Riconoscere al volo una email di Spear Phishing..

Lo spear phishing è una variante recente del phishing. Lo spear phishing prevede l’invio di un’email che sembra provenire da una persona o un’azienda conosciuti. Lo scopo dello spear phishing spesso è il furto di dati aziendali e il trasferimento di grosse somme di denaro. Lo spear phishing può iniziare con delle email non pericolose (non ci sono allegati camuffati o link da cliccare) con lo scopo di instaurare un dialogo con la persona che la riceve per conquistare la sua fiducia.

Nella figura sottostante, due esempi di email di questo tipo ricevute da Achab. La prima arrivata (apparentemente) a nome di Kevin Beatty (vicedirettore marketing di MDaemon Technologies) e la seconda ricevuta da Biffi e proveniente (apparentemente) da un amico di Biffi.

In questo esempio due sono le cose che devono far sospettare sulla veridicità di questo messaggio:

1. Il contenuto che parla di pagamenti. Occorre prestare attenzione ai messaggi che invogliano a versare denaro, fornire numeri di carta di credito a altri dati personali. Peraltro, Kevin si occupa di marketing e non di pagamenti.
2. La contraffazione del mittente: in questo caso è sbagliato il nome dell’indirizzo email.

Caratteristiche di una email di Spear Phishing
Mittente
Ci sono diverse varianti di mittenti più o meno alterati che si possono incontrare:
• “Human Resources” ur@altn.com (dominio corretto ma indirizzo inesistente).
• “Kevin Beatty” kevin.beatty@altn.com (indirizzo e nome corretti).
• “Kevin Beatty” kevin.beatty@altm.com (dominio alterato ma molto simile a quello vero).
• “Kevin Beatty” kevin.beatty@altn-inc.com (dominio alterato ma molto simile a quello vero).
• “Kevin Beatty” random@gmail.com (indirizzo email è completamente diverso).

È importante quindi, quando si apre un messaggio sospetto o se ne visualizza l’anteprima, controllare il mittente del messaggio e verificare se nome e indirizzo email sono coerenti con la provenienza dichiarata dal messaggio stesso.

Oggetto
Una email di spear phishing può usare un linguaggio accattivante, urgente o minaccioso per incoraggiare il destinatario ad agire immediatamente o per catturare l’attenzione dell’utente. L’oggetto di queste email può contenere termini commerciali e finanziari, come “ordine”, “fattura”, “pagamento”, “purchase,” “invoice,” “direct deposit,” ecc.

Contenuti
Il corpo della email spesso è rapido e puntuale e include quasi sempre una richiesta finanziaria. Gli attaccanti in questi casi usano spesso un linguaggio progettato per far sentire la vittima che sono l’unica persona che può completare la richiesta e che non farlo in modo tempestivo potrebbe essere dannoso per l’azienda.

Pre-attacco
Il pre-attacco è una forma di ingegneria sociale in cui un criminale informatico coinvolge una vittima nel corso di una o più email per ottenere la sua fiducia. Sulla base delle informazioni che ha scoperto sulla vittima, l’attaccante lancia una piccola chiacchierata con la vittima per abbassare la guardia, come “Come sono andate le vacanze?” O “Congratulazioni per la promozione”.

Firma
Gli attaccanti spesso includono una riga aggiuntiva nella firma che indica che il messaggio è stato composto su un telefono cellulare o tablet. Questo aiuta a rafforzare la natura urgente del messaggio, crea una scusa per inviare l’email da un indirizzo email personale e presenta una copertura per eventuali errori grammaticali o stilistici nell’email.

Fonte: ACHAB

Buona giornata.

Simone Menegatti
SOS PERSONAL COMPUTER
Via Sicilia 104 – 36100 Vicenza
347.0443899
simone@sospersonalcomputer.it