La leadership è andata nuovamente ad appannaggio della Germania (12,67%); gli Stati Uniti, da parte loro, hanno fatto registrare una quota pari all' 11,33% e si sono in tal modo confermati alla seconda posizione. Sul terzo gradino del "podio" virtuale si è insediata la Gran Bretagna, il cui indice, rispetto ad agosto, è aumentato di oltre un punto percentuale: nel mese oggetto del presente report, il Regno Unito si è difatti attestato su una quota media pari al 9,86%.
Osserviamo, inoltre, come la Federazione Russa abbia mantenuto la nona posizione all'interno della speciale graduatoria, anche se in settembre l'indice relativo ai risultati ottenuti a seguito dell'attività svolta in Russia dal modulo antivirus dedicato alla posta elettronica, ha fatto registrare un decremento pari al 2,6%.
E' infine di particolare interesse rilevare come sia entrata a far parte della TOP-10 di settembre l'Arabia Saudita, con una quota del 2,41%.
Peculiarità e tratti caratteristici dello spam nocivo di settembre
In genere, i vari fornitori di servizi di telefonia - così come gli Internet provider - finiscono raramente nel mirino dei malintenzionati della Rete; nel mese di settembre 2013, tuttavia, abbiamo rilevato la conduzione di alcune campagne di spam nocivo, utilizzate per raggirare gli utenti, nelle quali sono stati indebitamente sfruttati i nominativi di note società estere operanti negli specifici settori sopra menzionati.
Gli spammer hanno ad esempio utilizzato il nominativo di BT Group, la maggiore società britannica operante nel settore delle telecomunicazioni, per distribuire nelle e-mail box degli utenti un insidioso malware - Trojan-Downloader.Win32.Dofoil - preposto al download e all'avvio di pericolosi software nocivi sui computer-vittima. Attraverso le e-mail distribuite nell’ambito di tale campagna di spam nocivo, si notificava all’utente che quest'ultimo aveva di recente provveduto a cambiare il proprio indirizzo di posta elettronica all'interno del proprio profilo; il nuovo account e-mail sarebbe stato pertanto utilizzato, da quel preciso momento, per fornire informazioni riguardo ad ogni eventuale modifica od aggiornamento riguardante il servizio. Per ottenere informazioni ancor più dettagliate, il destinatario del messaggio nocivo avrebbe dovuto consultare il file allegato al messaggio, il quale, in realtà, celava il suddetto trojan. Nel tentativo di convincere l'utente riguardo al fatto che si trattava di un’e-mail del tutto “legittima”, i malintenzionati avevano opportunamente provveduto ad inserire nel campo <From> del messaggio un indirizzo di posta elettronica apparentemente più che plausibile; allo stesso tempo, i cybercriminali avevano posizionato in calce all'e-mail un link preposto a condurre verso il sito web ufficiale della società britannica sopra menzionata. Ad ogni caso, se si esamina con attenzione il testo presente nell'e-mail di spam nocivo, si noterà immediatamente l'assenza di qualsiasi forma di personalizzazione del messaggio. Al contempo, la presenza in allegato del file eseguibile <BT.Email Address Details.pdf.exe> avrebbe dovuto chiaramente subito allertare i potenziali utenti-vittima, inducendoli ad adottare un atteggiamento di particolare cautela e prudenza.
