Dopo la massiccia fuga di notizie su Tumblr, è ora di parlare di phishing

Annuncio

Oh caro. Non questo di nuovo. 68 milioni di account Tumblr sono stati lanciati sul dark web e vengono venduti al misero prezzo di 0,452 bitcoin. Al momento della scrittura, sono circa $ 240.

A prima vista, puoi tracciare un parallelo tra questa fuga di dati e il leak di LinkedIn di due settimane fa Cosa devi sapere sulla massiccia perdita di account LinkedInUn hacker sta vendendo 117 milioni di credenziali LinkedIn hackerate sul Dark Web per circa 2.200 dollari in Bitcoin. Kevin Shabazi, CEO e fondatore di LogMeOnce, ci aiuta a capire cosa è a rischio. Per saperne di più . In primo luogo, entrambi i set di dati sono molto vecchi; la violazione di LinkedIn risale al 2012 e quella di Tumblr è del 2013. Entrambi i set di dati sono enorme, ed erano entrambi elencati nel Dark Web dalla stessa persona - Pace della mente.

Ma è qui che finiscono le somiglianze, perché mentre LinkedIn non proteggeva correttamente le sue password, quelle di Tumblr erano protette con una crittografia SHA-1 (relativamente) forte. Ciò significa che ci sono poche possibilità che un utente malintenzionato entri nei suoi account Tumblr o ricicli le combinazioni di accesso su altri servizi, come Facebook, PayPal o Twitter.

C'è un aspetto negativo però. Un utente malintenzionato che acquista la discarica ora ha un elenco di 68 milioni di account di posta elettronica attivi e verificati. Ciò significa che qualsiasi utente coinvolto corre un rischio maggiore di phishing e attacchi basati su e-mail.

Quindi, che aspetto ha il phishing nel 2016 e quali misure puoi adottare per proteggerti?

Il phishing non è passato

Se non ti fossi imbattuto nel rapporto di La scheda madre di Vice, potresti essere perdonato per aver pensato che il phishing sia una polverosa reliquia degli anni '90 e dei primi anni 2000, che si rifà all'infanzia innovativa di Internet, e nessuno sapeva davvero come funzionassero le cose. Sicuramente, sosterrai, nessuno si innamora più delle e-mail di phishing.

Le statistiche vorrebbero dissentire. In primo luogo, le e-mail di phishing vengono ancora inviate in numeri improbabili. Secondo SecureList di proprietà di Kaspersky, le e-mail di phishing e spam hanno rappresentato il 54,2% di tutte le e-mail inviate nel terzo trimestre del 2015. Questo è stato un leggero calo rispetto al trimestre precedente, ma è ancora una quantità notevole di messaggi.

Q3 2015, la percentuale di #spam nel traffico email ha rappresentato il 54,2% #KLreport#infosechttps://t.co/nKGjX6CH3Npic.twitter.com/Sxs0wM7my7

— Kaspersky Lab (@kaspersky) 12 novembre 2015

La principale fonte di e-mail di phishing sono gli Stati Uniti, seguiti da vicino da Vietnam, Cina e Russia. È interessante notare che il paese con il maggior numero di utenti colpiti dal phishing è il Brasile, seguito da Giappone, Cina e Vietnam. Né gli Stati Uniti, né nessun altro paese occidentale sviluppato, se è per questo, sono tra i primi dieci.

Ma mentre il tasso di e-mail dannose e spam complessive è leggermente diminuito, il numero di e-mail di phishing è aumentato vertiginosamente. Secondo Symantec, la percentuale di email di phishing è aumentata a gennaio 2015 da una su 1.517 a una su 1.004.

L'anti-spam sta diventando più intelligente, ma lo sono anche le email di phishing

Negli anni '90 e 2000, il software anti-spam era poco sofisticato e a malapena adatto allo scopo. Molti programmi non facevano altro che cercare parole chiave, come "viagra", e cestinare qualsiasi e-mail che le conteneva. Spammer e phisher li hanno aggirati digitando intenzionalmente in modo errato le parole presenti nell'elenco delle parole chiave. Quindi, "viagra" è diventato "v1agra", che poi è diventato "v1agr4" e quindi "v1a8r4". Hai l'idea.

Alcuni sono diventati ancora più creativi e hanno iniziato a nascondere le parole tra immagini e tabelle appositamente colorate.

Il risultato finale è stato che gli utenti erano letteralmente allagato con spam e attacchi di phishing. Ma le cose sono cambiate verso la fine degli anni 2000, quando l'anti-spam è diventato finalmente intelligente. Computer più veloci significavano che i servizi di posta elettronica online, come Gmail e Outlook, potevano essere complicati calcoli in tempo reale, che determinavano se un'e-mail sarebbe stata inviata alla casella di posta dell'utente o al cartella dello spam.

Piuttosto che cercare solo parole chiave, i filtri antispam hanno iniziato a guardare cose come l'origine del messaggio e-mail e il comportamento di altri utenti nei confronti di e-mail di natura simile.

Gli spammer non si sono arresi. Infatti, secondo Securelist, stanno diventando ancora più intelligenti, e sta diventando ancora più difficile individuare un'e-mail di phishing Come individuare un'e-mail di phishingCatturare un'e-mail di phishing è difficile! I truffatori si spacciano per PayPal o Amazon, cercando di rubare la tua password e le informazioni sulla carta di credito, il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode. Per saperne di più .

