Brand phishing: Mentre gli attacchi di phishing continuano a diventare sempre più sofisticati, è possibile, attraverso la tecnologia anti-phishing basata sull’AI di Ermes, raccogliere dati e insights su tali attacchi.
In questo articolo Ermes propone diverse osservazioni e approfondimenti sulle categorie e sui brand che più frequentemente diventano il bersaglio di campagne di phishing.
Sempre nell’articolo verranno analizzate diverse campagne di phishing che coinvolgono aziende come Leon Bet, un sito di gioco molto popolare; Servizi aziendali, come Microsoft; e il settore bancario.
La ricerca di Ermes sulle categorie e I brand più sfruttati dai cyber criminali
Ermes monitora e analizza regolarmente le tendenze emergenti utilizzate dai cyber attaccanti per progettare e implementare campagne di phishing sofisticate.
Vengono quindi condivisi importanti approfondimenti riguardanti i marchi e le categorie merceologiche più sfruttate dai cyber criminali (le periodo 2021-2022) per aiutare le organizzazioni a rimanere sempre informati e vigili sui nuovi trend.
Queste analisi, nonché I risultati delle nostre recenti osservazioni di campagne di phishing, vengono ulteriormente approfonditi all’interno del nostro ultimo white paper ” Emerging Trends and Sophisticated Techniques Used By Attackers During 2021-2022″.
Brand phishing: Le categorie più sfruttate dai cyber criminali
I ricercatori di Ermes si sono concentrati sull’analisi delle categorie web e merceologiche (ad esempio, “Banking”) più targettizzate dagli aggressori.
Questo è stato possibile utilizzando un set di dati di circa 66.000 URL di phishing, per i quali abbiamo anche ottenuto le categorie e i marchi mirati degli aggressori, combinandolo con un sottoinsieme di 900 diverse categorie/ brand occidentali.
Il grafico seguente mostra le categorie che vengono maggiormente sfruttate per ciascuno dei primi sei mesi del 2022 e il totale di sei mesi per il 2022 (vedi barre rosa).
Come si può osservare dal grafico, le quattro categorie più sfruttate dai cyber criminali (in ordine) sono state:
- Gioco d’azzardo (ad esempio, Bet365)
- Produttività (ad esempio, siti Web Microsoft)
- Acquisti online (Amazon, Shopify, ecc.)
- Bancario
Mentre l’ordine delle categorie più mirate sembra essere abbastanza scontato, soprattutto dato il ritorno strategico ed economico che offrono un attaccante, è stato invece sorprendente vedere come il gioco d’azzardo sia risultata essere la categoria più colpita.
Anche se sorprendente, è ancora relativamente facile da comprenderne il motivo. Infatti, la pandemia ha contribuito drammaticamente a un aumento dei ricavi per il mercato del gioco d’azzardo negli ultimi tre anni.
Quindi, dato che gli aggressori seguono i soldi, ci aspettiamo che i siti di gioco e scommesse sportive continueranno ad attirare l’interesse degli aggressori per almeno i prossimi mesi a venire.
Abbiamo anche osservato un picco nel numero di URL di phishing nella categoria Gioco d’azzardo per i primi due mesi del 2022. Questi picchi sono stati causati da una massiccia campagna di phishing che ha preso di mira Leon Bet, una delle piattaforme di scommesse sportive più popolari sul web.
Inoltre, abbiamo notato che il numero di siti di phishing per ogni categoria (Gioco d’azzardo escluso) è aumentato nel tempo.
Ad esempio, i siti Web di phishing che si rivolgono ai marchi nelle categorie “Produttività e Shopping online” sono più che raddoppiati nei primi due trimestri del 2022. Questo è completamente in linea con le tendenze crescenti globali del phishing.
Brand phishing: I più sfruttati dai cyber criminali
Utilizzando lo stesso set di dati, abbiamo analizzato i brand specifici presi di mira dagli aggressori.
Come ci si poteva aspettare, il sito di gioco Leon Bet è stato il marchio più mirato a gennaio e febbraio 2022.
Per acquisire una maggiore comprensione delle attuali tendenze di phishing, abbiamo esaminato e analizzato i nostri dati per fornire alcuni dettagli relativi a tre importanti campagne di phishing, che vedremo più avanti nell’articolo.
Leon Bet, insieme con l’altro grande sito di gioco d’azzardo Bet365 (che si è classificato terzo nei marchi più presi di mira), sono stati in gran parte responsabili per rendere il gioco d’azzardo la categoria più attaccata.