Ormai, nel mondo dello spam nocivo, i messaggi e-mail fasulli mascherati sotto forma di notifiche ufficiali provenienti (in apparenza!) da noti istituti bancari, non costituiscono di certo una rarità; nel mese oggetto del presente report, ad esempio, all'interno del traffico di posta elettronica abbiamo individuato la presenza di un mailing di massa nocivo apparentemente proveniente da Webster Bank, nota banca commerciale statunitense. Nella circostanza, attraverso tali messaggi, si comunicava ai destinatari delle e-mail dannose che il suddetto istituto bancario, per ragioni di sicurezza, aveva attivato un attento monitoraggio di tutte le transazioni finanziarie eseguite, così come della clientela stessa, allo scopo di identificare eventuali attività sospette nel quadro del servizio di banking online offerto. In realtà, il "report" allegato a tali e-mail contraffatte celava la presenza del programma nocivo Trojan-Downloader.Win32.Angent. Per conferire ai messaggi di spam in questione un aspetto di apparente legittimità, i malintenzionati avevano provveduto ad inserire, in qualità di mittente, un indirizzo di posta del tutto simile agli indirizzi e-mail ufficiali, mentre nel corpo del messaggio era stato posizionato un link preposto a dirigere gli utenti verso una pagina web ufficiale dell'istituto bancario preso di mira; una firma automatica completava, infine, le e-mail nocive sopra descritte.
Phishing
I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito significative variazioni rispetto all’analogo rating del mese precedente. Così come nello scorso mese di agosto, al primo posto della speciale graduatoria da noi stilata troviamo la categoria «Social network», con una quota pari al 28,1%.
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di settembre 2013 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing
La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.
Così come in precedenza, la seconda posizione della graduatoria è andata ad appannaggio dei servizi di posta elettronica (18,1%); rispetto all'analogo rating stilato nel mese scorso, la quota relativa alla categoria "Posta elettronica, programmi di instant messaging" ha fatto registrare un lieve incremento, pari a 0,8 punti percentuali. E' leggermente diminuito (- 0,1%), rispetto ad agosto 2013, anche il valore dell'indice riguardante i motori di ricerca (16%); ad ogni caso, la categoria che raccoglie i search engine si è nuovamente attestata sul terzo gradino del "podio" virtuale.
Per contro, la quota relativa alla categoria "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (14,9%) ha evidenziato un aumento di un punto percentuale rispetto al mese precedente; tale categoria ha comunque conservato la quarta piazza della graduatoria sopra riportata.
L'indice relativo alla categoria che raccoglie i vendor IT ha presentato una diminuzione pari allo 0,5%; tale categoria ha così ceduto la quinta posizione della classifica - occupata nel mese precedente - al raggruppamento che riunisce i fornitori di servizi di telefonia e gli Internet provider, la cui quota, al contrario, ha evidenziato un aumento pari allo 0,6%.
Nel mese di settembre dell'anno in corso, i phisher hanno di nuovo "dedicato" le loro losche attenzioni ad importanti istituti bancari di Australia e Nuova Zelanda. Ricordiamo, a tal proposito, come nel mese di luglio 2013 avessimo già rilevato, all'interno dei flussi globali di spam, la conduzione di un mailing di massa recante messaggi e-mail contraffatti mascherati sotto forma di notifiche provenienti, in apparenza, dal noto istituto bancario "Australia and New Zealand Banking Group". Questa volta, i phisher hanno cercato di raggirare i clienti della banca Westpack, uno degli istituti di credito più importanti dell'Australia.
Nella circostanza, i malintenzionati di turno non hanno comunque escogitato nessun nuovo trucco o sotterfugio, facendo pertanto ricorso ad uno dei metodi di raggiro abitualmente messi in pratica. Nei messaggi e-mail in causa si comunicava al destinatario che, nel quadro delle ordinarie verifiche condotte riguardo alla sicurezza del servizio di banking online offerto dalla banca in questione, erano stati rilevati tre diversi tentativi di violazione dell'account dell'utente e, di conseguenza, l'accesso a tale account era stato bloccato. Per riattivare il proprio profilo e ripristinare quindi l'accesso all'account, l'utente avrebbe dovuto semplicemente aprire il file allegato al messaggio ricevuto, e poi riempire l'apposito form. L'archivio <Westpac_form-413-217-9908.zip> conteneva, in effetti, una pagina HTML recante il suddetto modulo, che il destinatario del messaggio - secondo le intenzioni dei phisher - avrebbe dovuto completare con l'inserimento di varie informazioni di natura personale. Ovviamente, tutti i dati introdotti dall'utente in tale form fasullo sarebbero stati poi carpiti dai malintenzionati.
