Phishing: l’Italia al sesto posto tra i Paesi più colpiti

L’Italia questo mese si posiziona al terzo posto tra i Paesi più colpiti da attacchi di phishing alle istituzioni finanziarie, con un 6% del totale. Infatti, nel mese di novembre, sono state registrate 9 istituzioni finanziare sottoposte ad attacco, per un totale di 508 attacchi. È quanto emerge dal Rapporto di novembre sullo stato delle frodi online nel mondo, redatto da RSA, The Security Division of EMC, che sottolinea come le frodi online siano sempre più evolute e sofisticate, con phishing e pharming tra i crimini tecnologici più utilizzati.

La percentuale di attacchi ospitati negli Stati Uniti

Spiega RSA che rispetto a settembre e ottobre è decisamente aumentata la percentuale di attacchi ospitati negli Stati Uniti, mentre sono calati gli attacchi provenienti da Cina e Hong Kong, in correlazione con la diminuzione di attacchi Rock Phish che si sono avuti in questi due paesi. Rispetto al mese di ottobre, a novembre il numero di istituzioni oggetto di attacco è leggermente aumentato e, in generale, continua il trend cui si è assistito ultimamente ovvero pochi attacchi indirizzati a organizzazioni mai attaccate prima.

Un attacco del gruppo Rock Phish

Il 18 novembre, l’Anti-Fraud Command Center di RSA ha rilevato un attacco del gruppo Rock Phish che dirigeva le vittime a una falsa pagina di YouTube. Una email invitava gli utenti a visitare una pagina web all’indirizzo www.youtube.com. Gli utenti, cliccando sul link contenuto nell’email, venivano reindirizzati a un falso sito creato per assomigliare alle pagine web vere di YouTube, ovvero similarmente a quanto accade in un attacco di phishing classico. Il dominio usato per ospitare il sito è un dominio Rock Phish. Il falso sito era stato creato per infettare il pc dell’utente con un malware. Gli utenti venivano infatti informati, una volta aperta la pagina, che il video non poteva essere scaricato e quindi li ingannava spingendoli a installare Flash player.exe. L’installazione del file era in realtà un mezzo per un codice maligno che installava a sua volta un malware sul pc delle vittime. Seguendo le istruzioni contenute nell’email e nel falso sito, il team Fraud Action di RSA ha recuperato il malware e analizzato il suo modo di operare. I risultati preliminari indicano che lo scopo e la funzionalità principale del malware è inviare come spam email di phishing associate con gli attacchi Rock Phish. “Crediamo – ha spiegato RSA - che i recenti attacchi Rock Phish che diffondono questo malware puntano a espandere o ricostruire l’infrastruttura spam del gruppo Rock Phish. Il falso sito non è un vero sito di phishing, ma piuttosto un modo per sviluppare e installare un malware in grado di supportare i truffatori nei futuri attacchi”. Il malware che viene diffuso attraverso il sito è in realtà lo spam Bot che è destinato a inviare email di phishing alle vittime di Rock Phish negli attacchi futuri.

Il trojan risulta essere una variante

I pc infettati con questo malware sono ora parte dell’infrastruttura spam usata dal gruppo Rock Phish, mentre il trojan risulta essere una variante di un trojan già conosciuto, chiamato Troj/Danmec-W. Una volta aggiornato, il trojan crea un file criptato che contiene corpi del messaggio (dell’email di phishing) così come i domini a cui le email di Rock Phishing dirigeranno per i futuri attacchi. Abbiamo rilevato diverse sequenze che il trojan usa per puntare a diversi vendor di sicurezza e aziende produttrici di anti-virus. Lo scopo di queste sequenze non è chiaro. Un possibile spiegazione è che il trojan evita di inviare email a indirizzi che contengono queste sequenze allo scopo di evitare eventuali misure di rilevamento spam. Il trojan sembrava cercare indirizzi email che sono archiviati localmente su pc infettati. Si presume che, una volta che trova gli indirizzi archiviati nell’email client, li userà come destinazione cui inviare lo spam di phishing. Non si può comunque escludere che riceve anche altri indirizzi email remotamente, attraverso i suoi canali C&C (di comando e controllo). Una volta che vengono inviate le email, il trojan non usa le risorse email locali ma un sistema email e server di sua proprietà. Il numero di banche USA colpite continua ad essere il più elevato, mentre è il decimo mese consecutivo che la Gran Bretagna è in seconda posizione, con un 12% del totale. Australia e Colombia restano in classifica per il quinto mese consecutivo. In particolare, l’Australia si è posizionata al quarto posto, scalzando la Spagna che è uscita così dai i primi 5 posti della classifica. Messico e Perù chiudono la lista come conseguenza del fatto che le istituzioni latino americane hanno subito sempre più attacchi negli ultimi 7 mesi. In contrasto con il numero di attacchi di phishing, il numero di istituzioni oggetto di attacco è leggermente aumentato a novembre, sebbene continui ad essere inferiore rispetto ai livelli che si sono visti in estate. In novembre, come anche in ottobre, l’Anti-Fraud Command Center ha continuato a rilevare pochi attacchi indirizzati a organizzazioni mai attaccate prima.

La Cina continua a occupare...

La percentuale di attacchi ospitati negli Stati Uniti a novembre è pari al 60% del totale, rispetto al 39% e 47% dei due mesi precedenti. La Cina continua a occupare il secondo posto, ma con un solo 11% del totale rispetto al 22% del mese di ottobre. Hong Kong è scesa da un 7% di settembre al 2% del totale in questo mese. I dati relativi questi a due paesi possono essere ben correlati alla diminuzione di attacchi Rock Phish. Francia, Germania, Sud Corea e Inghilterra hanno ospitato attacchi nella stessa proporzione degli ultimi 3 mesi. Spagna, Singapore e Olanda entrano questo mese in classifica. La Russia, solitamente presente, per il secondo mese consecutivo è assente dalla classifica.

(13 dicembre 2007)

© 2002-2012 Key4biz