Il Mail Phishing è ancora il metodo più efficace per portarci a contatto con ogni tipo di malware, perché riesce a “farci fare qualcosa” necessario per portare a termine l’infezione, ad esempio avviare l’esecuzione di un Cryptolocker.
Infatti, dati i maggiori controlli di sicurezza che negli anni sono stati attivati su PC e reti, il Cybercrime ha capito che costa molto meno ottenere il nostro “contributo” piuttosto che mettere in pratica complesse tecniche di hacking. Ecco che eludere i controlli e le barriere che gli si parano davanti risulta molto più economico.
Ingannare una persona è più semplice, in questo modo riescono a farsi aprire le strade necessarie per avviare l’infezione senza utilizzare risorse tecniche altamente specializzate.
Il Mail Phishing è nato per questo scopo e proprio perché punta ad ingannare l’utente facendo leva sui suoi difetti, paure e debolezze, ha determinato la necessità di proteggere dati e informazioni attraverso un concetto diverso, la protezione dell’utente.
Oltre al bersaglio giusto usa anche il mezzo ottimale per raggiungerlo perché la posta elettronica è totalmente radicata nelle nostre vite ed abitudini, tutti abbiamo un account e lo usiamo ogni giorno per questo motivo siamo sempre sottoposti a questo tipo di messaggi.
La diffusione dei Ransomware è il motivo principale per cui siamo ancora qui a parlare di Phishing e per quanto abbiamo visto finora sono solo 2 i modi utilizzati per associare il malware alla email:
- Tramite un allegato
- Tramite un link nel testo della mail
I modelli con allegato sono i più vecchi e stanno via via scomparendo perché diventati poco efficaci.
Con queste varianti è stato più facile sia per i filtri antispam e antivirus che per il gli utenti riconoscere la minaccia, perché di fatto il contenuto malevolo era presente nella mail e quindi identificabile.
Le varianti con i link invece hanno lo scopo di togliere qualsiasi tipo di contenuto direttamente identificabile come minaccia, questo rende le mail pulite, limpide e cristalline. Ecco il motivo per cui questo modello di Phishing è così persistente nelle campagne di attacco, a dispetto di quello più grezzo che usa gli allegati.
Allora in questo caso com’è possibile capire se in una mail c’è qualcosa di pericoloso?
L’utente può solo verificare l’effettivo puntamento del link rispetto quanto si sostiene nel contenuto della mail, ma è scontato che si ricordi sempre di farlo? E soprattutto che capisca se qualcosa non va?
Se ci pensiamo i link a pagine Web specifiche sono spesso lunghi e complessi, com’è possibile capire se sono maligni senza interpellare l’IT e perdere tempo di lavoro?
Fortunatamente la fantasia umana non ha limiti e se trova sempre nuovi modi di usare tecniche come il Phishing li trova anche per combatterli.
Il problema del mail phishing con link maligni si può risolvere, basta fare in modo che la pagina Web prima di essere processata dal browser venga analizzata da un sistema automatico. Un controllo che interviene subito dopo il “click” sul link e che blocca la navigazione se l’esito non va a buon fine.
L’analisi effettuata deve essere di tipo comportamentale, ovvero deve analizzare l’operato del codice sorgente della pagina alla ricerca di funzioni riconducibili a tentativi di infezione. Ne sono un esempio il download automatico di un file oppure il lancio di un exploit kit che rileva le applicazioni in uso sul PC allo scopo di sfruttarne le vulnerabilità.
Non può essere limitato alla verifica della presenza della pagina all’interno di liste di siti Phishing noti, semplicemente perché sarebbe probabile che una pagina maligna “giovane” non sia ancora stata scoperta e inserita nei database di riferimento. Per motivi analoghi non deve nemmeno essere confusa con la funzionalità di Web Filtering o Content Filtering presente sul firewall.
Se vuoi sapere di più su questo tipo di analisi comportamentale scarica questa guida, all’ interno della quale puoi trovare un focus dedicato e un caso pratico del suo funzionamento.