{"id":22899,"date":"2020-09-25T15:17:25","date_gmt":"2020-09-25T13:17:25","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22899"},"modified":"2020-09-25T15:40:50","modified_gmt":"2020-09-25T13:40:50","slug":"delayed-phishing-countermeasures","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/delayed-phishing-countermeasures\/22899\/","title":{"rendered":"Come difendersi dal phishing &#8220;ad azione ritardata&#8221;"},"content":{"rendered":"<p>Il phishing \u00e8 da tempo un importante vettore di attacco alle reti aziendali. Non c\u2019\u00e8 da stupirsi, quindi, che tutti e tutto, dai provider dei servizi ai gateway di posta elettronica e persino i browser, utilizzino i filtri anti-phishing e si avvalgano della scansione degli indirizzi dannosi. Di conseguenza, i cybercriminali inventano costantemente nuovi metodi per aggirare questi sistemi di difesa e perfezionano quelli gi\u00e0 collaudati. Uno di questi \u00e8 il cosiddetto <em>delayed phishing<\/em> (che potremmo tradurre con \u201cphishing ad azione ritardata\u201d).<\/p>\n<h2>Cos\u2019\u00e8 il <em>delayed phishing<\/em>?<\/h2>\n<p>Il phishing ad azione ritardata \u00e8 un tentativo di portare la vittima su un sito dannoso o falso utilizzando una tecnica nota come <em>Post-Delivery Weaponized URL<\/em>. Come suggerisce il nome, con questa tecnica viene sostituito il contenuto online con una versione dannosa dopo la consegna di un\u2019e-mail che reindirizza su questo contenuto. In altre parole, la potenziale vittima riceve un\u2019e-mail con un link che non conduce da nessuna parte o verso una risorsa legittima che potrebbe essere gi\u00e0 compromessa, ma che in quel momento non ha alcun contenuto dannoso. Di conseguenza, il messaggio supera qualsiasi filtro. Gli algoritmi di protezione trovano l\u2019URL nel testo, scansionano il sito collegato, non vedono nulla di pericoloso e lasciano passare il messaggio.<\/p>\n<p>Ad un certo punto, dopo la consegna (sempre dopo la consegna del messaggio e idealmente prima della sua lettura), i cybercriminali cambiano il sito a cui reindirizza il messaggio o attivano contenuti dannosi su una pagina precedentemente innocua. Pu\u00f2 essere un falso sito bancario o un exploit del browser che tenta di scaricare malware sul computer della vittima. In circa l\u201980% dei casi, comunque, si tratta di un sito di phishing.<\/p>\n<h2>Come vengono ingannati gli algoritmi anti-phishing?<\/h2>\n<p>I criminali informatici usano uno di questi tre modi per superare i filtri:<\/p>\n<ul>\n<li><strong>Utilizzo di un link semplice:<\/strong> in questo tipo di attacco, i cybercriminali hanno il controllo del sito bersaglio, che hanno creato da zero, hackerato o dirottato. I cybercriminali preferiscono questi ultimi, che tendono ad avere una reputazione positiva, il che che piace agli algoritmi di sicurezza. Al momento della trasmissione, il link conduce a uno stub privo di significato o, pi\u00f9 comunemente, a una pagina con un messaggio di errore 404;<\/li>\n<li><strong>Modifica di un link accorciato:<\/strong> molti strumenti online permettono a chiunque di trasformare un URL lungo in uno pi\u00f9 corto. Gli shortlink rendono la vita pi\u00f9 facile agli utenti; in effetti, \u00e8 corto, facile da ricordare e si pu\u00f2 ritornare al link pi\u00f9 lungo. In altre parole, innesca un semplice reindirizzamento. Con alcuni servizi \u00e8 possibile modificare i contenuti nascosti dietro uno shortlink, una scappatoia che sfruttano i cybercriminali. Al momento della consegna del messaggio, l\u2019URL rimanda a un sito legittimo, ma dopo un po\u2019 lo convertono in un sito dannoso;<\/li>\n<li><strong>Aggiunta di un link accorciato casuale: <\/strong>alcuni strumenti per l\u2019accorciamento del link consentono il reindirizzamento probabilistico. Cio\u00e8, il link ha il 50% di possibilit\u00e0 di portare su google.com e il 50% di possibilit\u00e0 di aprire un sito di phishing. La possibilit\u00e0 di arrivare su un sito legittimo apparentemente pu\u00f2 confondere i crawler (programmi per la raccolta automatica di informazioni).<\/li>\n<\/ul>\n<h2>Quando i link diventano dannosi?<\/h2>\n<p>I cybercriminali di solito operano partendo dal presupposto che la loro vittima sia un normale lavoratore che dorme di notte. Pertanto, i messaggi di phishing ad azione ritardata vengono inviati dopo la mezzanotte (nel fuso orario della vittima) e diventano dannosi poche ore dopo, verso l\u2019alba. Guardando le statistiche di quando si attivano i sistemi anti-phishing, vediamo un picco intorno alle 7-10 del mattino, quando gli utenti, dopo aver preso un caff\u00e8. cliccano su link che erano legittimi al momento dell\u2019invio, ma che ora sono dannosi.