Aumentano gli attacchi di domain impersonation utilizzati per aprire la strada al conversation hijacking. Lo ha rilevato Barracuda (fornitore di soluzioni di sicurezza informatica) dall’analisi di circa 500.000 attacchi e-mail mensili. Gli attacchi di questo tipo hanno infatti avuto un incremento del 400%: nel luglio 2019 si sono verificati circa 500 attacchi di domain impersonation, mentre a novembre erano oltre 2000.
Conversation hijacking, che tipo di minaccia è?
Che cos’è il conversation hijacking? Con questa minaccia si intende il fatto che i cybercriminali si inseriscono nelle conversazioni aziendali esistenti o ne avviano di nuove in base alle informazioni raccolte da account di posta elettronica compromessi o da altre fonti. Il conversation hijacking fa generalmente, anche se non sempre, parte di un attacco di tipo account takeover.
Gli hacker dedicano tempo a leggere le e-mail e a monitorare l’account compromesso per comprendere le attività aziendali e raccogliere informazioni su trattative in corso, procedure di pagamento e altri dettagli.
I cybercriminali raramente utilizzano gli account compromessi per il conversation hijacking. Ricorrono piuttosto all’email domain impersonation. Sfruttano le informazioni prevenienti dagli account compromessi, comprese le conversazioni interne ed esterne tra dipendenti, partner e clienti, per elaborare messaggi convincenti, inviarli da domini falsi e indurre con l’inganno le vittime a effettuare trasferimenti di denaro o aggiornare informazioni di pagamento.
Nello specifico, i cybercriminali dedicano molto tempo alla pianificazione del conversation hijacking prima di lanciare i loro attacchi. Utilizzano l’account takeover o effettuano ricerche sull’organizzazione target per comprendere le transazioni aziendali e preparare gli attacchi. I criminali informatici utilizzano la domain impersonation, ricorrendo, tra le altre, anche a tecniche di typosquatting, come la sostituzione o l’aggiunta di una lettera nell’URL. In preparazione dell’attacco, i cybercriminali registreranno o acquisteranno un dominio dal nome simile a quello che vogliono imitare.
La domain impersonation è un attacco a impatto molto elevato. Può essere facile non avvertire le sottili differenze tra l’URL legittimo e quello imitato. A volte, i criminali modificano il Top-Level-Domain (TLD), utilizzando .net o .co anziché .com, per ingannare le vittime.
I criminali informatici investono una notevole quantità di sforzi, tempo e denaro per registrare un falso dominio e dirottare una conversazione. Gli hacker, tuttavia, non sempre utilizzano gli account di posta elettronica compromessi per portare a termine gli attacchi di domain impersonation, in quanto è più probabile che il proprietario di un account compromesso si accorga di una comunicazione fraudolenta. Inoltre, gli account solitamente non restano compromessi a lungo, mentre il conversation hijacking può comportare settimane di comunicazione continua tra l’hacker e la vittima. Di conseguenza, quando utilizzano la domain impersonation, i criminali informatici portano la conversazione al di fuori dell’organizzazione. Questo consente loro di procedere con gli attacchi, anche se gli account precedentemente colpiti sono stati ripuliti e protetti.
In ultima analisi, l’obiettivo di questi attacchi è indurre con l’inganno le vittime a trasferire somme di denaro, effettuare pagamenti o modificare i dettagli di pagamento. La domain impersonation e il conversation hijacking richiedono un investimento sia in termini di tempo sia di denaro da parte dell’hacker. Un costo che per i criminali vale sicuramente la pena sostenere, in quanto questi attacchi personalizzati hanno spesso più successo rispetto ad altri attacchi di phishing meno sofisticati.
Come difendersi?
Ecco qualche consiglio per proteggere le aziende dal conversation hijacking.
- Preparare i dipendenti a riconoscere e segnalare gli attacchi. È importante formare gli utenti sugli attacchi e-mail, compresi il conversation hijacking e la domain impersonation, come parte della formazione sulla sicurezza. Accertatevi che lo staff sia in grado di riconoscere gli attacchi e comprenderne la natura fraudolenta e sappia come segnalarli. Utilizzate simulazioni di phishing per addestrare gli utenti a identificare i cyberattacchi, testare l’efficacia della formazione e individuare gli utenti più vulnerabili.
- Implementare una protezione contro l’account takover. Molti attacchi di conversation hijacking inizieranno con l’account takeover; fondamentale è accertarsi quindi che i truffatori non utilizzino la propria organizzazione per lanciarli. Utilizzando l’autenticazione a più fattori è possibile fornire un livello di sicurezza aggiuntivo che vada oltre il nome utente e la password. Serve poi la tecnologia in grado di riconoscere la compromissione degli account e di porvi rimedio in tempo reale, avvisando gli utenti ed eliminando le e-mail fraudolente inviate da account compromessi.
- Monitorare le regole della posta in arrivo, i login agli account e la registrazione di domini. Le aziende devono utilizzare la tecnologia per identificare attività sospette, per esempio accessi da posizioni e indirizzi IP insoliti, potenziali indizi di account compromesso. Inoltre, esse devono accertarsi anche di monitorare gli account di posta elettronica allo scopo di rilevare eventuali regole sospette della posta in arrivo, spesso utilizzate come parte dell’account takeover. I criminali eseguono l’accesso all’account compromesso, creano regole di inoltro e nascondono o eliminano qualsiasi e-mail che inviano dall’account, per cercare di nascondere le loro tracce. Bisogna poi monitorare la registrazione di nuovi domini che potrebbero essere potenzialmente utilizzati per la contraffazione attraverso tecniche di typosquatting. Numerose organizzazioni optano per l’acquisto di domini strettamente correlati al proprio per evitarne il potenziale uso fraudolento da parte dei cybercriminali.
- Sfruttate l’intelligenza artificiale. I truffatori adattano tattiche e-mail per bypassare gateway e filtri antispam, per cui è importante implementare una soluzione che utilizza l’intelligenza artificiale per rilevare e bloccare gli attacchi, account takeover e domain impersonation compresi; meglio scegliere tecnologia appositamente progettata che non faccia affidamento esclusivamente sulla ricerca di allegati o collegamenti fraudolenti. Il ricorso all’apprendimento automatico per l’analisi dei modelli di comunicazione normali nella organizzazione consente di individuare anomalie che possono indicare un attacco.
- Rafforzare le policy interne. Infine, è necessario aiutare i dipendenti a evitare di commettere costosi errori creando linee guida e mettendo in atto procedure che prevedono la conferma di tutte le richieste e-mail relative a bonifici e modifiche di pagamento. Tra le policy consigliate vi è quella di richiedere la conferma di persona o telefonica e/o l’approvazione di più persone per tutte le transazioni finanziarie.