skip to Main Content

Cybercrime, boom di vendite di phishing kit negli underground markets

di Pierguido Iezzi

Boom di vendite di phishing kit negli underground markets

Fra i prodotti di maggiore successo nei mercati underground visitati dai gruppi del cybercrime e threat actor strutturati sta spiccando il phishing kit. Con questa nuova arma, il panorama delle minacce digitali per le aziende si fa ancora più complesso, allargando in maniera anche solo difficile da definire il numero di cyber gang in grado di portare avanti campagne di phishing. Il kit è un insieme di strumenti digitali e intellettuali, venduto da specialisti del settore a criminali in erba od organizzazioni di lungo corso specializzate in altri ambiti, per pianificare ed eseguire attacchi phishing.Nella pratica il contenuto effettivo può variare ma sicuramente include un software per lo sviluppo di siti web con una GUI semplice, a basso contenuto di codice. Sono poi inclusi veri e propri modelli di email, grafiche (utili per imitare la fonte legittima che dovrebbe inviare il messaggio) e anche gli “script”, ovvero canovacci da cui prendere ispirazione per stendere il contenuto del messaggio. Se l’obiettivo è ingannare il destinatario, tutti questi elementi devono essere curati con attenzione per ottenere un risultato convincente. In altri casi possono essere inclusi al kit anche liste di indirizzi e-mail, numeri telefonici e software per automatizzare la campagna e distribuire il malware con maggiore rapidità ed efficienza.

L’arrivo dei kit Phishing as a Service

Come in molti altri ambiti del cybercrime organizzato stiamo assistendo a una strutturazione dell’offerta e della domanda criminale, con architettura piramidali (sempre molto dinamiche) e catene di comando simili a quelle che siamo abituati a vedere nelle aziende legittime. E in questo contesto che è nato il PaaS, ovvero Phishing as a service, concetto che va oltre al phishing kit, poiché offre la possibilità di appaltare del tutto la gestione e l’esecuzione della campagna. I costi, al contrario di quanto si possa pensare, non sono affatto proibitivi, dato che si possono trovare offerte a partire da 50 $ al mese sui forum della dark web.

Il funzionamento dei phishing kit

Dal punto di vista pratico, dopo il completamento dei primi step, ci si ritrova con un sito web del tutto simile a un corrispettivo legittimo. Composto quindi dall’ossatura principale, ovvero home page, eventualmente pagine di corollario, modulo di contatto (e/o login) in cui inserire le proprie informazioni. In alcuni casi, dopo aver compilato il modulo, poniamo esempio per richiedere delle informazioni, si verrà reindirizzati al sito web legittimo. Ma questo è solo il nucleo fondamentale del phishing kit. Poiché negli ultimi anni, i threat actor hanno ampliato l’offerta, con funzionalità aggiuntive quali:

  • Real-time phishing: che offre la possibilità ai “phisher” di decidere quale pagina mostrare alla vittima, a seconda delle azioni compiute sul sito fasullo.
  • Generazione di QR code: nel caso di una campagna di phishing brasiliana, è stata aggiunta questa funzione per far generare un codice QR al fine di completare una transazione con il sistema di pagamento istantaneo PIX (simile per funzionamento a Satispay e altri servizi disponibili nel nostro Paese).
  • Protezione anti-bot: nel caso in cui la rete aziendale preveda l’utilizzo di bot di sicurezza che effettuano un controllo sulla destinazione dei link di phishing, invece che reindirizzare la vittima sulla pagina “target” in cui concretizzare l’attacco, al bot viene mostrata una pagina di errore 404.

Cosa determina il successo di un attacco di phishing?

I fattori sono principalmente 2 e sono collegati fra loro. Da un lato, la campagna può essere particolarmente mirata (fino a spingere gli addetti ai lavori a parlare di spear-phishing) e deve essere ben curata dal punto di vista estetico e dei contenuti; dall’altro, senza il destinatario non può concretizzarsi. Quindi il livello di formazione della vittima, in gergo tecnico la sua awareness, fa la differenza. Dato che le aziende non possono influenzare la qualità con cui vengono curati i phishing kit, devono concentrarsi necessariamente sul fattore umano.

Come ridurre i rischi di questi attacchi del cybercrime

La teoria è sicuramente fondamentale ma l’efficacia di un corso che metta i dipendenti aziendali ad approcciarsi con una minaccia realistica è preferibile. Ecco perché è consigliabile organizzare simulazioni di attacco phishing e smishing. Affrontando una situazione “vera”, si stimolerà un apprendimento più profondo, preparando le risorse umane e insegnando loro a distinguere fra un’email legittima e una di phishing. Per favorire l’awareness è sempre utile organizzare corsi di formazione in tema di cyber security, disponibili ora anche a distanza tramite webinar. A seconda delle proprie necessità, si dovrà scegliere il taglio del corso e l’opportunità di porre il focus o meno sulle figure dirigenziali.

Non abbassiamo la guardia!

Back To Top