Nel corso degli anni, gli scammer hanno utilizzato vari trucchi per aggirare le tecnologie anti-phishing. Un’altra tecnica di successo per inviare link di phishing ai destinatari obiettivo è quello di sfruttare i servizi di e-mail marketing, noti anche come e-mail Service Provider (ESP), aziende specializzate nella consegna di newsletter via e-mail. Secondo le statistiche che abbiamo ottenuto dalle nostre soluzioni, si tratta di una tecnica che sta guadagnando terreno.
Perché il phishing via ESP funziona?
Le aziende che fanno sul serio con le minacce via posta elettronica prima di permettere che le e-mail raggiungano le caselle degli utenti, analizzano accuratamente tutti i messaggi con antivirus, tecnologie anti-phishing e motori anti-spam. Queste tecnologie non si limitano ad esaminare il contenuto dei messaggi, gli header e i link, ma controllano anche la reputazione del mittente e di eventuali siti web collegati. Il livello di rischio decretato si basa su una combinazione di questi fattori. Ad esempio, se un mailing di massa proviene da un mittente sconosciuto, allora sembra sospetto ed è un campanello di allarme per gli algoritmi di sicurezza.
I criminali informatici, tuttavia, hanno trovato un modo per aggirare il problema: inviare e-mail a nome di un servizio fidato. I servizi di e-mail marketing, che forniscono una gestione end-to-end delle newsletter, ricoprono perfettamente questo ruolo: sono noti, molti vendor di soluzioni di sicurezza lasciano passare di default i loro indirizzi IP e alcuni saltano persino i controlli sulle e-mail.
Come vengono sfruttati gli ESP?
Il principale vettore di attacco è ovvio: phishing camuffato da mailing legittimo. In sostanza, i cybercriminali diventano clienti del servizio vittima, di solito acquistando l’abbonamento dal costo più basso (qualsiasi alternativa non avrebbe molto senso, soprattutto perché i cybercriminali si aspettano di essere identificati e bloccati rapidamente).
Ma esiste un’opzione più atipica: l’utilizzo degli ESP come host URL. Con questa tecnica, la newsletter viene inviata attraverso l’infrastruttura dei cybercriminali. Questi ultimi possono, ad esempio, creare una campagna di prova che contiene un URL di phishing e inviarla a loro stessi come anteprima. L’ESP crea un proxy per quell’URL e poi i criminali informatici prendono semplicemente l’URL proxy per la loro newsletter di phishing. Un’altra opzione per i truffatori è quella di creare un sito di phishing che sembra essere un template di mailing e fornire un link diretto ad esso; tuttavia, si tratta di una tecnica meno frequente.
In ogni caso, il nuovo URL proxy ha ora una reputazione positiva, quindi non sarà bloccato. L’ESP, che non gestisce il mailing, non nota nulla di scorretto e non blocca il suo “cliente”, almeno non fino a quando non inizia a ricevere lamentele. A volte questa tecnica ha anche un ruolo nelle campagne di spear phishing.
Cosa ne pensano gli ESP?
Non sorprende che gli ESP non facciano i salti di gioia, essendo strumenti nelle mani dei criminali informatici. La maggior parte di luesti servizi dispone di tecnologie di sicurezza che analizzano il contenuto dei messaggi e i link che passano attraverso i loro server, e quasi tutti forniscono una guida sui propri siti per chiunque riscontri casi di phishing.
Pertanto, i cybercriminali cercano di mantenere calmi anche gli ESP. Ad esempio, l’utilizzo di un provider per i proxy tende a ritardare i link di phishing, per cui al momento della creazione, i link nei messaggi di prova appaiono legittimi, solo in seguito diventano dannosi.
Cosa fare
In molti casi, gli invii in massa vengono inviati ai dipendenti dell’azienda i cui indirizzi sono pubblici, e anche i più attenti possono non notare le occasionali e-mail sospette o dannose e cliccare dove non ro.Per proteggere i dipendenti da potenziali attacchi di phishing provenienti da un servizio di e-mail marketing, consigliamo quanto segue:
- Istruite il personale affinché non apra mai le e-mail contrassegnate come “mailing di massa”, a meno che non si sia iscritti alla mailing list in questione. È improbabile che tali messaggi abbiano un’importanza urgente, nella migliore delle ipotesi si tratta di pubblicità invadente;
- Utilizzate soluzioni di sicurezza robuste che scansionino a fondo tutte le e-mail in entrata utilizzando algoritmi euristici.
Tra le nostre soluzioni vi sono Kaspersky Security for Microsoft Office 365 e Kaspersky Security for Mail Server, che fa parte di Kaspersky Total Security for Business. Proteggono in modo affidabile gli utenti da questo tipo di minacce.