<\/p>\n<p>Anche lo spear-phishing non rimane certo a guardare. Se i criminali informatici trovano una persona specifica da attaccare, possono studiare la routine quotidiana della loro vittima e attivare il link dannoso a seconda di quando la vittima \u00e8 solita controllare la posta.<\/p>\n<h2>Come identificare il <em>delayed phishing<\/em><\/h2>\n<p>Idealmente, bisogna evitare che il link di phishing arrivi all\u2019utente, per cui una nuova scansione della posta in arrivo sembrerebbe la strategia migliore. In alcuni casi, ci\u00f2 \u00e8 fattibile: ad esempio, se la vostra azienda utilizza un server di posta Microsoft Exchange.<\/p>\n<p>A partire da questo mese, Kaspersky Security for Microsoft Exchange Server supporta l\u2019integrazione del server di posta elettronica attraverso l\u2019API nativa, che consente di ripetere la scansione dei messaggi gi\u00e0 presenti nella casella di posta. Un tempo di scansione opportunamente configurato garantisce il rilevamento di tentativi di <em>delayed phishing<\/em> senza creare un carico aggiuntivo sul server nel momento di picco della posta.<\/p>\n<p>La nostra soluzione consente anche di monitorare la posta interna (che non passa attraverso il gateway di sicurezza della posta, e quindi non viene analizzata dai filtri e dai motori di scansione), nonch\u00e9 di implementare regole di filtraggio dei contenuti pi\u00f9 complesse. In casi particolarmente pericolosi di business email compromise (BEC), in cui i cybercriminali ottengono l\u2019accesso a un account di posta aziendale, assume particolare importanza la possibilit\u00e0 di ripetere la scansione dei contenuti delle caselle di posta e di controllare la corrispondenza interna.<\/p>\n<p>Kaspersky Security for Microsoft Exchange Server \u00e8 incluso nelle nostre soluzioni Kaspersky Security for Mail Servers e <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I link di phishing nelle e-mail ai dipendenti si attivano spesso dopo la scansione iniziale. Ma possono ancora essere individuati e bisogna farlo.<\/p>\n","protected":false},"author":610,"featured_media":22901,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[834,116],"class_list":{"0":"post-22899","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-email","11":"tag-phishing"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/delayed-phishing-countermeasures\/22899\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/delayed-phishing-countermeasures\/21929\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/delayed-phishing-countermeasures\/17405\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/delayed-phishing-countermeasures\/23350\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/delayed-phishing-countermeasures\/21545\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/delayed-phishing-countermeasures\/20159\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/delayed-phishing-countermeasures\/23932\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/delayed-phishing-countermeasures\/29129\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/delayed-phishing-countermeasures\/8856\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/delayed-phishing-countermeasures\/37153\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/delayed-phishing-countermeasures\/15717\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/delayed-phishing-countermeasures\/16104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/delayed-phishing-countermeasures\/13996\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/delayed-phishing-countermeasures\/25217\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/delayed-phishing-countermeasures\/12006\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/delayed-phishing-countermeasures\/26130\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/delayed-phishing-countermeasures\/22906\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/delayed-phishing-countermeasures\/28223\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/delayed-phishing-countermeasures\/28056\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/610"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22899"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22899\/revisions"}],"predecessor-version":[{"id":22920,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22899\/revisions\/22920"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22901"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}