News

Sicurezza della posta elettronica nel 2017, ecco la situazione in Italia

La email security è uno dei principali problemi relativi all’IT security, la sicurezza della posta elettronica è infatti sempre più compromessa perché oggi propria la mail rappresenta il principale canale di diffusione di malware, phishing e attacchi informatici. Nell’articolo i dati raccolti da Libraesva aggregando e analizzando le metriche su un flusso di oltre 10 miliardi di email

Pubblicato il 30 Mar 2018

sicurezza della posta elettronica

Nel 2017 sono avvenute diverse novità in ambito sicurezza informatica, soprattutto in relazione all’evoluzione delle minacce e delle tecniche di distribuzione delle stesse. In particolare, secondo gli esperti di Libraesva, fornitore di soluzioni avanzate di email security, oggi la mail, che è lo strumento di comunicazione più utilizzato nelle aziende, è il principale canale di diffusione di malware, phishing e attacchi informatici e, cioè, la sicurezza della posta elettronica è sempre più a rischio.

La società ha aggregato e analizzato le metriche su un flusso di oltre 10 miliardi di email ricevute nel corso del 2017 in Italia. Un campione eterogeneo che offre uno spaccato rappresentativo del traffico email nel nostro paese: traffico di Internet Service Provider, Email Service Provider, aziende italiane di ogni dimensione, università, istituzioni.

I risultati dell’indagine sulla sicurezza della posta elettronica in Italia nel 2017

Quel che è emerso dall’analisi, è principalmente che l’84% del campione considerato per l’indagine sulla sicurezza della posta elettronica, è rappresentato da messaggi indesiderati nel loro complesso (spam, malware, phishing), valore che non si discosta particolarmente rispetto all’anno precedente. Quello che invece cambia è la composizione del traffico indesiderato: le componenti di malware e phishing continuano a crescere rispetto allo spam, consacrando la gestione della posta elettronica come un problema principalmente legato alla security piuttosto che alla produttività.

Se malware e spam si assomigliano molto per gli aspetti relativi alla trasmissione del messaggio poiché utilizzano le stesse modalità e gli stessi canali (principalmente botnet), sono differenti per gli aspetti legati al contenuto.

Ransomware

Rispetto al 2016 la quantità di email veicolanti ransomware nel 2017 è quasi triplicata. Questo è dovuto al fatto che non servono più competenze specifiche per lanciare campagne di ransomware; si sta diffondendo il ransomware-as-a-service, ossia disponibilità di servizi che consentono a operatori tecnicamente non esperti di condurre campagne di ransomware. Il terziario del ransomware, che ormai copre tutta la filiera, fornisce kit di sviluppo per realizzare il proprio attacco, servizi per l’invio di campagne email massive, servizi di customer care per guidare le vittime nella gestione della transazione economica attraverso criptovalute.

Nel 2016 erano state intercettate circa 100 nuove famiglie di ransomware che avevano dato origine ad alcune decine di migliaia di varianti, grazie ai kit di sviluppo però un’unica famiglia genera molte varianti e quindi nel 2017 questi numeri sono aumentati di circa il 20% al ritmo, più o meno, di 10 nuove famiglie ogni settimana.

Malware e latenze nell’identificazione di nuove varanti

Considerando, come si diceva poco sopra, che le nuove varianti di malware (i cosiddetti malware 0-day) sono centinaia ogni giorno non sono sostenibili tanti giorni di latenza prima che tale nuova variante venga riconosciuta. Nell’analisi emerge che il sandboxing (ambienti di test, di prova, spesso slegati dal normale flusso di ambienti predisposti per lo sviluppo e il test di applicazioni) basato su emulazione, pensato proprio per risolvere questo problema, nel 2017 ha avuto a che fare con malware in grado di evadere la detection da parte delle sandbox (è il caso del trojan bancario Emotet).

