Oltre il 35% di 10.500 organizzazioni è stato vittima di questi attacchi lo scorso settembre
Per rendere i loro attacchi di phishing sempre più mirati ed efficaci, gli hacker sono continuamente alla ricerca di potenziali vittime, lavorando per raccogliere informazioni che aiutino ad aumentare la probabilità che gli attacchi abbiano successo. Le “esche” (attacchi bait) sono una delle tecniche usate per testare gli indirizzi email e vedere chi risponde.
Secondo un’analisi svolta dai ricercatori di Barracuda, poco più del 35% delle 10.500 organizzazioni esaminate è stato vittima di almeno un attacco bait nel settembre 2021, con una media di tre mailbox attaccate.
Di seguito, un’analisi di come gli hacker usano gli attacchi bait e le tecniche da adottare per evitare di cadere nella trappola, oltre alle soluzioni che possono aiutare a riconoscere, bloccare e rimediare a questo tipo di attacchi.
La minaccia
Barracuda analizza le vulnerabilità RCE (remote code execution)
Attacchi bait – si tratta di una categoria di minacce in cui gli hacker cercano di raccogliere informazioni che potranno usare per pianificare futuri attacchi mirati.
Questi attacchi, denominati anche “attacchi esplorativi” (reconnaissance attack) sono in genere email con un contenuto molto breve o addirittura senza alcun contenuto. L’obiettivo è verificare l’esistenza dell’account email della vittima: se l’account non esiste il mittente riceve il messaggio “undeliverable”, in caso contrario l’obiettivo è coinvolgere il destinatario in una conversazione che potrebbe condurre a trasferimento di denaro o al furto di credenziali.
Poiché questo tipo di minacce non sempre contiene qualche testo e non presenta alcun link di phishing o allegato pericoloso, è difficile per i sistemi convenzionali di riconoscimento del phishing difendersi da questi attacchi (Immagine 1).
Inoltre, per evitare di essere intercettati, gli hacker tipicamente usano account email creati da poco su servizi gratuiti come Gmail, Yahoo e Hotmail. Gli hacker non ricorrono a invii massivi per aggirare i meccanismi di riconoscimento basati sul volume di email o sulle anomalie.
Per quanto il numero di attacchi bait sia ancora globalmente basso, questi attacchi non sono affatto rari. In base alle analisi dei ricercatori di Barracuda, poco più del 35% delle 10.500 organizzazioni analizzate hanno ricevuto almeno un attacco bait nel settembre 2021, con una media di 3 mailbox colpite.
I dettagli
Poiché è risaputo che gli attacchi bait normalmente precedono qualche forma di attacco di phishing mirato, i ricercatori di Barracuda hanno condotto un esperimento rispondendo a una delle mail arrivate alla mail privata di uno dei dipendenti dell’azienda.
La mail, inviata il 10 agosto scorso, riportava la parola “Hi” nell’oggetto e il corpo del messaggio era vuoto (Immagine 2).
Il dipendente di Barracuda, il 15 agosto, ha risposto “Hi, how can I help you?”. Dopo meno di 48 ore, il 17 agosto, il collega ha ricevuto un attacco di phishing mirato. La prima mail serviva solo per verificare l’esistenza della mailbox e la disponibilità della vittima a rispondere al messaggio (Immagine 3).
Come proteggersi dagli attacchi bait
- Usare l’intelligenza artificiale per identificare e bloccare gli attacchi bait. La tradizionale tecnologia di filtraggio è di poco aiuto nel bloccare questo tipo di attacchi. I messaggi non hanno contenuti anomali e generalmente provengono da Gmail che è normalmente considerato molto affidabile. La difesa basata sull’AI è molto più efficace, in quanto usa i dati estratti da diverse fonti, dai grafi delle comunicazioni ai sistemi di misurazione della reputazione, all’analisi a livello di rete per proteggere l’utente da questi attacchi.
- Insegnare agli utenti a riconoscere e riferire gli attacchi bait. Alcuni di questi messaggi possono comunque finire nella mailbox degli utenti, che devono quindi essere formati a riconoscerli e non rispondere. È opportuno inserire nelle campagne di simulazione e formazione sulla sicurezza alcuni esempi di attacchi bait e incoraggiare gli utenti a riferire ai team preposti alla sicurezza.
- Evitare che gli attacchi bait rimangano nella mailbox degli utenti. Una volta identificato l’attacco bait, è importante rimuovere la mail dalla mailbox dell’utente il più rapidamente possibile, prima che l’utente la apra o risponda. Un sistema di risposta automatica agli incidenti può aiutare a identificare ed eliminare questi messaggi in pochi minuti, prevenendo l’ulteriore diffusione dell’attacco ed evitando di trasformare l’organizzazione in un futuro obiettivo.
