Blog

  • Home
  • Focus sulle minacce: la geolocalizzazione per prevenire il phishing

Sapevate che il luogo di provenienza delle e-mail e il numero di paesi che attraversano per arrivare alla destinazione finale ci forniscono segni premonitori importanti degli attacchi di phishing?

Di recente Barracuda ha fatto squadra con i ricercatori della Columbia University per analizzare la geolocalizzazione e l’infrastruttura di rete attraverso la quale sono passati oltre due miliardi di messaggi di posta elettronica, di cui 218.000 e-mail di phishing.

Questi i risultati della loro indagine.

Si riscontrano TRE tendenze principali:
1. È più probabile che le e-mail di phishing attraversino vari paesi.

Oltre l’80% delle e-mail benigne viene instradato attraverso due o meno paesi, mentre poco più del 60% delle e-mail di phishing viene indirizzato attraverso due o più paesi. Ciò indica che una buona funzionalità per un classificatore di rilevamento del phishing potrebbe essere quella di esaminare il numero di paesi distinti attraverso cui passa un’e-mail.

2. I paesi con la più alta probabilità di phishing si trovano nell’Europa dell’Est, in America Centrale, nel Medio Oriente e in Africa.

Hanno determinato la probabilità di phishing del paese del mittente identificando il paese del mittente con i dati di geolocalizzazione e calcolando la probabilità di phishing per ciascun paese come RAPPORTO FRA (numero totale di email di phishing spedite da un paese)/(numero totale di e-mail spedite da un paese).
Alcuni paesi che hanno un elevato volume di phishing da essi originato hanno una probabilità estremamente bassa di phishing. Ad esempio, su 129.369 e-mail di phishing inviati dagli Stati Uniti, c’è solo lo 0,02% di probabilità di phishing. In generale, la maggior parte dei paesi ha una probabilità di phishing del 10% o meno.

Lista ordinata dei mittenti che producono un volume maggiore di e-mail di phishing  (in ordine decrescente):

  • Lithuania
  • Lettonia
  • Serbia
  • Ucraina
  • Russia
  • Bahamas
  • Puerto Rico
  • Colombia
  • Iran
  • Palestina
  • Kazakhstan

Sebbene non sia ragionevole bloccare tutto il traffico e-mail proveniente da paesi con un’alta probabilità di phishing, potrebbe essere utile contrassegnare le e-mail da questi paesi per ulteriori analisi.

3. Molte delle reti utilizzate da malintenzionati per sferrare i loro attacchi sorprendentemente sono di grandi provider di servizi cloud legittimi.

Le reti con il numero più elevato di attacchi di phishing sono sorprendentemente di proprietà di grandi fornitori di cloud. Questo è previsto, poiché hanno anche il volume totale più alto di e-mail inviate. Per tali reti, la probabilità che una data e-mail sia un’e-mail di phishing è molto bassa. È probabile che la maggior parte degli attacchi originati da queste reti provenga da account e-mail o server compromessi, di cui gli aggressori sono riusciti a ottenere le credenziali.

Phishing Email Volume Rank Proprietario Probabilità di Phishing Email
1 Amazon 0.000224
2 Microsoft 0.000429
3 Amazon 0.000124
4 Twitter 0.00212

Hanno anche scoperto che alcuni dei più grandi produttori di phishing (per rete) provengono ancora da reti appartenenti a fornitori di servizi cloud (Rackspace, Salesforce). Queste reti hanno ordini di grandezza in meno di traffico e-mail totale rispetto alla coppia principale di reti (Amazon e Microsoft), ma inviano comunque una quantità significativa di e-mail di phishing. Pertanto, hanno una probabilità molto più alta che una determinata e-mail proveniente da loro sia dannosa.

Proteggersi dagli attacchi di phishing

Cercare soluzioni che utilizzino l’intelligenza artificiale.

I criminali informatici stanno adeguando le loro tattiche per aggirare i gateway e-mail e i filtri antispam, quindi è fondamentale disporre di una soluzione che rilevi e protegga dagli attacchi di spear-phishing, tra cui la impersonificazione del marchio, la compromissione dell’e-mail aziendale e l’acquisizione dell’account e-mail. E’ necessario sviluppare una soluzione che non si basi interamente sulla ricerca di collegamenti o allegati dannosi. Una soluzione che utilizzi l’apprendimento automatico per analizzare i normali modelli di comunicazione all’interno dell’organizzazione può individuare anomalie che potrebbero indicare un attacco.

Implementare la protezione dall’acquisizione dell’account

Pensa oltre i messaggi di posta elettronica esterni. Alcuni degli attacchi di spear-phishing più dannosi e convincenti vengono inviati da account interni compromessi. Impedisci agli aggressori di utilizzare la tua organizzazione come base per lanciare campagne di spear-phishing. Distribuisci una tecnologia che utilizza l’intelligenza artificiale per riconoscere quando gli account sono stati compromessi e che rimedi in tempo reale avvisando gli utenti e rimuovendo le email dannose inviate dagli account compromessi.

Migliorare la consapevolezza della sicurezza attraverso la formazione

Tieni informati i tuoi utenti sugli ultimi attacchi e tattiche di spear-phishing. Fornisci una formazione aggiornata sulla consapevolezza degli utenti e assicurati che il personale possa riconoscere gli attacchi e sapere come segnalarli immediatamente all’IT. Utilizza la simulazione di phishing per e-mail, posta vocale e SMS per addestrare gli utenti a identificare gli attacchi informatici, testare l’efficacia della tua formazione e valutare gli utenti più vulnerabili.

(questo articolo è tratto dal report mensile di Barracuda® sulla sicurezza. L’articolo originale in inglese si trova qui).