Il phishing è cambiato. Lentamente ma inesorabilmente, i criminali informatici stanno passando all'uso di programmi di furto di dati.
Il phishing tradizionale non è scomparso. Anzi, tutt’altro. Tuttavia, molti hacker non puntano più solo a indurre le vittime a inserire nomi utente e password su pagine di accesso fasulle. Al contrario, utilizzano programmi di furto di dati per raccogliere in modo discreto password, cookie, dati del browser e altre informazioni sensibili dai dispositivi infetti.
Questo approccio è interessante perché è facilmente scalabile e riduce gli ostacoli. Anziché fare affidamento sul fatto che la vittima inserisca le proprie credenziali in un sito fasullo, il malware è in grado di raccogliere le credenziali di accesso già salvate nei browser, i token di sessione, i dati di compilazione automatica, i dettagli dei portafogli di criptovalute e persino i file che contengono informazioni utili.
Questo rende la catena di attacco meno evidente. Un’e-mail di phishing tradizionale lascia spesso indizi evidenti: un link sospetto, una pagina di accesso contraffatta o un allegato strano. Gli infostealer sono diversi. Possono arrivare tramite annunci online dannosi (malvertising), software crackato, falsi aggiornamenti del browser, cheat per videogiochi o download poco affidabili e, una volta installati, operano in background, sottraendo qualsiasi informazione presente sul dispositivo della vittima.
Questo cambiamento potrebbe essere in parte dovuto alla diffusione dell'autenticazione a più fattori (MFA). Rubando i cookie di sessione, i criminali informatici possono aggirare l'autenticazione a più fattori e accedere così agli account senza bisogno di password o codici di autenticazione.
Un altro fattore è l'ascesa dell'ecosistema del malware-as-a-service (MaaS). Gli infostealer sono economici da implementare, facili da scalare e altamente redditizi. Anziché costruire autonomamente una catena di attacco completa, molti criminali acquistano da fornitori del mercato nero l'accesso a kit di stealer già pronti, loader o servizi di accesso iniziale. Ciò abbassa la barriera all'ingresso e consente anche agli aggressori meno esperti di condurre operazioni di furto di credenziali.
In molti casi, gli infostealer rappresentano solo la prima fase di un'operazione criminale più ampia. I dati rubati vengono raccolti, impacchettati e venduti ad altri criminali interessati alle informazioni raccolte. Questi acquirenti possono essere specializzati in frodi, appropriazione di account, compromissione della posta elettronica aziendale o ransomware. Un singolo computer infettato può generare molteplici fonti di guadagno: credenziali per un acquirente, cookie di sessione per un altro e dati di accesso aziendali o relativi ai portafogli digitali per un terzo.
Questa divisione dei compiti è uno dei motivi per cui gli infostealer sono diventati così persistenti. Gli operatori possono aggiornare il proprio codice, cambiare infrastruttura e lanciare nuove campagne con il minimo sforzo, mentre gli affiliati si occupano della distribuzione tramite phishing, malvertising, download fasulli o esche sui social media.
Come stare al sicuro
Poiché i programmi di furto di dati si diffondono spesso tramite pubblicità dannose, falsi aggiornamenti del browser e download con un solo clic, è bene guardare agli annunci e ai pop-up con un sano scetticismo. Il mio consiglio personale: non cliccare mai sugli annunci sponsorizzati. Visita invece direttamente i siti web ufficiali e download solo da fonti affidabili, come i siti ufficiali dei produttori o gli app store.
Un'altra tecnica sempre più diffusa è il ClickFix, un attacco di ingegneria sociale che induce gli utenti a infettare i propri dispositivi. Non eseguire mai comandi o script copiati da siti web, e-mail o messaggi, a meno che non ti fidi della fonte e non ne comprenda lo scopo. Se un sito web ti chiede di eseguire un comando o di compiere un'operazione tecnica, consulta la documentazione ufficiale o contatta l'assistenza prima di procedere.
Hai preso qualcosa che non avresti dovuto?
Il software pirata, i trucchi per i videogiochi e gli strumenti crackati rimangono tra i metodi più comuni di diffusione dei programmi di furto di dati. Questi download sono spesso accompagnati da malware che si installa insieme al software che si intendeva scaricare. La stessa cautela vale per molte estensioni e componenti aggiuntivi dei browser che promettono funzionalità extra o maggiore praticità. È consigliabile affidarsi solo alle estensioni di sviluppatori affidabili, controllare attentamente le recensioni e le autorizzazioni e evitare di installare qualsiasi componente aggiuntivo che richieda un livello di accesso superiore a quello ragionevolmente necessario.
Le e-mail di phishing rappresentano ancora una grave minaccia, ma molte possono essere individuate se ci si prende il tempo necessario per verificare il contenuto prima di cliccare. Anche se un'e-mail sembra provenire da un marchio affidabile, è bene prestare attenzione agli allegati e ai link non richiesti, soprattutto quando ti invitano ad aprire un file, a installare qualcosa con urgenza o a risolvere un problema di fatturazione. Se hai dei dubbi, controlla l'indirizzo del mittente, cerca errori di battitura o formulazioni strane e conferma la richiesta tramite un canale separato, come il sito web ufficiale dell'azienda, piuttosto che il link contenuto nell'e-mail.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
