Truffe informatiche: cresce l’effetto Rock Phish. Sempre più alto il numero di istituzioni finanziarie colpite dal phishing

Il mese di dicembre 2007 ha registrato un notevole aumento di attacchi di phishing dovuto soprattutto alla crescita dell’attività del gruppo Rock Phish. Lo rivela l’Anti-Fraud Command Center (AFCC) di RSA, una struttura attiva 24 ore su 24, 7 giorni su 7 per individuare, monitorare e rendere inoffensivi attacchi phishing, pharming e Trojan tentati ai danni di oltre 250 istituzioni di tutto il mondo.

Le istituzioni finanziarie

RSA ha recentemente rilevato anche altri interessanti sviluppi negli attacchi di phishing contro le istituzioni finanziarie di tutto il mondo, come ad esempio molti attacchi proxy-based realizzati con tutta probabilità da diversi gruppi che usano una nuova infrastruttura di phishing sullo stile Rock Phish. Infatti, questi attacchi mostrano alcune somiglianze con gli attacchi Rock Phish ma sono ospitati su reti completamente diverse e non pare che siano firmati da loro. La grandezza e l’impatto di questi attacchi sono inferiori a quelli del gruppo Rock Phish, ma fungono da esempio per alcune tecniche di phishing avanzate e mostrano che altri gruppo stanno cominciando ad adottare alcune delle metodologie Rock Phish.

Il contenuto phishing direttamente dalla “nave madre

Le vittime degli attacchi comunicano con questi server proxy, che sviluppano il contenuto phishing direttamente dalla “nave madre”. Non c’è comunicazione diretta tra le vittime e il sito in uso di phishing perché questi attacchi non si basano su una rete conosciuta a flusso veloce. Sembra che questi gruppi non facciano uso di molte botnet dei proxy e, al momento, non abbiamo rilevato altri dati che associano gli attacchi con reti conosciute a flusso veloce. Questi nuovi attacchi dimostrano che sempre più truffatori stanno cominciando ad adottare tecniche che ad oggi erano associate con il gruppo Rock Phish e con alcuni attacchi di phishing a rapido flusso. Come negli attacchi Rock Phish, la struttura di questi attacchi rende difficile il loro blocco a livello ISP dal momento che gli indirizzi IP cambiano e l’hosting server non può essere identificato. L’RSA Anti-Fraud Command Center solitamente preferisce chiudere domini inclusi in attacchi a livello di registro, che è il corso comune di azione anche per gli attacchi Rock Phish. La cancellazione dei domini permette di bloccare gli attacchi senza doversi preoccupare dei server su cui sono fisicamente ospitati.

Un intenso lavoro forense

Parte del lavoro di RSA è cercare di trovare attacchi alla “nave madre” attraverso un intenso lavoro forense. Recentemente, il team di ricerca forense è stato in grado di tracciare una “nave madre” usata da uno dei nuovi gruppi di phishing. I contenuti di phishing contro diverse istituzioni era ospitato su questo server ed è stato inviato alle vittime attraverso i server proxy. Informazioni riguardanti questo server sono state condivise con l’autorità giudiziaria. I paesi più colpiti da attacchi di phishing alle istituzioni finanziarie sono: Stati Uniti, Inghilterra, Spagna, Italia, Australia, Canada, Germania, Sud Africa, Colombia e Giappone, con una distribuzione delle istituzioni attaccate per paese rimane relativamente invariata da giugno 2007. Come al solito, il numero di banche USA colpite continua ad essere il più elevato, ed è l’undicesimo mese consecutivo che la Gran Bretagna è in seconda posizione, con un 11% del totale. Australia e Colombia restano nella stessa posizione per il sesto mese consecutivo. La Spagna è balzata di nuovo in terza posizione, mentre Peru e Messico sono uscite dalla classifica lasciando il posto al Giappone.

Il dato sia ancora molto basso rispetto

Il numero di istituzioni oggetto di attacco è notevolmente aumentato a dicembre, sebbene il dato sia ancora molto basso rispetto a quello di dicembre 2006. In questo mese l’Anti- Fraud Command Center di RSA ha rilevato attacchi contro 20 istituzioni finanziarie mai prese di mira prima. La percentuale di attacchi ospitati negli Stati Uniti a dicembre è scesa al 44% del totale (un tasso molto simile a quelli di settembre e ottobre). Come in tanti altri mesi del 2007, anche a dicembre Hong Kong e Cina occupano la seconda e terza posizione. Hong Kong e Cina si distinguono particolarmente nella classifica quando aumentano attacchi Rock Phish. Le Filippine sono una new entry di questo mese, dal momento che hanno ospitato un numero elevato di domini Rock Phish e similari. Inghilterra, Francia, Germania e Sud Corea sono ancora presenti nella lista con una percentuale che si mantiene costante anche in questo mese. AFCC ha sventato a oggi oltre 60.000 attacchi di phishing ed è una fonte di informazioni preziosa su questo fenomeno e sulle altre emergenti minacce alla sicurezza.

(11 gennaio 2008)

© 2002-2012 Key4biz