Una delle cose che Securelist ha notato nel suo rapporto è che gli spammer spesso adottano un approccio stagionale allo spam e al phishing. Durante l'estate, ha notato che il numero di e-mail di phishing a tema viaggi è aumentato vertiginosamente.

“A luglio, i truffatori hanno cercato di ingannare gli utenti inviando notifiche false per conto degli hotel. Il messaggio ringraziava i destinatari per aver soggiornato nel loro hotel e chiedeva loro di prendere visione della fattura allegata. L'archivio allegato conteneva in realtà Trojan-Downloader. Win32.Upatre.dhwi, che a sua volta scaricava ed eseguiva Trojan-Banker. Win32.Dyre (visto come 98. ***. **. 39/cv17.rar) facendo clic sui collegamenti scritti nel corpo del downloader."

Una tattica utilizzata per aggirare i programmi anti-spam è mettere tutto in un file PDF, che l'utente dovrebbe aprire. Questo è efficace perché è notevolmente difficile "leggere" a livello di codice un file PDF.

phishing PDF
hXXp://dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ

— Jaromir Horejsi (@JaromirHorejsi) 18 gennaio 2016

Quando i filtri anti-spam sono stati all'altezza di questo trucco, gli spammer hanno iniziato a utilizzare oggetti mediabox nei file PDF allegati, elementi nei documenti PDF che vengono aperti con un clic del mouse. Possono essere utilizzati per reindirizzare l'utente a siti Web di phishing.

Un trampolino di phishing: incorporare reindirizzamenti nei documenti PDF http://t.co/E7lPSiB4q5pic.twitter.com/BU97TpD1TK

— Mohtashim Nomani (@mohtashim712) 18 settembre 2015

Questo gioco del gatto col topo non accenna a finire, con un chiaro vincitore. In effetti, la guerra potrebbe intensificarsi.

I servizi legittimi personalizzano le loro e-mail, ma anche gli aggressori

Al fine di proteggere i propri utenti dalle e-mail di phishing, i servizi online, in particolare i servizi bancari online, hanno iniziato a personalizzare le proprie e-mail con un piccolo "token" unico per l'utente. Una delle banche che utilizzo include le ultime tre cifre del mio numero di conto su tutta la corrispondenza elettronica. Un altro mette i primi tre caratteri del mio codice postale in cima a tutte le email.

Questo è qualcosa che dovresti sempre cercare.

È interessante notare che gli aggressori hanno anche iniziato a personalizzare le proprie e-mail per essere più efficaci. Una cosa che ho notato è che alcune e-mail di phishing hanno iniziato a prendere la prima parte di un indirizzo e-mail (tutto prima della "@") e a inserirla nel saluto. La mia email di lavoro è "[email protected]", quindi queste email inizieranno con "Dear mhughes".

Messaggi di testo: la prossima frontiera del phishing

I servizi online che utilizziamo vengono sempre più collegati ai nostri dispositivi mobili. Alcuni servizi richiedono il tuo numero di telefono in ordine per impostare l'autenticazione a due fattori Che cos'è l'autenticazione a due fattori e perché dovresti usarlaL'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due modi diversi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio il pagamento con carta di credito non richiede solo la carta,... Per saperne di più . Altri lo richiedono per condividere informazioni con te.

I siti non proteggono i numeri di cellulare nel modo in cui fanno le password. Il motivo è quando tu hash-and-salt una password Ogni sito web sicuro lo fa con la tua passwordTi sei mai chiesto come fanno i siti web a proteggere la tua password dalle violazioni dei dati? Per saperne di più , diventa impossibile da leggere. Affinché i siti possano inviare messaggi o chiamare un numero, devono mantenerlo non protetto.

Questo fatto, unito a servizi di messaggistica di testo estremamente economici (completamente legittimi) come Twilio, Nexmo e Plivo, (di cui le persone sono meno sospettose), significa che gli aggressori si affidano sempre più agli SMS come attacco vettore.

Questo tipo di attacco ha un nome: smishing, mentre il phishing vocale si chiama vishing Nuove tecniche di phishing di cui essere a conoscenza: Vishing e SmishingVishing e smishing sono nuove pericolose varianti di phishing. Cosa dovresti cercare? Come saprai un tentativo di vishing o smishing quando arriva? Ed è probabile che tu sia un bersaglio? Per saperne di più .

Diventa sospettoso

Se non sai se sei nella discarica di Tumblr, puoi scoprirlo andando da Troy Hunt's Sono stato pwned?.

Se lo sei, è una buona idea reimpostare le password e impostare l'autenticazione a due fattori su tutti i tuoi account. Ma soprattutto, dovresti portare il tuo misuratore di sospetti a undici. Non ho dubbi che gli utenti interessati vedranno un aumento delle e-mail di spam e phishing nelle prossime settimane. Sembreranno convincenti. Per stare al sicuro, gli utenti di Tumblr devono iniziare a trattare qualsiasi email in entrata con una buona dose di scetticismo.

Sei stato coinvolto nella perdita? Hai ricevuto email sospette? Fammi sapere nei commenti qui sotto.

Crediti fotografici: Bitmap della tabella HTML (Niels Heidenreich)