Phishing Svelato: I Pericoli Nascosti delle Truffe via Email
Scopri come gli attacchi di phishing sfruttano le reti fidate per rubare informazioni.
Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
― 8 leggere min
Indice
- Perché il Phishing è un Problema
- Il Lato Oscuro delle Reti Email
- Come Vengono Conseguiti gli Email di Phishing
- Il Dataset: Un'Analisi Approfondita
- Il Potere delle Intestazioni Email
- Quante Email di Phishing Riuscire a Passare?
- Paesaggio in Evoluzione del Phishing
- Servizi di Filtraggio Email: Aiutano Davvero?
- Uno Sguardo Più da Vicino all'Infrastruttura degli Attaccanti
- Identificare le Campagne di Phishing
- La Sfida dell'Autenticazione Email
- Il Ruolo dei Servizi di Hosting
- Distribuzione Geografica delle Email di Phishing
- Studi di Caso sul Comportamento di Phishing
- Nuove Strategie per la Rilevazione del Phishing
- Risultati del Mondo Reale del Nuovo Approccio
- Conclusioni e Punti Chiave
- Fonte originale
- Link di riferimento
Il Phishing è un tipo di truffa online dove gli attaccanti inviano email fraudolente per ingannare le persone e far loro rivelare informazioni personali. Pensa a questo come a un pescatore che lancia la lenza per prendere pesci, ma invece cercano di prendere i tuoi dati sensibili. Queste email spesso sembrano provenire da fonti affidabili e di solito contengono link a siti fasulli che sembrano legittimi.
Perché il Phishing è un Problema
Gli attacchi di phishing sono una minaccia significativa per le organizzazioni, costando miliardi di dollari. Possono interrompere le operazioni, rubare informazioni sensibili e persino minacciare la sicurezza nazionale. Nell'era online di oggi, dove le email sono una forma principale di comunicazione, è fondamentale essere consapevoli delle tattiche usate dai truffatori e come proteggere te stesso e la tua organizzazione.
Il Lato Oscuro delle Reti Email
Anche se spesso pensiamo a compagnie rispettabili come Microsoft e Amazon come posti sicuri per inviare e ricevere email, è sorprendente sapere che un volume significativo di email di phishing proviene dai loro server. Immagina di scoprire che il tuo negozio di alimentari di fiducia sta servendo frutta marcia-è scioccante!
Gli attaccanti di solito non inviano email direttamente da server sospetti. Preferiscono usare questi servizi famosi perché hanno maggiori possibilità di superare i filtri. Così, anche se la maggior parte delle email di queste aziende è innocua, una fetta di email di phishing riesce a infilarsi.
Come Vengono Conseguiti gli Email di Phishing
Ogni email viaggia attraverso una serie di server prima di raggiungere la sua destinazione-come un camion di consegne che fa fermate lungo il percorso. Ogni server aggiunge un record del suo viaggio nell'intestazione dell'email, che contiene informazioni su da dove proviene l'email.
Quando un'email viene inviata, passa attraverso questi server, ognuno dei quali aggiunge intestazioni "Ricevute" per mostrare il percorso dell'email. Se un'email passa attraverso molti server prima di arrivare a te, potrebbe essere un campanello d'allarme. Pensala come a un pacco che fa troppe deviazioni-potrebbe essere sospetto!
Il Dataset: Un'Analisi Approfondita
Per capire come operano le email di phishing, i ricercatori hanno analizzato un enorme dataset per un anno intero. Questo dataset includeva miliardi di email e rivelava che un numero sorprendente di email di phishing origina da reti fidate. Oltre 800.000 email di phishing sono state tracciate, fornendo spunti preziosi sul comportamento di questi messaggi maligni.
Il Potere delle Intestazioni Email
Le intestazioni email sono come i certificati di nascita delle email-raccontano la storia di dove è venuta un'email e come è arrivata nella tua inbox. Esaminando queste intestazioni, i ricercatori possono categorizzare le reti che inviano email di phishing.
Sono emerse due categorie principali:
- Reti a Bassa Concentrazione di Phishing: Queste sono reti in cui la maggior parte delle email è legittima, ma una piccola parte proviene da tentativi di phishing.
- Reti ad Alta Concentrazione di Phishing: Queste reti inviano principalmente email di phishing con pochissimi messaggi legittimi mescolati.
È come scoprire che alcuni ristoranti servono solo cibo delizioso, mentre altri servono piatti che ti farebbero mettere in dubbio le tue scelte alimentari.
