Nel 2024, gli attacchi phishing continuano a rappresentare una delle minacce più insidiose nel panorama della sicurezza informatica. Con tecniche sempre più sofisticate e strumenti avanzati, i cybercriminali riescono a ingannare utenti e aziende, tramite email, SMS, QR Code ingannevoli, sottraendo informazioni sensibili e causando danni significativi.
Riconoscerli per contrastarli, questa una delle strategie per proteggere le infrastrutture. Di seguito, un’analisi tecnica dei principali strumenti di phishing utilizzati nel 2024 e le raccomandazioni per proteggere le organizzazioni da tali attacchi.
Phishing: gli strumenti più diffusi nel 2024
1. Social Engineer Toolkit (SET)
Questa suite in Python offre una vasta gamma di attacchi di ingegneria sociale, inclusi quelli di phishing con pagine web clonate. Utilizza tecniche di spoofing e manipolazione del comportamento umano per creare pagine di login false simili a quelle legittime. Gli attacchi possono essere condotti via email o attraverso il browser web.
2. SocialFish
Un tool open-source di phishing che permette la creazione di pagine web false per la raccolta delle credenziali. Scritto in Python, il tool è spesso utilizzato per attacchi mirati di spear-phishing e include funzionalità come il monitoraggio in tempo reale delle vittime. Una volta creata una pagina di phishing, SocialFish invia le credenziali rubate direttamente al server dell’attaccante.
3. Evilginx2
Un avanzato strumento di phishing basato su attacchi di man-in-the-middle (MitM). Invece di clonare semplicemente una pagina di login, Evilginx2 intercetta le comunicazioni tra l’utente e il server legittimo, raccogliendo token di sessione, password e informazioni di autenticazione. Questo consente all’attaccante di bypassare anche l’autenticazione a due fattori (2FA).
4. I-See-You
Uno strumento di phishing che combina tecniche di social engineering con il tracciamento della posizione della vittima. Utilizzando una semplice interfaccia basata su URL, l’attaccante può ottenere la posizione geografica in tempo reale di una vittima che clicca su un link specifico. Questo strumento può essere usato per preparare attacchi più mirati.
5. SayCheese
SayCheese è un tool di phishing che sfrutta vulnerabilità nei browser per accedere alla fotocamera della vittima senza il suo consenso. L’attaccante invia un link e, se la vittima lo apre, lo strumento cattura immagini dalla fotocamera del dispositivo, sfruttando permessi non sicuri.
6. OhMyQR
OhMyQR è uno strumento che genera codici QR per eseguire attacchi di phishing. Spesso usato in combinazione con altri strumenti, come SocialFish, OhMyQR permette di nascondere URL di phishing all’interno di codici QR. Quando la vittima scansiona il codice, viene reindirizzata a una pagina fraudolenta.
Raccomandazioni
Per mitigare il rischio degli attacchi di phishing nel 2024, è fondamentale adottare un approccio di sicurezza multilivello, che comprenda le seguenti misure:
- Dotarsi di sistemi di monitoraggio e risposta H24: i sistemi MDR monitorano l’intera infrastruttura IT aziendale 24 ore su 24 rilevando attività sospette e rispondendo agli attacchi in tempo reale.
- Autenticazione a più fattori (MFA): implementare MFA su tutti i sistemi critici per ridurre la possibilità che le credenziali rubate siano sufficienti per accedere.
- Educazione dei dipendenti: formare regolarmente i dipendenti su come riconoscere e segnalare e-mail e link sospetti, incluse le pagine di login fasulle e i codici QR malevoli.
- Protezione delle connessioni web: garantire che tutti i siti web aziendali utilizzino HTTPS e che le soluzioni di sicurezza, come firewall e intrusion detection systems (IDS), siano aggiornate per rilevare e bloccare attacchi noti.
- Monitoraggio delle sessioni di accesso: verificare regolarmente i log per rilevare attività sospette, come accessi da località insolite o tentativi di phishing relay.
- Uso di hardware di autenticazione: implementare l’autenticazione basata su hardware, come token di sicurezza, per proteggere le sessioni e prevenire attacchi di tipo man-in-the-middle (MitM).
- Bloccare accessi non autorizzati ai dispositivi: rafforzare la sicurezza dei dispositivi, limitando l’accesso a funzionalità hardware sensibili come fotocamere e geolocalizzazione.
Monitoraggio e risposta: la chiave per non abboccare
L’uso di questi strumenti avanzati da parte degli attaccanti richiede una strategia di sicurezza multilivello, che combini tecnologie di prevenzione, rilevamento e risposta. È essenziale mettere al sicuro l’intera infrastruttura con sistemi di monitoraggio e risposta H24 come l’MDR, implementare soluzioni di autenticazione forte, educare gli utenti sui rischi del phishing e analizzare continuamente le reti per rilevare attività sospette.
Solo con un processo proattivo è possibile mitigare i rischi associati agli attacchi di phishing.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO