La pandemia ha completamente ridisegnato il panorama delle minacce via e-mail. Il cambio di massa allo smart working e l’inevitabile passaggio della maggior parte delle comunicazioni al formato online hanno portato a un aumento degli attacchi di phishing e BEC (business e-mail compromise). L’aumento del flusso di e-mail aziendali ha reso molto più facile per i criminali informatici camuffare le proprie e-mail spacciandole per legittime. Per questo motivo, imitare le e-mail aziendali è diventato un importante vettore di attacco. Sono molto popolari anche i trucchi di social-engineering come, ad esempio, una notifica che invita la vittima a rispondere a un’e-mail il prima possibile. Di seguito, elenchiamo le principali tendenze che abbiamo osservato nel 2022:
- Aumento delle e-mail di spam con contenuti dannosi capaci di infettare il computer della vittima.
- Uso attivo di tecniche di social engineering nelle e-mail dannose e di spear phishing (aggiunta di firme per imitare specifici dipartimenti; utilizzo di un linguaggio commerciale e di un contesto appropriato per l’azienda scelta come bersaglio; sfruttamento di eventi attuali; riferimento a dipendenti reali dell’azienda)
- Spoofing diffuso, ovvero l’uso di indirizzi e-mail con nomi di dominio simili a quelli reali delle aziende target (che differiscono solo per qualche carattere).
Di conseguenza, i creatori di messaggi di spam dannosi sono riusciti a mascherarli da messaggi interni e e-mail commerciali tra aziende, e persino da notifiche di enti governativi. Ecco gli esempi più significativi in cui ci siamo imbattuti quest’anno.
E-mail con malware
La tendenza principale dell’anno che sta per concludersi è stata quella dei messaggi e-mail dannosi camuffati da messaggi di lavoro. Per indurre il destinatario ad aprire un allegato o a scaricare un file collegato, i cybercriminali cercano in genere di convincerlo che l’e-mail contenga informazioni rilevanti per l’azienda, come un’offerta commerciale o una fattura per la consegna di merci. Il malware viene spesso inserito in un file crittografato, la cui password viene fornita nel corpo del messaggio.
Ad esempio, durante tutto l’anno abbiamo riscontrato il seguente schema: gli hacker hanno avuto accesso alle comunicazioni commerciali autentiche (molto probabilmente rubandole da computer infettati in precedenza) e hanno inviato nuove e-mail a tutti i partecipanti con file o link dannosi. In altre parole, sono stati in grado di trasformare la conversazione in un modo credibile. Questo stratagemma rende le e-mail dannose più difficili da individuare e aumenta la probabilità che la vittima cada nel tranello.
Nella maggior parte dei casi, quando viene aperto un documento dannoso, viene caricato il Trojan Qbot o Emotet. Entrambi possono rubare i dati degli utenti, raccogliere informazioni sulla rete aziendale e distribuire altri malware come i ransomware. Inoltre, Qbot può essere utilizzato per accedere alla posta elettronica e rubare i messaggi. In altre parole, serve come fonte per diffondere ulteriori attacchi.
Con l’avvicinarsi della fine dell’anno, il fenomeno delle e-mail dannose sta diventando sempre più ingegnoso. Ad esempio, all’inizio di dicembre, alcuni truffatori che si spacciavano per associazione di beneficenza hanno chiesto alle vittime di regalare i loro vecchi dispositivi. Naturalmente, per partecipare a questa nobile iniziativa, dovevano scaricare un file che in teoria conteneva l’elenco dei dispositivi accettati. In realtà, l’allegato era un file eseguibile dannoso nascosto in un archivio protetto da password.
In un’altra campagna e-mail, mascherata da fatture, gli hacker hanno inviato decine di migliaia di archivi contenenti una backdoor Trojan dannosa che consentiva il controllo a distanza del computer infetto. Il fatto più interessante è che l’archivio allegato aveva estensioni come .r00, .r01, ecc. È probabile che i suoi creatori abbiano voluto far passare l’allegato come parte di una grande cartella RAR nel tentativo di aggirare i sistemi di protezione automatica configurati per determinate estensioni di file.
False notifiche governative
Quest’anno sono diventate più frequenti le e-mail che imitano le notifiche ufficiali di ministeri e altri enti governativi. Questa tendenza è particolarmente evidente nel segmento di Internet in lingua russa. Le e-mail di questo tipo vengono adattate al profilo dell’organizzazione specifica. L’indirizzo del mittente di solito assomiglia al dominio reale del dipartimento o ente e l’allegato dannoso il più delle volte mostra un titolo appropriato, come “Osservazioni sui risultati della riunione”. Uno di questi allegati conteneva un codice dannoso in grado di sfruttare una vulnerabilità di Equation Editor, un componente di Microsoft Office.
Sfruttare l’attualità
Nel segmento di Internet in lingua russa, abbiamo assistito anche a un’impennata dei casi di e-mail dannose basate sull’attualità. Ad esempio, a ottobre, i cybercriminali hanno distribuito malware sotto forma di ordine o appello alla cittadinanza, sfruttando la “mobilitazione parziale” della Russia. Le e-mail citavano il codice penale russo, utilizzavano l’araldica e lo stile del Ministero della Difesa e invitavano il destinatario a scaricare l’ordine tramite il link fornito. In realtà, il link rimandava a un file con uno script eseguibile che creava un file eseguibile e lo eseguiva.
Inoltre, abbiamo registrato un e-mail che sembrava provenire dalle forze dell’ordine russe. Il messaggio invitava la vittima a scaricare una “nuova soluzione” per proteggersi dalle minacce online provenienti da organizzazioni “ostili”. In realtà, però, il programma installato sul computer era un ransomware Trojan.
Come proteggersi
Gli attacchi dei cybercriminali diventano ogni anno sempre più sofisticati e i metodi per imitare le comunicazione e le e-mail aziendale sempre più convincenti. Quindi, per mantenere la vostra infrastruttura aziendale protetta dagli attacchi via e-mail, prestate attenzione alle misure organizzative oltre che agli aspetti tecnici. In altre parole, oltre a disporre di soluzioni di sicurezza sia a livello di server di posta aziendale che su tutti i dispositivi connessi a Internet, si consiglia di organizzare regolarmente corsi di sensibilizzazione e formazione in materia di cybersecurity per i dipendenti.