{"id":23170,"date":"2020-10-28T18:41:43","date_gmt":"2020-10-28T16:41:43","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23170"},"modified":"2020-10-28T18:41:43","modified_gmt":"2020-10-28T16:41:43","slug":"phishing-via-esp","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/phishing-via-esp\/23170\/","title":{"rendered":"Phishing attraverso servizi di e-mail marketing"},"content":{"rendered":"

Nel corso degli anni, gli scammer hanno utilizzato vari trucchi<\/a> per aggirare le tecnologie anti-phishing. Un\u2019altra tecnica di successo per inviare link di phishing ai destinatari obiettivo \u00e8 quello di sfruttare i servizi di e-mail marketing, noti anche come e-mail Service Provider (ESP), aziende specializzate nella consegna di newsletter via e-mail. Secondo le statistiche che abbiamo ottenuto dalle nostre soluzioni, si tratta di una tecnica che sta guadagnando terreno.<\/p>\n

Perch\u00e9 il phishing via ESP funziona?<\/h2>\n

Le aziende che fanno sul serio con le minacce via posta elettronica prima di permettere che le e-mail raggiungano le caselle degli utenti, analizzano accuratamente tutti i messaggi con antivirus, tecnologie anti-phishing e motori anti-spam. Queste tecnologie non si limitano ad esaminare il contenuto dei messaggi, gli header e i link, ma controllano anche la reputazione del mittente e di eventuali siti web collegati. Il livello di rischio decretato si basa su una combinazione di questi fattori. Ad esempio, se un mailing di massa proviene da un mittente sconosciuto, allora sembra sospetto ed \u00e8 un campanello di allarme per gli algoritmi di sicurezza.<\/p>\n

I criminali informatici, tuttavia, hanno trovato un modo per aggirare il problema: inviare e-mail a nome di un servizio fidato. I servizi di e-mail marketing, che forniscono una gestione end-to-end delle newsletter, ricoprono perfettamente questo ruolo: sono noti, molti vendor di soluzioni di sicurezza lasciano passare di default i loro indirizzi IP e alcuni saltano persino i controlli sulle e-mail.<\/p>\n

Come vengono sfruttati gli ESP?<\/h2>\n

Il principale vettore di attacco \u00e8 ovvio: phishing camuffato da mailing legittimo. In sostanza, i cybercriminali diventano clienti del servizio vittima, di solito acquistando l\u2019abbonamento dal costo pi\u00f9 basso (qualsiasi alternativa non avrebbe molto senso, soprattutto perch\u00e9 i cybercriminali si aspettano di essere identificati e bloccati rapidamente).<\/p>\n

Ma esiste un\u2019opzione pi\u00f9 atipica: l\u2019utilizzo degli ESP come host URL. Con questa tecnica, la newsletter viene inviata attraverso l\u2019infrastruttura dei cybercriminali. Questi ultimi possono, ad esempio, creare una campagna di prova che contiene un URL di phishing e inviarla a loro stessi come anteprima. L\u2019ESP crea un proxy per quell\u2019URL e poi i criminali informatici prendono semplicemente l\u2019URL proxy per la loro newsletter di phishing. Un\u2019altra opzione per i truffatori \u00e8 quella di creare un sito di phishing che sembra essere un template di mailing e fornire un link diretto ad esso; tuttavia, si tratta di una tecnica meno frequente.<\/p>\n

In ogni caso, il nuovo URL proxy ha ora una reputazione positiva, quindi non sar\u00e0 bloccato. L\u2019ESP, che non gestisce il mailing, non nota nulla di scorretto e non blocca il suo \u201ccliente\u201d, almeno non fino a quando non inizia a ricevere lamentele. A volte questa tecnica ha anche un ruolo nelle campagne di spear phishing.<\/p>\n

Cosa ne pensano gli ESP?<\/h2>\n

Non sorprende che gli ESP non facciano i salti di gioia, essendo strumenti nelle mani dei criminali informatici. La maggior parte di luesti servizi dispone di tecnologie di sicurezza che analizzano il contenuto dei messaggi e i link che passano attraverso i loro server, e quasi tutti forniscono una guida sui propri siti per chiunque riscontri casi di phishing.<\/p>\n

Pertanto, i cybercriminali cercano di mantenere calmi anche gli ESP. Ad esempio, l\u2019utilizzo di un provider per i proxy tende a ritardare<\/a> i link di phishing, per cui al momento della creazione, i link nei messaggi di prova appaiono legittimi, solo in seguito diventano dannosi.<\/p>\n

Cosa fare<\/h2>\n

In molti casi, gli invii in massa vengono inviati ai dipendenti dell\u2019azienda i cui indirizzi sono pubblici, e anche i pi\u00f9 attenti possono non notare le occasionali e-mail sospette o dannose e cliccare dove non ro.Per proteggere i dipendenti da potenziali attacchi di phishing provenienti da un servizio di e-mail marketing, consigliamo quanto segue:<\/p>\n