Nel Q2 2020 Google e Amazon superano Apple nella classifica dei brand più imitati a scopo di phishing
Quando un giornalista chiese al criminale Willie Sutton perché avesse rapinato così tante banche, egli rispose: “Perché è nelle banche che si trovano i soldi.” La stessa logica vale per la domanda: “Perché ci sono così tanti attacchi di phishing?”. Semplicemente perché funzionano, una volta dopo l’altra.
Si stima che il phishing sia il punto di partenza di più del 90% di tutti i tentati attacchi informatici, inoltre il 2019 Data Breach Investigations report di Verizon ha mostrato che quasi un terzo (32%) delle violazioni dei dati riuscite coinvolgeva un’attività di phishing. Non solo, il phishing era presente nel 78% degli attacchi di cyber-spionaggio e nell’installazione e utilizzo di backdoor verso le reti.
Questi attacchi funzionano perché siamo umani e commettiamo errori… o perché abbiamo fretta e le nostre difese sono abbassate o, ancora, perché pensiamo di essere troppo furbi per cadere vittime di in un tentativo di phishing (un recente studio ha mostrato come spesso non riusciamo a riconoscere il rischio quando valutiamo le nostre azioni, mentre lo individuiamo più facilmente quando valutiamo i comportamenti altrui). Ma nessuno di noi è immune, soprattutto quando i criminali dietro gli attacchi impersonano brand familiari e fidati, con cui spesso interagiamo.
Il “brand phishing” vede l’aggressore imitare un sito web ufficiale di un brand noto utilizzando un dominio o un URL quasi identici all’originale e, di solito, anche una pagina web molto simile al sito reale. Il link al sito web malevolo può essere inviato via e-mail o SMS, un utente può essere reindirizzato durante la navigazione online o può essere ingannato da un’applicazione mobile fraudolenta. In molti casi, il sito web contiene un modulo progettato per rubare credenziali, informazioni personali o necessarie per i pagamenti.
Google e Amazon passano in testa, Apple perde posizioni
L’ultimo Brand Phishing Report della divisione Research di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, relativo al 2° trimestre 2020, mostra come siano stati Google e Amazon i marchi più imitati nei tentativi di phishing, mentre Apple (il brand più quotato per phishing nel 1° trimestre) è sceso dalla prima posizione fino alla 7°, durante questo secondo trimestre. Il numero totale di rilevamenti di Brand Phishing rimane stabile rispetto al Q1 del 2020.
Gli exploit di phishing via e-mail sono stati la seconda tipologia di exploit più comune dopo quelli basati sul web, rispetto al primo trimestre in cui l’e-mail era al terzo posto. La ragione di questo cambiamento potrebbe essere l’allentamento delle restrizioni globali legate al Covid-19, che ha portato molte aziende a riaprire le proprie attività e i dipendenti tornare in ufficio.
Di seguito, le statistiche dettagliate sul brand phishing per il 2° trimestre 2020, insieme ad esempi di campagne di phishing che miravano a generare profitti diretti impersonando Apple iCloud e PayPal.
I brand più sfruttati per phishing nel 2° semestre 2020
Di seguito sono riportati i primi 10 brand classificati in base alla loro comparsa complessiva negli attacchi di phishing, durante il secondo trimestre del 2020:
Settori più usati
Settore tecnologico
Settore finanziario
Social network
I brand più sfruttati a livello di phishing per vettore
Esaminando i diversi vettori utilizzati, si possono notare alcune notevoli differenze nei brand utilizzati per ogni tipologia di vettore: ad esempio, nel mobile l’attenzione si concentra sui principali marchi tecnologici e sui media.
Email (24% degli attacchi)
- Microsoft
- Outlook
- Unicredit
Web (61% degli attacchi)
- Amazon
Mobile (15% degli attacchi)
- PayPal
Pagina di login di iCloud: un esempio di furto di credenziali
A fine giugno è stato rilevato un sito web fraudolento che cercava di imitare la pagina di login dei servizi cloud di Apple, iCloud. Lo scopo di questo sito web (come mostrato nell’esempio sottostante), era quello di cercare di rubare le credenziali di login di iCloud. Il sito era elencato sotto il dominio “account-icloud[.]com”. Il dominio è diventato attivo per la prima volta alla fine di giugno 2020 e registrato sotto l’IP 37.140.192.154, basato in Russia.
Pagina di login di PayPal: un esempio di furto di credenziali
Durante il mese di maggio abbiamo scoperto un sito web fraudolento che cercava di imitare una pagina di login di PayPal. Il sito web è elencato sotto l’indirizzo paypol-login[.]com. Il dominio è stato registrato per la prima volta nel 2018 ed è stato riutilizzato un’altra volta alla fine di maggio. Il dominio è registrato sotto l’IP 52.22.86.101, basato in USA.
Per evitare di cadere vittima di truffe di phishing, raccomandiamo di rispettare le seguenti precauzioni:
- Verificare di utilizzare o di gestire ordini attraverso un sito web autentico. Un modo per farlo è quello di NON cliccare sui link promozionali contenuti nelle e-mail e, invece, servirsi di Google per ricercare il retailer desiderato e selezionare il link del sito direttamente dalla pagina dei risultati di Google.
- Fare attenzione alle offerte “speciali”. Uno sconto dell’80% su un nuovo iPhone di solito non è un’opportunità di acquisto affidabile o credibile.
- Prestare attenzione ai domini fittizi simulati, agli errori di ortografia nelle e-mail o nei siti web e ai mittenti sconosciuti.