Quante Email di Phishing Riuscire a Passare?
Le organizzazioni spesso usano filtri, come liste di blocco statiche, per proteggersi dal phishing. Queste liste servono a bloccare mittenti dannosi noti, ma non sono infallibili. Infatti, molte email di phishing riescono ancora a passare oltre queste barriere. È come avere un guardiano alla porta d'ingresso che occasionalmente si addormenta durante il turno-alcuni truffatori riescono ancora a entrare!
Nonostante questi filtri, centinaia di migliaia di email di phishing sfuggono alla rilevazione. Questo perché i truffatori si adattano continuamente ai loro metodi. Gli indirizzi email e la proprietà dei server cambiano così frequentemente che le liste statiche diventano rapidamente obsolete.
Paesaggio in Evoluzione del Phishing
Il paesaggio del phishing è in continua evoluzione. Gli attaccanti spesso saltano da una Rete all'altra per evitare di essere catturati, come un ladro che cambia travestimento dopo ogni colpo. Questo rende difficile per le difese tradizionali tenere il passo con le tattiche in evoluzione usate dai truffatori.
I ricercatori miravano a capire meglio questi comportamenti in cambiamento. Studiando le reti che inviano email di phishing nel tempo, hanno scoperto che molte reti inviano email di phishing solo in brevi esplosioni. Questo suggerisce che le attuali misure di sicurezza potrebbero non essere sufficienti, e che sono necessari nuovi metodi più dinamici per combattere il phishing.
Servizi di Filtraggio Email: Aiutano Davvero?
Alcune organizzazioni impiegano servizi di filtraggio email che possono rilevare e bloccare i tentativi di phishing prima che raggiungano le inbox degli utenti. Tuttavia, si scopre che questi filtri non catturano tutto. In uno studio, il 75% delle organizzazioni che utilizzavano servizi di filtraggio email erano ancora vulnerabili agli attacchi di phishing. È come avere una serratura sulla porta d'ingresso ma lasciare la finestra completamente aperta!
Uno Sguardo Più da Vicino all'Infrastruttura degli Attaccanti
Anche se i fornitori di servizi email potrebbero sembrare affidabili, a volte ospitano servizi abusati dagli attaccanti. Queste reti possono essere catalogate in base a quanto phishing inviano e quanto sono stabili nel tempo.
Alcune reti rispettabili, come Amazon e Microsoft, sono sorprendentemente coinvolte nel phishing nonostante siano conosciute per i loro servizi legittimi. Gli attaccanti potrebbero utilizzare queste piattaforme per inviare email di phishing perché sanno che è meno probabile che vengano segnalate dai filtri di sicurezza.
Identificare le Campagne di Phishing
Non tutte le email di phishing sono create uguali. I ricercatori categorizzano le email di phishing in campagne basate sul mittente e sull'oggetto. Analizzando più campagne, possono vedere tendenze e identificare quali tattiche sono più efficaci per gli attaccanti.
I dati hanno rivelato che un numero ridotto di campagne contribuisce a un'ammontare significativo di email di phishing. Questo significa che, mentre ci sono migliaia di attaccanti, alcuni sono responsabili della maggior parte delle email fraudolente in circolazione su internet. È un po' come un gioco di Whac-A-Mole-non importa quante ne colpisci, alcune continueranno a riemergere!
La Sfida dell'Autenticazione Email
Esistono vari protocolli per autenticare i mittenti delle email e contrastare lo spoofing. Questi includono SPF, DKIM e DMARC. Tuttavia, molte email riescono ancora a passare nonostante non superino questi controlli. Il problema è che questi metodi di autenticazione non sono infallibili, spesso sono mal configurati o applicati in modo incoerente.
In realtà, meno della metà delle email pulite riesce a superare con successo la validazione DMARC. Questo basso tasso di successo evidenzia le sfide che le organizzazioni affrontano nel combattere il phishing tramite l'autenticazione da sola.
Il Ruolo dei Servizi di Hosting
Un numero significativo di email di phishing proviene da servizi di hosting cloud riconosciuti. Questo ha senso, poiché molti attaccanti sfruttano queste piattaforme per inviare email senza suscitare sospetti. Le organizzazioni devono capire quali passi possono essere presi per individuare attori negativi che sfruttano questi servizi-come un buttafuori che a volte fa entrare personaggi sospetti senza rendersene conto.
