Gli attacchi di phishing diventano più subdoli con gli Open Redirects

Gli attacchi di phishing diventano più subdoli con gli Open Redirects

Il phishing, messaggi fraudolenti destinati a ingannare un destinatario a rivelare dati sensibili o installare malware, è stato il tipo più comune di crimine informatico nel 2020. Ci sono stati 241.324 incidenti di phishing segnalati all’FBI nel 2020, quasi il doppio del numero segnalato nel 2019. Questa cifra sarà probabilmente più alta nel 2021, dato che a metà anno il volume era del 22% più alto rispetto allo stesso periodo dell’anno precedente. Secondo il Data Breach Investigations Report di Verizon per il 2021, il 43% delle violazioni di dati ha coinvolto il phishing.

Gli utenti istruiti sono generalmente considerati la prima linea di difesa contro il phishing. La maggior parte degli utenti ormai ha avuto una formazione di base su come proteggersi dagli attacchi di phishing – sanno di non cliccare su link sospetti – almeno teoricamente. Infatti, il 65% delle organizzazioni che sono state colpite dal phishing avevano condotto una formazione anti-phishing.

Passare il mouse sopra i link per vedere se l’URL reale va al sito previsto è una tecnica di base per evitare i link dannosi. Questo è esattamente il motivo per cui i criminali informatici stanno sfruttando sempre più gli ” open redirects ” – utilizzando un URL che sembra collegare a un sito legittimo, ma reindirizza in modo subdolo il traffico a un sito dannoso.

Cos’è un open redirect?

I reindirizzamenti sono molto comuni e molto utili. Per esempio, se inserisci un URL di un particolare estratto conto bancario, il server della banca ti reindirizzerà alla pagina di login, e una volta che hai fatto il login, ti reindirizzerà automaticamente alla pagina che hai richiesto inizialmente. I reindirizzamenti sono spesso usati per ragioni tecniche, come quando un sito viene spostato su un nuovo dominio, o se le pagine del sito vengono cambiate o i siti web riorganizzati e il proprietario non vuole perdere il posizionamento nei motori di ricerca.

I reindirizzamenti sono anche usati per scopi di marketing; alcune aziende hanno più nomi di dominio per lo stesso contenuto e usano i reindirizzamenti per spostare il traffico verso il sito principale. I reindirizzamenti sono anche usati per scopi di monitoraggio degli annunci: Un annuncio specifico può contenere un URL unico che viene reindirizzato alla pagina appropriata, così è possibile valutare quanto sia efficace ogni annuncio nel generare traffico verso il loro sito.

Gli “open redirects ” indicano che un sito web non pone restrizioni sui reindirizzamenti. Questa è una pratica pericolosa che i webmaster esperti dovrebbero sapere. I siti web dovrebbero essere configurati per impedire i reindirizzamenti ad altri siti o richiedere che i reindirizzamenti esterni siano “allow listed”. Ma non tutti i webmaster sono sufficientemente informati o attenti, e gli hacker cercano di sfruttare questi siti.

Quando si utilizza un open redirect, un hacker incorpora l’URL di un sito web legittimo come link in una e-mail di phishing. La natura legittima del link è ciò che un utente attento alla sicurezza noterà – e ciò che lo rassicura che il clic è sicuro. Seppellito in quel link, tuttavia, c’è del codice che reindirizza il clic a un diverso sito web dannoso.

Come vengono sfruttati gli open redirects?

Microsoft ha recentemente pubblicato un report riguardante una diffusa campagna di phishing che combina l’ingegneria sociale “esca” con link  di open redirects per ottenere l’accesso alle credenziali degli utenti.

Il modo in cui funziona è questo: Un utente riceve un’e-mail di phishing. Se clicca sul link, viene prima portato – reindirizzato, cioè – a una pagina di phishing che mostra una verifica reCAPTCHA, che aiuta a fargli credere che stanno accedendo a un vero sito sicuro.  Poi riceve un falso messaggio di errore che chiede all’utente di reinserire le password. I ladri ora hanno le credenziali di accesso dell’utente.

Proteggersi contro gli attacchi di phishing Open Redirect

Il report di Microsoft afferma,

Le minacce e-mail di oggi si basano su tre cose per essere efficaci: un’esca convincente di ingegneria sociale, una tecnica di evasione del sistema di rilevamento ben realizzata, e un’infrastruttura durevole per portare a termine un attacco. Questa campagna di phishing esemplifica la tempesta perfetta di questi elementi nel loro tentativo di rubare le credenziali e infine infiltrarsi in una rete. E dato che il 91% di tutti i cyberattacchi hanno origine con le e-mail, le organizzazioni devono quindi avere una soluzione di sicurezza che fornisca loro una difesa multistrato contro questi tipi di attacchi.

Non è mai stata una buona idea fare affidamento solo sulla formazione degli utenti per proteggersi dagli attacchi di phishing. Molti studi hanno dimostrato che anche gli utenti addestrati cliccheranno su un’email di phishing sufficientemente sofisticata.

Remote Browser Isolation (RBI) è il modo migliore per proteggersi dagli attacchi di phishing, indipendentemente dai meccanismi che utilizzano – allegati infetti da malware, link dannosi o siti per il furto di credenziali. Con RBI i siti web vengono aperti in browser virtuali in contenitori remoti nel cloud. Solo i dati sicuri vengono trasmessi al browser sul dispositivo dell’utente: Qualsiasi malware sul sito web non raggiunge mai l’endpoint.

Soluzioni come Ericom RBI integrano il Content Disarm & Reconstruct, che analizza gli allegati all’interno del container remoto, eliminando il malware prima di consentire il download dei file con funzionalità native intatte. In base ai dati della Threat Intelligence Network di Ericom, i siti a rischio noti e quelli nuovi, sospetti o non categorizzati vengono aperti in modalità di sola lettura, impedendo agli utenti di inserire le credenziali nei siti di phishing, come quelli utilizzati per aprire campagne con reindirizzamento.

Fonte: Ericom Software