Mondo
Nei primi sei mesi del 2008, le minacce alla sicurezza del Web sono cresciute sensibilmente, con i cybercriminali impegnati non solo a fare leva su nuove tecnologie per diffondere ancora di più il crimine informatico, ma anche a reinventare nuove forme di social engineering in grado di intrappolare in maniera intelligente consumatori e aziende.
È quanto emerge dall’analisi “Trend Micro Threat Roundup and Forecast 1H
Nella prima metà dell’anno si è registrato un incremento delle minacce Web – con picchi fino a 50.000.000 casi nel mese di marzo – a fronte di una costante diminuzione di adware e spyware generati da tecniche ormai obsolete divenute incapaci di competere con soluzioni di alto livello per la sicurezza.
Anche i bot hanno fatto registrare un balzo nel mese di febbraio con 3.500.000 PC infetti. Prende piede la tendenza ad attaccare siti Web di aziende di alto livello, enti pubblici e istituzioni e i cybercriminali stanno sempre più prendendo di mira una cerchia ristretta di utenti benestanti e in posizioni di potere per carpire dati bancarie e informazioni di altro tipo.
I volumi di spam sono leggermente diminuiti all’inizio del 2008, ma nei prossimi mesi Trend Micro prevede un aumento con una media giornaliera destinata a crescere di 30-50 miliardi di messaggi.
Come già accade ora, sia lo spam che il phishing continueranno a giocare un ruolo essenziale: una su 500 richieste Web viene inviata a siti Web ospitati su PC infetti, una tendenza destinata a proseguire. Lo spam e il phishing aumenteranno soprattutto in corrispondenza del rientro a scuola e delle Olimpiadi. Un picco stagionale è atteso in particolar modo per il periodo natalizio.
Se da un lato le tattiche di social engineering quali le truffe nigeriane e quella del prigioniero spagnolo si aggirano in Rete da decenni, dall’altro i cybercriminali continuano a modernizzare e riformulare questo tipo di attacchi sulla base delle tendenze più in voga del momento. Ad esempio, le tecnologie e gli strumenti usati per creare la natura interattiva dei più noti siti di social networking sono diventati una vera e propria miniera d’oro per gli hacker.
Lo scorso marzo Trend Micro ha scoperto che più di 400 kit progettati per generare siti di phishing avevano come obiettivo quello di colpire i maggiori siti Web 2.0 (ad esempio quelli di social networking, di video sharing e di VoIP), i service provider di servizi email gratuiti, le banche e i più comuni siti di commercio elettronico.
Di recente, una nuova forma di phishing avvisava le potenziali vittime mettendole in guardia da messaggi email di phishing, legittimando paradossalmente quella stessa email e ingannando così gli utenti che cliccavano su un link collegato a un sito fraudolento. Anche gli spammer stanno riciclando vecchie tecniche: a febbraio Trend Micro ha indagato su un tentativo di voice phishing (rinominato “vishing“): il messaggio email era estremamente convincente e tutti i link riportavano a pagine Web legittime; l’inganno risiedeva in un numero telefonico da chiamare per riattivare il proprio conto corrente, che si presumeva bloccato. Durante la telefonata venivano richiesti i dati bancari e relativi codici PIN, dando così ai phisher la possibilità di accedere senza problemi ai conti delle vittime.
Le varianti del malware sono sempre state approcciate in genere come minacce a sé stanti; oggi le minacce Web motivate dalla caccia al profitto illecito tendono a mischiare diverse componenti software pericolose in un unico modello di business illegale. Ad esempio, un cybercriminale invia un messaggio (spam) con un link integrato nell’email (URL pericoloso) o contenuto in un instant message. L’utente clicca sul link e viene immediatamente reindirizzato verso un sito Web dove un file (Trojan) si scarica automaticamente sul computer dell’ignaro utente. Il Trojan provvede poi a scaricare un ulteriore file (spyware) che cattura tutte le informazioni sensibili, come possono essere i dati relativi ai conti bancari (spy-phishing). Nonostante tutti questi elementi appaiano come un’unica minaccia, sono in realtà minacce miste molto più difficili da combattere e ancor più pericolose per l’utente finale.
La tecnica fast-flux costituisce un ulteriore esempio di abuso degli sviluppi tecnologici da parte dei criminali informatici. È un meccanismo per lo switching del DNS (Domain Name Server) che integra funzioni di networking peer-to-peer, comando e controllo distribuiti, load-balancing basato sul Web e reindirizzamento proxy per occultare i siti di diffusione del phishing. Questa tecnica consente ai siti di phishing di restare attivi per periodi molto più lunghi, mietendo così molte più vittime. Nello specifico i ricercatori fanno fatica a identificare domini Storm pericolosi in quanto i loro sviluppatori ricorrono a tecniche fast-flux per eludere i rilevamenti.
In diminuzione le seguenti tipologie: adware, trackware, keylogger e freeloader. A marzo 2007 Trend Micro aveva rilevato che il 45% circa dei PC risultava infetto da adware; una percentuale scesa al 35% nel mese di aprile
“Si tratta di un ottimo esempio di come i cybercriminali stiano cambiando col tempo – abbandonando le minacce che sfruttano tecnologie ormai obsolete in favore di minacce remunerative in grado di garantire un ritorno maggiore”, ha spiegato Raimund Genes, Chief Technology Officer di Trend Micro.
Stando alle analisi e alle osservazioni relative agli attacchi verificatisi dall’inizio del 2008, i ricercatori Trend Micro prevedono per i prossimi sei mesi le seguenti tendenze:
• Il social engineering è destinato a rimanere uno dei principali metodi di attacco, arricchito da nuove e ancora più sofisticate trappole. Secondo Trend Micro i cybercriminali sfrutteranno gli eventi come le Olimpiadi, lo shopping in concomitanza della riapertura delle scuole, le elezioni americane, gli appuntamenti con il calcio e il football, e il periodo natalizio.
• I cybercriminali continueranno a colpire nuove vulnerabilità all’interno di applicazioni software di terze parti come QuickTime, RealPlayer, Adobe Flash, ecc.
• Le attività criminali basate su metodi tecnici che stanno ormai diventando obsoleti, come dialer e keylogger, continueranno a diminuire per numero. Gli episodi di grayware come trackware e dirottatori di browser subiranno allo stesso modo un calo, a fronte di un periodo caratterizzato da reti bot con milioni di macchine controllate.
• Il volume dello spam continuerà ad aumentare con una media giornaliera destinata a crescere di 30-50 miliardi di messaggi. Lo spam e il phishing aumenteranno soprattutto in agosto in corrispondenza del rientro a scuola e delle Olimpiadi. Un picco stagionale è atteso anche per novembre in vista del periodo di vacanza tradizionale negli Stati Uniti, durante il quale lo spam toccherà i 170-180 miliardi di messaggi al giorno.
• Come già accade ora, sia lo spam che il phishing continueranno a giocare un ruolo essenziale nelle minacce miste. Lo 0,2% circa – una su 500 richieste Web – viene inviato a siti Web ospitati su PC infetti, una tendenza destinata a continuare.
• I bot e le reti bot continueranno a svolgere un ruolo importante nella catena di minacce di spamming, sottrazione di informazioni, attacchi mirati e campagne di attacco su vasta scala.
