Cos’è il Clone Phishing?

Mentre un maggior numero di aziende istruisce i propri utenti e dipendenti sul phishing, i cybercriminali trovano nuovi modi per aggirare la loro formazione e ingannare gli utenti con il furto di credenziali. Il clone phishing, simile al thread hijacking, è un nuovo tipo di minaccia basata sulle email, in cui gli aggressori clonano un messaggio email reale contenente allegati e lo reinviano fingendosi il mittente originale. Tuttavia, gli allegati originali vengono sostituiti con malware, ma mantengono un aspetto simile a quello dei documenti originali.

Supponiamo che nella tua azienda esista un processo in cui invii un documento a un cliente tramite email, lo fai firmare e poi il cliente lo restituisce tramite email. Con un attacco di clone phishing, un aggressore potrebbe intercettare il messaggio o inserirsi nel processo di comunicazione. Quando viene inviato il messaggio di risposta, l’aggressore sostituisce l’allegato legittimo del documento con un virus. Se i dipendenti non riescono a riconoscere l’allegato malevolo, rischiano di essere ingannati e di installare malware sui loro computer.

Il cloning attack phishing non viene sempre eseguito tramite risposte a messaggi di posta elettronica. A volte l’attacco consiste nel copiare un’email comunemente inviata da un’entità aziendale nota e inviarne una copia a un bersaglio. Questa email fraudolenta contiene allegati con malware utilizzati per installare rootkit, ransomware o altre forme di software per rubare dati.

Il modo in cui un aggressore ottiene il messaggio originale dipende dalle procedure aziendali. Ad esempio, la tua azienda potrebbe inviare un’email di benvenuto agli utenti che si iscrivono a una newsletter, o inviare un documento PDF da firmare per approvare le transazioni. Un’altra possibilità è l’uso dei messaggi del servizio clienti: l’aggressore potrebbe contattare il servizio clienti e rispondere con un messaggio contenente contenuti pericolosi.

Indipendentemente dal messaggio iniziale, il clone phishing spesso ha successo poiché i destinatari ricevono una risposta a un’email legittima invece di un nuovo messaggio di phishing. Inoltre, è più probabile che i filtri di posta elettronica accettino una risposta dannosa, poiché viene inviata da un utente legittimo tramite canali legittimi.

Alcuni attacchi di clone phishing sono rivolti a utenti specifici, ma spesso gli aggressori inviano messaggi a molti destinatari contemporaneamente, prendendo di mira dipendenti del tutto casuali. È sufficiente che un solo dipendente cada nell’attacco per compromettere l’intera rete di un’organizzazione. Il ransomware è uno degli attacchi malware più comuni utilizzati nel clone phishing, ma il payload degli allegati dannosi può includere di tutto, dai rootkit che permettono l’accesso remoto al computer del dipendente ai semplici keylogger per rubare le password.

Il clone phishing è molto più difficile da individuare rispetto a un messaggio di phishing tradizionale. In un messaggio di phishing standard, il contenuto è solitamente mal scritto e proviene da una fonte sconosciuta. Nel caso del clone phishing, l’utente riconosce il messaggio, rendendo più facile per l’aggressore ingannare il destinatario.

Ad esempio, la maggior parte degli utenti conosce la struttura tipica dei messaggi di PayPal. PayPal invia regolarmente email con il saldo agli utenti che hanno un conto finanziario. Un malintenzionato potrebbe clonare uno di questi messaggi, affermando che il saldo deve essere pagato. Invece di collegarsi al sito legittimo di PayPal, il pulsante indirizza a un server controllato dall’aggressore che effettua lo spoofing del sito di PayPal.

Ad esempio, supponiamo che la tua azienda invii un messaggio ogni volta che un utente si iscrive alla newsletter. Questo messaggio contiene l’indirizzo email del cliente, con tutti i messaggi e gli eventuali allegati che potrebbero essere inviati. Un aggressore potrebbe copiare questo messaggio e sostituire i link originali con altri che puntano a siti fraudolenti, inducendo gli utenti a divulgare le proprie credenziali o a scaricare malware.

Il clone phishing viene spesso inviato da un indirizzo email legittimo, quindi non richiede necessariamente il spoofing dell’email (anche se a volte viene utilizzato). Poiché l’email proviene da un indirizzo affidabile e non è stata sottoposta a spoofing, è più probabile che il messaggio superi le misure di sicurezza e arrivi nella casella di posta dell’utente, indipendentemente dai sistemi di cybersicurezza adottati per bloccare messaggi dannosi.

Per i dipendenti, è sempre complicato distinguere tra un’email legittima e una clonata. La sfida per i team di sicurezza consiste nell’educare gli utenti attraverso programmi di formazione sulla consapevolezza della sicurezza, mostrando i molti modi in cui gli aggressori sfruttano il sistema di posta elettronica per compromettere una rete aziendale. Il rilevamento di un’email di phishing richiede sia l’intuizione umana sia la capacità di riconoscere le sfumature degli attacchi di phishing.

Se un’email ha un tono sospetto o fa leva sull’urgenza, potrebbe trattarsi di un attacco di phishing. Anche se le email clonate possono essere ben scritte e grammaticalmente corrette, la maggior parte delle strategie di phishing si basa sul far compiere al destinatario un’azione impulsiva, senza riflettere sulle sue implicazioni. Spesso, gli utenti si accorgono di essere stati vittime di phishing solo dopo aver installato un malware o perso le proprie credenziali.

