Quando il phishing si evolve, i criminali passano al malware

I truffatori iniziarono a vedere problemi seri con le loro truffe di phishing intorno ad aprile.

Fu allora che iniziarono a rendersi conto che un numero sempre maggiore di e-mail "phishing" erano bloccate. I ricercatori della sicurezza avevano trascorso l'anno precedente a studiare attentamente le reti botnet di computer infetti e stavano diventando abbastanza bravi a bloccare molti dei messaggi di posta elettronica fraudolenti che venivano inviati da questi sistemi.

Questo stava creando un problema per i phisher - truffatori online che creano siti Web fasulli e cercano di indurre le vittime a visitarle e rinunciando ai loro nomi utente e password. Con meno messaggi ricevuti, hanno dovuto inviare sempre più spam per gestire le loro truffe.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Entro agosto bande di phishing si sono trasferite su una nuova

Invece di chiedere alle persone di visitare un falso sito Web, sempre più phisher hanno iniziato a chiedere alle vittime di installare plug-in del browser o altri tipi di software. Per rimuoverlo, avrebbero inviato e-mail con software dannoso che dovrebbe essere un aggiornamento di sicurezza da una banca. A volte acquistano semplicemente del tempo su computer botnet infetti e installano il codice che ruba le credenziali bancarie da macchine che erano già state compromesse.

Gli attacchi che installano software dannoso sono più facili da avviare di quanto non siano mai stati e sono chiaramente in aumento, ha dichiarato Mickey Boodaei, CEO di Trusteer, una società di sicurezza che produce software di sicurezza desktop utilizzato dalle banche. "Stiamo assistendo a un chiaro passaggio dagli attacchi di phishing."

Non che qualcuno pensi che il phishing stia andando via. I numeri di attacco sono ancora in costante aumento, ma l'e-mail che include i phishing è triplicata nell'ultimo anno, dal momento che i phisher sono diventati tecnicamente più sofisticati con i loro attacchi, ha affermato Dave Jevans, presidente del gruppo di lavoro anti-phishing. "Queste non sono cose che rubano le tue password", ha detto. "Questi ti aggiungono alle botnet."

Alcuni di questi malware sono piuttosto sgradevoli. I phisher sfruttano la loro conoscenza dei siti Web bancari per creare codice personalizzato che viene eseguito all'interno del browser, rubando in silenzio le credenziali online, ha detto Boodai. "Stanno cercando di iniettare pagine HTML in sessioni con queste banche per rubare informazioni", ha detto.

All'inizio di questo mese, Trusteer ha introdotto uno strumento di ricerca in modo che le banche e gli operatori del sito Web possano cercare attraverso questo codice malevolo per vedere se i loro domini vengono presi di mira in questi attacchi.

I principali marchi finanziari come Lloyds, Citibank, PayPal e Bank of America rappresentano ancora la maggior parte degli attacchi di phishing, ma i phisher si sono orientati verso istituzioni finanziarie più piccole i cui utenti potrebbero non essere preparato per una finta e-mail. Hanno anche cercato vittime al di fuori degli Stati Uniti "Con le banche europee, è stato l'anno peggiore che abbiano mai avuto", ha detto Jevans.

E i phisher non si fermano al malware. Sono costantemente alla ricerca di nuove aree da colpire.

Negli ultimi due mesi Jevans ha anche visto i phisher sfidare aziende come FedEx e United Parcel Service con attacchi progettati per installare software dannoso sui computer. E, in uno sviluppo preoccupante, i phisher hanno preso di mira anche i registrar dei domini, sperando di rubare credenziali che potrebbero consentire loro di reindirizzare interi domini Internet ai loro server malevoli.

Alcuni esperti di sicurezza ritengono che un simile attacco di phishing possa aver dato accesso ai criminali all'inizio del mese, nel dominio Internet del servizio di pagamento online CheckFree. In quell'incidente, che è accaduto circa un mese dopo che i clienti dei registrar dei nomi di dominio sono stati colpiti da phisher, i clienti CheckFree sono stati reindirizzati su un sito Web che tentava di installare software dannoso.

I siti di social networking erano anche un obiettivo primario diversi mesi fa, anche se tali attacchi sono diminuiti "drammaticamente", come i siti Web hanno risposto al problema, secondo John Scarrow, direttore generale dei servizi di sicurezza di Microsoft. "C'è davvero un flusso e riflusso", ha detto.

Sebbene il passaggio al malware abbia reso il phishing più complicato per alcuni, ci sono anche molti nuovi arrivati, secondo Don Jackson, direttore delle informazioni sulle minacce con SecureWorks. "Non c'è carenza di istruzione, supporto e aiuto reciproco in termini di creazione di truffe."

Prendi Mr. Brain. Ritenuto un hacker marocchino, sviluppa kit di phishing gratuiti per i neofiti in modo che possano entrare rapidamente nel business. A detta di tutti, fa un ottimo lavoro, costruendo kit di phishing chiari per le banche che non sono ancora state attaccate. "È il principale fornitore di questi kit di phishing gratuiti", ha detto Jackson. "Sono gratuiti e in realtà sono abbastanza accessibili."

Mentre i suoi kit di phishing sono gratuiti, all'insaputa dei criminali dilettanti che li scaricano, arrivano con una presa. Tutti i dati di phishing registrati da questi siti Web falsi vengono automaticamente inviati anche a Mr. Brain. Così i phisher di Greenhorn finiscono per farsi scopare da soli.

Ma questo non li ferma. I profitti sono troppo buoni, e poiché i phisher possono colpire le vittime in paesi lontani, molti di loro operano come se fossero al di fuori della legge. E con phishing toolkit e acquirenti per le credenziali rubate facili da trovare, il phishing continua a disegnare una nuova generazione di criminali.

Per loro, il phishing è più facile che mai, ha dichiarato Sean Brady, senior manager di RSA Security. "Se potessi chiamarlo qualsiasi cosa, lo definirei un crimine per le merci".