Un’infezione di malware può avvenire in più stadi:

  • Distribuzione del malware attraverso file. Questi hanno come obiettivo oltrepassare i controlli di sicurezza ed essere eseguiti dall’utente, si tratta di file sempre più simili ad allegati quali documenti Office o Pdf (questi due formati rappresentano circa il 50% degli allegati malevoli e l’80% dei veicoli di ransomware). In tali documenti vi è il “dropper”, ossia il software minimale che si occuperà di scaricare e installare il malware vero e proprio.
  • Distribuzione di malware attraverso link. In questi casi, il link contenuto nella mail spesso punta a un sito internet compromesso sul quale è depositato il malware o la pagina di phishing. Di solito la campagna di email parte immediatamente dopo la compromissione del sito e al momento della ricezione della mail il sito non è ancora noto come compromesso, rendendo più difficile intercettare la minaccia.
  • Phishing. Due sole categorie rappresentano oltre il 90% del phishing: la prima è legata alla monetizzazione immediata (phishing finanziario per il furto di credenziali bancarie o dati di carte di credito), la seconda categoria è legata alla monetizzazione differita attraverso furto di identità (acquisizione di posta elettronica e di dati personali da rivendere). Queste tipologie di campagne si stanno raffinando sempre più, essendo attuate con perizia, ospitate su servizi di hosting italiani e attribuibili ad attori italiani.
  • Spearphishing. Qui sopra si è fatto cenno a phishing di massa, per cui il messaggio viene inviato a un vasto pubblico. Una variante più sofisticata è, appunto, lo spearphishing, cioè un attacco mirato a una singola persona o a una specifica organizzazione. È stato rilevato un incremento (+35%) degli attacchi in questo senso, che consistono nella realizzazione di un finto portale di web mail per raccogliere credenziali valide di posta elettronica. È una tipologia di attacco alla sicurezza della posta elettronica, solitamente pensata con finalità di spionaggio o sabotaggio, che da alcuni anni si verifica con cadenza periodica nei confronti di organizzazioni come università o grandi aziende. Nel corso del 2017 questo tipo di attacchi ha però avuto anche bersagli istituzionali.
  • Whaling. Propriamente: caccia alla balena, si tratta di un un’ulteriore specializzazione dello spearphishing che consiste nel contattare una persona interna all’azienda spacciandosi per un dirigente della stessa. Di solito si tratta di truffe finanziarie e il bersaglio è l’amministrazione con l’obiettivo di indurre la vittima a eseguire, con l’inganno, un pagamento a beneficio del truffatore. Generalmente “l’attaccante” conosce (direttamente o indirettamente) le persone coinvolte: il linguaggio utilizzato nei messaggi, infatti, ricalca quello delle conversazioni legittime. Di norma l’attacco inizia con una mail che sonda il terreno (“Sei in ufficio? Ho urgente bisogno di te”). Se il destinatario risponde, l’attaccante ha la conferma che la mail ha raggiunto il suo bersaglio il quale non si è accorto dell’inganno. A quel punto la conversazione prosegue e nel giro di qualche scambio si arriva a ordinare una transazione economica (di norma un bonifico).
  • Evoluzione delle tecniche di spamming. Le botnet composte da computer compromessi che vengono usati dai malviventi a insaputa dei proprietari, sono sempre più uno strumento utilizzato sia per l’invio delle campagne di spam che per la distribuzione del malware. Due sono gli aspetti rilevanti che hanno caratterizzato il 2017: la crescita delle botnet basate su dispositivi Internet Of Things e il progressivo cambiamento delle modalità di invio di email da parte dei “bot” che di fatto stanno utilizzando account di posta legittimi che transitano quindi attraverso i sistemi di filtraggio dello spam. I centri di comando e controllo che orchestrano i “bot”, forniscono ai bot stessi elenchi sempre aggiornati di credenziali di posta da utilizzare a rotazione per l’invio delle mail.

In conclusione, secondo gli esperti di Libraesva, per il futuro per garantire la sicurezza della posta elettronica, si deve guardare ai seguenti strumenti: gli engine per intercettare il Whaling, le sandbox di nuova generazione per disarmare il contenuto attivo degli allegati, le sandbox per l’analisi dinamica al momento del click delle URL contenute nelle mail.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3