Il tracking pixel al servizio dei cybercriminali

I cybercriminali tendono a fare un minuzioso lavoro di preparazione per portare a termine i cosiddetti attacchi Business E-mail Compromise (BEC). Quando si spacciano per persone autorizzate a trasferire fondi o a inviare informazioni riservate, i loro messaggi devono apparire plausibili e i dettagli sono importanti.

Di recente abbiamo messo le mani su un interessante esempio di e-mail inviata a un dipendente di un’azienda nel tentativo di avviare una conversazione.

Il testo è abbastanza corto e asettico per il tipo di e-mail in questione. Il cybercriminale chiarisce che il mittente è in riunione, quindi non è possibile raggiungerlo con altri mezzi. Lo fa per dissuadere il destinatario dal verificare se il mittente corrisponde effettivamente alla persona il cui nome appare nella firma. Dato che criminali informatici non hanno cercato di nascondere il fatto che l’e-mail sia stata inviata da un servizio pubblico di posta elettronica, essi sapevano che la persona che stavano imitando utilizzava il servizio o si aspettavano che fosse normale che l’azienda utilizzasse e-mail di terze parti per la corrispondenza commerciale.

Qualcos’altro ha però attirato la nostra attenzione: la firma “Inviato dal mio iPhone”. Questa firma è l’impostazione predefinita di iOS Mail per i messaggi in uscita, ma gli header tecnici suggeriscono che il messaggio è stato inviato attraverso l’interfaccia Web, e in particolare dal browser Mozilla.

Perché i cybercriminali hanno cercato di far sembrare che l’e-mail fosse stata inviata da uno smartphone Apple? La firma automatica potrebbe essere stata aggiunta per far apparire il messaggio autentico. Ma non è il più elegante dei trucchi. Gli attacchi BEC sembrano provenire per lo più da un collega e ci sono buone probabilità che in questo caso il destinatario sappia che tipo di dispositivo utilizza di solito.

Quindi, i cybercriminali dovevano sapere cosa stavano facendo. Ma come? In realtà, non è difficile. Basta una ricerca con un cosiddetto tracking pixel, noto anche come web beacon.

Che cos’è un tracking pixel e perché viene utilizzato

Di norma, le aziende che inviano e-mail in massa a clienti, partner o lettori (quasi tutte le aziende, in realtà) vogliono conoscere il livello di successo (engagement) raggiunto. In teoria, la posta elettronica ha un’opzione integrata per l’invio delle ricevute di lettura, ma i destinatari devono acconsentire al suo utilizzo, cosa che la maggior parte delle persone non fa. Così, gli esperti di marketing hanno ideato il tracking pixel.

Un tracking pixel è un’immagine minuscola. Essendo grande come un pixel, è invisibile all’occhio umano e risiede in un sito web; quando un’applicazione client di posta elettronica richiede l’immagine, il mittente che controlla il sito riceve la conferma che il messaggio è stato aperto, nonché l’indirizzo IP del dispositivo, l’ora in cui l’e-mail è stata aperta e le informazioni sul programma che è stato utilizzato per aprirla. Avete mai notato che il vostro client di posta elettronica non visualizza le immagini finché non cliccate un link per scaricarle? Questo non per aumentare le prestazioni o limitare il traffico; infatti, i download automatici delle immagini sono di solito disattivati di default per motivi di sicurezza.

Come può un criminale informatico trarre vantaggio da un tracking pixel?

Ecco uno dei possibili scenari: durante un viaggio all’estero, nella casella di posta elettronica di lavoro ricevete un messaggio che sembra rilevante per la vostra attività. Non appena vi rendete conto che si tratta solo di una pubblicità indesiderata, lo chiudete e lo cestinate, ma nel frattempo l’aggressore scopre se:

• Siete in un altro paese, in base al vostro indirizzo IP. Questo significa che il contatto personale con i colleghi è difficile. Siete i candidati perfetti per i cybercriminali, che possono così spacciarsi per voi;
• State usando un iPhone (avete aperto il messaggio con l’app Mail per iOS), quindi l’aggiunta della firma “Inviato dal mio iPhone” darà credibilità all’email falsa;
• Avete letto l’e-mail alle 11 del mattino. Un dato che, preso da solo non è importante, ma se aprite regolarmente i messaggi, i cybercriminali saranno in grado di capire il vostro programma e di sferrare un attacco in coincidenza con un arco di tempo in cui avete la tendenza a non essere disponibili.

Come difendersi?

Proteggersi dal tracking è difficile. Ciò non significa, però, che si debba rendere più facile la vita dei cybercriminali. Vi suggeriamo di seguire questi consigli:

• Se il vostro client di posta elettronica vi dice “Clicca qui per scaricare le immagini”, significa che il contenuto è stato bloccato per motivi di privacy. Pensateci bene prima di accettare. L’e-mail può sembrare “brutta” senza immagini, ma dando il vostro consenso al download, fornite informazioni a sconosciuti che riguardano voi stessi e il vostro dispositivo;
• Non aprite le e-mail che finiscono nella cartella spam. I moderni filtri antispam hanno un livello di precisione estremamente elevato, soprattutto se il vostro server di posta elettronica è protetto dalla nostra tecnologia;
• Fate attenzione agli invii B2B in massa. Una cosa è quando vi registrate deliberatamente per ricevere gli aggiornamenti di un’azienda, un’altra (e piuttosto diversa) è quando un’e-mail proviene da un’azienda sconosciuta, per ragioni sconosciute. In quest’ultimo caso, meglio non aprire il messaggio;
• Utilizzate soluzioni robuste con tecnologie avanzate antispam e antiphishing per proteggere la posta elettronica aziendale.

Sia Kaspersky Total Security for Business (Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server e Kaspersky Secure Mail Gateway), sia Kaspersky Security for Microsoft Office 365 includono la nostra tecnologia antispam e antiphishing.