Distribuzione Geografica delle Email di Phishing
Quando i ricercatori hanno analizzato da dove provenivano le email di phishing, hanno scoperto che spesso provenivano da paesi noti per i loro servizi online. Paesi come gli Stati Uniti e il Regno Unito apparivano frequentemente come fonti di email pulite e di phishing.
È interessante notare che le email di phishing spesso viaggiavano attraverso più paesi rispetto alle email legittime. Il percorso che un'email compie può dire molto sulla sua credibilità. Se salta tra i paesi come un viaggiatore del mondo, potrebbe nascondere qualcosa.
Studi di Caso sul Comportamento di Phishing
Per illustrare il comportamento di phishing, i ricercatori hanno esaminato reti specifiche note per alte o basse concentrazioni di email di phishing. Ad esempio, alcuni indirizzi IP di fornitori noti, come Amazon e Microsoft, erano responsabili di un numero sorprendente di tentativi di phishing. In alcuni casi, hanno scoperto che queste email erano inviate utilizzando account compromessi.
Altre reti hanno dimostrato comportamenti esplosivi, inviando un gran volume di email di phishing in brevi esplosioni e poi scomparendo. Questo evidenzia la necessità di misure adattative che possano rispondere a questi cambiamenti improvvisi nei modelli di traffico email.
Nuove Strategie per la Rilevazione del Phishing
Con tutte queste conoscenze sulle reti di phishing e i loro comportamenti, i ricercatori hanno collaborato con aziende di sicurezza email per sviluppare un nuovo classificatore. Questo strumento mira ad adattarsi al paesaggio in continua evoluzione degli attacchi di phishing.
Invece di affidarsi esclusivamente a liste statiche, il nuovo sistema aggiorna costantemente la sua comprensione di quali reti stanno consegnando email di phishing. Utilizzando una finestra mobile per monitorare il traffico email, può migliorare i tassi di rilevazione e individuare attacchi di phishing precedentemente non rilevati.
Risultati del Mondo Reale del Nuovo Approccio
Quando il nuovo metodo di rilevazione è stato messo alla prova, ha identificato con successo il 3-5% in più di email di phishing rispetto ai metodi precedenti. Questo significa che avere un sistema che riconosce schemi in cambiamento può portare a una migliore protezione contro le truffe di phishing, il che fa piacere a tutti!
Conclusioni e Punti Chiave
In sintesi, il phishing rimane una minaccia significativa, con un numero sorprendente di attacchi che emerge da reti fidate. Molte email di phishing riescono a superare le difese tradizionali e gli attaccanti si adattano continuamente alle loro tattiche per rimanere un passo avanti.
Valutando come vengono consegnate le email e creando metodi di rilevazione adattabili, le organizzazioni possono rafforzare le loro difese contro gli attacchi di phishing. Quindi, la prossima volta che vedi un'email che chiede le tue informazioni personali, prenditi un momento per fermarti e considerare-potrebbe essere un furbo tentativo di phishing? Meglio essere cauti che dispiaciuti!
Titolo: Characterizing the Networks Sending Enterprise Phishing Emails
Estratto: Phishing attacks on enterprise employees present one of the most costly and potent threats to organizations. We explore an understudied facet of enterprise phishing attacks: the email relay infrastructure behind successfully delivered phishing emails. We draw on a dataset spanning one year across thousands of enterprises, billions of emails, and over 800,000 delivered phishing attacks. Our work sheds light on the network origins of phishing emails received by real-world enterprises, differences in email traffic we observe from networks sending phishing emails, and how these characteristics change over time. Surprisingly, we find that over one-third of the phishing email in our dataset originates from highly reputable networks, including Amazon and Microsoft. Their total volume of phishing email is consistently high across multiple months in our dataset, even though the overwhelming majority of email sent by these networks is benign. In contrast, we observe that a large portion of phishing emails originate from networks where the vast majority of emails they send are phishing, but their email traffic is not consistent over time. Taken together, our results explain why no singular defense strategy, such as static blocklists (which are commonly used in email security filters deployed by organizations in our dataset), is effective at blocking enterprise phishing. Based on our offline analysis, we partnered with a large email security company to deploy a classifier that uses dynamically updated network-based features. In a production environment over a period of 4.5 months, our new detector was able to identify 3-5% more enterprise email attacks that were previously undetected by the company's existing classifiers.
Autori: Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
Ultimo aggiornamento: Dec 16, 2024
Lingua: English
URL di origine: https://arxiv.org/abs/2412.12403
Fonte PDF: https://arxiv.org/pdf/2412.12403
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.