Rileviamo ad ogni caso che, nonostante i phisher abbiano utilizzato - nell'allestimento della pagina web contraffatta - i colori ed il logo presenti sul sito ufficiale della banca australiana, l'elaborazione di tale pagina di phishing risulta comunque incompleta; ad esempio, i pulsanti di navigazione situati nella parte superiore di quest'ultima si sono rivelati parzialmente inattivi, in quanto cliccando su di essi si sarebbe ogni volta aperta, in una nuova finestra del browser, la stessa identica pagina web del sito ufficiale della banca Westpack. Al fine di ingannare in maniera ancor più sofisticata il destinatario dell'e-mail nociva, i phisher si sono ugualmente "preoccupati" di inserire nel corpo del messaggio informazioni dettagliate riguardo all'account del cliente dell'istituto bancario, quali, ad esempio, gli “esatti” indirizzi IP attraverso i quali si sarebbero prodotti i tre tentativi di login incorretti.
Conclusioni
Nel mese di settembre 2013 si è registrata un'ulteriore diminuzione della quota percentuale inerente ai messaggi e-mail indesiderati rilevati nel traffico globale di posta elettronica; l'indice in questione si è in effetti attestato su un valore medio pari al 66%, ovvero -1,6% rispetto all'analoga quota riscontrata nel precedente mese di agosto. Come sempre avviene, anche nel corso del mese oggetto del presente report, non sono affatto passate inosservate, agli occhi degli spammer, le peculiarità tipiche della stagione, di fatto in grado di influenzare le attività e le decisioni dei potenziali consumatori dei prodotti e dei servizi reclamizzati mediante le campagne di spam intraprese. Così, lungo tutto l'arco del mese di settembre, si sono letteralmente moltiplicate le proposte commerciali relative alla possibilità di ottenere significativi risparmi sui consumi di energia elettrica, oppure di realizzare efficaci sistemi di isolamento termico per gli edifici. All'interno dei flussi di spam sono stati ugualmente individuati numerosi mailing di massa dedicati alle più importanti festività stagionali, celebrate in molti paesi del globo, o perlomeno conosciute su scala mondiale - quali, ad esempio, la festa di Ognissanti ed il Capodanno. E' lecito a questo punto attendersi, già nel corso del prossimo mese di ottobre, un consistente aumento del numero delle campagne di spam consacrate alle classiche tematiche delle festività natalizie e del Nuovo Anno.
Così come avevamo previsto, anche nel mese qui analizzato si è pienamente confermata la tendenza relativa alla diminuzione delle quote riconducibili agli attacchi di phishing condotti nei confronti dei social network, mentre si è registrato un aumento degli indici percentuali correlati agli assalti portati dai phisher a danno di organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari. Tali variazioni non si sono ad ogni caso rivelate particolarmente significative; la speciale classifica relativa alle organizzazioni (suddivise per categorie) rimaste vittima con maggior frequenza degli attacchi di phishing non ha pertanto subito sostanziali variazioni rispetto all’analogo rating del mese precedente. Con ogni probabilità, anche nel mese di ottobre 2013 assisteremo ad una progressiva diminuzione delle quote relative agli attacchi condotti dai phisher nei confronti dei social network, mentre sembra destinato ad aumentare il numero delle campagne di phishing aventi come bersaglio le organizzazioni di natura finanziaria. Abbiamo infine osservato, nel corso del mese oggetto del presente report dedicato al fenomeno spam, come i malintenzionati cerchino di variare sempre di più i vettori tradizionalmente utilizzati per portare i loro attacchi; al momento attuale, i malfattori stanno in effetti "utilizzando", per i loro loschi fini, alcune note compagnie operanti nel settore delle telecomunicazioni, pur continuando ugualmente a sfruttare l'elevato grado di popolarità raggiunto da istituti bancari e società di logistica internazionale di primaria importanza.