A seguire Leon Bet erano siti web appartenenti a prodotti aziendali Microsoft. Questi siti web inclusi SharePoint, OneDrive, Microsoft365, e così via.
Abbiamo anche osservato URL di phishing che hanno preso di mira diversi prodotti Apple con per lo più pagine di accesso iCloud. E ‘anche interessante che I ricercatori Ermes abbiamo classificato GitHub come uno dei marchi più sfruttati.
Crediamo che GitHub e altre piattaforme di code-sharing potrebbero attrarre cattivi attori interessati ad attuare attacchi più complessi che coinvolgono fornitori di software.
Ulteriori insights sulle campagne di Brand phishing
Per acquisire una maggiore comprensione delle attuali tendenze di phishing, abbiamo esaminato e analizzato i nostri dati per fornire alcuni dettagli relativi a tre importanti campagne di phishing.
LEON BET
Quando valutiamo le campagne Leon Bet, osserviamo più di 25.000 diversi URL di phishing. La stragrande maggioranza di questi sono stati strutturati con 7 a 8 numeri seguiti da “.win” e TLD “.vip” (ad esempio, 9997798[.]vip, 9999961[.]win).
Tutti questi domini erano stati registrati con il registrar Namecheap Inc. Le informazioni fornite dal registrar indicavano che questi domini avevano sede in Islanda, ma questo è quasi certamente falso.
MICROSOFT
Nella nostra analisi, abbiamo identificato circa 4.000 URL di phishing servizi di targeting da Microsoft. In questo caso, non abbiamo osservato campagne con attributi distintivi univoci. Infatti, i domini di phishing sono stati distribuiti tra diversi registrar.
Anche in questo caso le pagine di phishing hanno presentato diverse caratteristiche che erano difficili da raggruppare insieme. Ciò significa che Microsoft potrebbe essere un bersaglio di micro-phishing campagne che coinvolgono un paio di domini spot, dal momento che sono stati forse mirati vittime specifiche.
Per esempio, i domini osservati in questo raggruppamento includevano microsoftupdate[. ]cf, microsoft-remont-nn[. ]ru/, e login-microsoft.commonosft[. ]com.
BANCARIO
Abbiamo trovato 2.800 diversi URL di phishing rivolti a banche e istituti finanziari. Le 20 banche più mirate da phisher in tutto il mondo sono mostrati nel grafico qui sotto. La distribuzione si allinea con la popolarità delle banche che abbiamo recensito nei marchi più presi di mira.
Il rilevamento precoce è la chiave
Il rilevamento rapido delle minacce di phishing è la chiave per contrastare gli aggressori prima che riescano a raggiungere i loro intenti malevoli. Questo è particolarmente vero perché molte pagine di phishing sono altamente mirate e progettate per essere smantellate non appena hanno raggiunto il loro obiettivo.
In questo momento, le cosiddette “golden hours” delle pagine di phishing, ovvero il tempo tra la visita della prima vittima e il momento in cui i sistemi anti-phishing rilevano l’attacco, è attualmente di circa 9 ore.
Inoltre, il lasso di tempo tra la prima visita della vittima alla pagina e l’ultima visita della vittima è di circa 21 ore.
In generale, la soluzione sviluppata da Ermes è molto più veloce dei suoi diretti concorrenti nel rilevare gli URL di phishing. Questo può essere visto a Ermes Live Report, dove riportiamo un esempio di pagine di phishing appena scoperte che non implementano alcun cloaking, rendendo facile il controllo delle informazioni correlate.
All’interno della pagina dedicata, per ogni URL di phishing elencato, riportiamo il momento in cui è stato scoperto (e bloccato) da Ermes. Indichiamo anche l’ora in cui è stato scoperto da altri
concorrenti (se presenti). Insieme a questo, mostriamo il momento in cui la pagina di phishing o l’intero dominio è stato abbattuto dalla piattaforma di hosting o provider DNS.
Analizzando il nostro set di dati costituito da centinaia di URL di phishing, abbiamo osservato un ritardo di rilevamento tra i nostri concorrenti in media 12,3 ore. Inoltre, il 30% di questi URL di phishing sono stati rilevati dai nostri concorrenti più di 16 ore dopo la scoperta da Ermes. Per chiarezza, un ritardo di rilevamento è l’intervallo di tempo tra il rilevamento di Ermes di un URL di phishing e il rilevamento da parte di un concorrente.
Scrivi un commento