Le email che richiedono un’azione immediata senza permettere di riflettere devono essere trattate con cautela. Gli aggressori cercano di indurre il destinatario ad agire con la minaccia di chiusura dell’account, perdita di denaro o conseguenze legali, per convincerlo ad accettare il clone phishing. Un’email può contenere un link dannoso che invita a cliccare e accedere prima di perdere l’account, o richiedere una risposta con informazioni sensibili per evitare la perdita del posto di lavoro.

Invece di cliccare sui link, gli utenti dovrebbero digitare direttamente il dominio nel proprio browser. I link nelle email di phishing possono condurre a diverse tipologie di pagine pericolose. Ad esempio, potrebbero rimandare a una pagina che imita il modulo di autenticazione di un’azienda ufficiale, con l’obiettivo di rubare le credenziali degli utenti. Altre volte, i link conducono a pagine che simulano l’accesso a servizi di terze parti come Google o Office 365. Un ulteriore rischio è che il link porti a una pagina che avvia il download di malware direttamente sul dispositivo della vittima.

I messaggi di un attacco di phishing clonato non sono mai identici, ma spesso condividono alcuni elementi comuni. Solitamente, presentano un tono che comunica urgenza e contengono un link o un file allegato dannoso.

Un esempio di messaggio potrebbe essere:

Oggetto: Problema urgente con il tuo account

Messaggio: Salve, grazie per aver contattato Fake Company per la tua richiesta. Clicca qui per leggere il messaggio del nostro rappresentante del servizio clienti. [inserire link dannoso]

Nella riga dell’oggetto, il messaggio crea un senso di urgenza per il destinatario. Inoltre, finge di provenire da un’azienda ufficiale, replicando il messaggio automatico del servizio clienti della falsa azienda.

Un attaccante invierà questo tipo di messaggio a migliaia di persone, sperando di ottenere credenziali da rivendere sui mercati del darknet.

Il clone phishing e lo spear phishing presentano alcune somiglianze, ma anche differenze e strategie distinte. Entrambi sono metodi efficaci per compromettere un ambiente aziendale, ma operano in modi diversi. In ogni caso, è fondamentale che le aziende formino i propri utenti sulla cybersecurity per migliorare la capacità di individuare queste minacce.

Lo spear phishing si rivolge principalmente agli utenti con privilegi elevati, come dirigenti, impiegati delle risorse umane, contabili o amministratori di rete. Questi utenti hanno accesso a dati sensibili, e se un attaccante ottiene le loro credenziali, può accedere a informazioni preziose da vendere sul darknet. Un altro vantaggio dell’accesso elevato è la capacità di scansionare la rete con privilegi superiori, cosa che rende i ransomware o i rootkit particolarmente pericolosi, poiché possono accedere a spazi di archiviazione condivisi che sarebbero inaccessibili con credenziali a basso privilegio.

Il clone phishing può includere elementi dello spear phishing, poiché può prendere di mira utenti con privilegi elevati. Tuttavia, lo spear phishing si basa generalmente su qualsiasi messaggio specifico per ingannare un particolare utente. Nel clone phishing, il messaggio è familiare e replicato da un’azienda ufficiale o dalla stessa azienda vittima. Potrebbe trattarsi di una risposta a un avviso automatico inviato dall’azienda presa di mira, o del clone di un messaggio ufficiale proveniente da un’azienda partner.

Le aziende possono adottare diverse misure di cybersecurity per prevenire i tentativi di clone phishing. Per gli utenti è difficile identificare le email dannose, e affidarsi unicamente al rilevamento umano come misura di sicurezza aumenta il rischio di fallimento. Le minacce interne rappresentano un problema significativo in ambito di sicurezza informatica, e le email di phishing sono uno dei principali mezzi per ottenere l’accesso a un ambiente aziendale. Per evitare che un attacco di phishing abbia successo, è necessario formare i dipendenti, garantire la sicurezza delle email e limitare gli accessi per ridurre i possibili danni.

I filtri email possono impedire che i messaggi di phishing raggiungano i destinatari, bloccando automaticamente quelli sospetti. Questi messaggi vengono messi in quarantena, e un amministratore può esaminarli per stabilire se si tratta di phishing o di un falso positivo.

Anche gli utenti possono contribuire a migliorare la sicurezza delle email, a patto che siano addestrati a riconoscere le email di phishing attraverso una formazione adeguata sulla sicurezza informatica. Tuttavia, anche con una buona formazione, un utente distratto può cadere vittima di un attacco; per questo motivo, la formazione non deve essere l’unica difesa. Gli utenti devono essere istruiti a verificare gli indirizzi dei mittenti e a confermare la legittimità di un’email contattando direttamente il mittente. È fondamentale non cliccare sui link presenti nelle email, ma piuttosto digitare direttamente il dominio nel browser.

Se un utente riconosce un’email di phishing, deve avvisare gli amministratori o chi è responsabile della gestione delle email per segnalare la minaccia. Se l’azienda è un bersaglio degli aggressori, è probabile che più utenti ricevano lo stesso messaggio dannoso. Gli amministratori informati dell’attacco possono prendere le misure necessarie e inviare un avviso a tutti i dipendenti.