Lo spam nell’anno 2016

L’anno in cifre

I dati raccolti ed elaborati da Kaspersky Lab evidenziano il seguente quadro riassuntivo:

• Nel 2016, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un aumento del 3,03% rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 58,31%.
• Il 62,16% dei messaggi di spam ha presentato dimensioni non superiori a 2 Kb.
• Il 12,08% del volume complessivo di messaggi e-mail indesiderati diffusi su scala mondiale è risultato provenire dal territorio degli Stati Uniti.
• La famiglia di malware maggiormente diffusa all’interno dei flussi e-mail globali si è rivelata essere Trojan.Win32.Bayrob.
• Il nostro modulo anti-virus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti in Germania (14,13%).
• Si sono complessivamente registrati 154.957.897 rilevamenti eseguiti grazie al sistema “Anti-phishing”.
• Nel corso dell’anno si è imbattuto in attacchi riconducibili al phishing il 15,29% del numero complessivo di utenti unici.
• Leader della speciale classifica relativa alle quote percentuali di utenti sottoposti ad attacco da parte dei phisher, sul numero totale di utenti nel Paese, è divenuto il Brasile (27,61%).
• Il 47,48% dei rilevamenti effettuati dal componente euristico del sistema “Anti-phishing” ha riguardato i clienti di varie organizzazioni finanziarie.

Lo spam ed i principali avvenimenti mondiali

Per tutto il 2016, nell’ambito dello spam fraudolento, sono stati sfruttati, a livello di tematica, i principali avvenimenti sportivi: il Campionato Europeo di calcio, i Giochi Olimpici di Rio de Janeiro ed i futuri Campionati del Mondo di football, che si terranno nel 2018 e nel 2022. In genere, gli spammer hanno distribuito false notifiche relative ad inesistenti vincite “ottenute” grazie a lotterie dedicate a tali eventi sportivi. Il contenuto dei messaggi di spam in questione non si è di certo contraddistinto per l’originalità: i truffatori hanno più o meno sempre dichiarato che la lotteria era stata allestita da qualche ente o organismo ufficiale, mentre l’indirizzo del destinatario dell’e-mail – guarda a caso – era stato casualmente scelto tra milioni e milioni di indirizzi di posta elettronica. Nello specifico, per entrare in possesso della somma “vinta” occorreva assolutamente rispondere al messaggio ricevuto, fornendo le informazioni personali richieste.

Nello spam “dedicato” ai suddetti avvenimenti sportivi, il testo dettagliato del messaggio si trovava, nella maggior parte dei casi, all’interno di appositi allegati in formato DOC, PDF o JPEG; per realizzare tali documenti, gli spammer hanno fatto ricorso ad elementi grafici a tema: emblemi ufficiali, loghi della manifestazione e dei relativi sponsor. Per contro, non si sono rivelati essere così numerosi i messaggi di posta nei quali il testo elaborato dai cyber criminali veniva riportato direttamente nel corpo dell’e-mail di spam. Per cercare di diversificare le proprie missive, gli spammer si sono avvalsi dei soliti “vecchi” trucchi: essi hanno via via cambiato il testo, gli indirizzi e-mail di contatto, l’indirizzo del mittente, il nome degli allegati, la dimensione degli stessi, etc. Tuttavia, per vari mesi, abbiamo comunque individuato, diverse volte – grazie alle speciali “trappole” anti-spam da noi allestite – numerosi messaggi di posta contenenti sempre lo stesso identico allegato.

Nel quarto trimestre del 2016, gli spammer hanno trasferito le loro attenzioni verso le future edizioni del Campionato del Mondo di calcio, in programma nel 2018 e nel 2022. Così, all’interno dei flussi di spam, ci siamo spesso imbattuti in false notifiche relative a vincite realizzate grazie a qualche (inesistente!) lotteria “ispirata” a tale tematica.

Il tema del football è stato ugualmente utilizzato in seno allo spam dannoso. In particolare, i cyber criminali hanno inviato notifiche fasulle, contenenti (in apparenza!) scansioni realizzate a nome di qualche sito specializzato nel pubblicare notizie relative ai giochi per computer o al mondo del calcio; tutto questo con il preciso intento, da parte degli spammer, di stimolare ancor di più la curiosità dei destinatari dei messaggi di posta. In realtà, l’archivio ZIP allegato all’e-mail conteneva un downloader in JavaScript, rilevato da Kaspersky Lab come Trojan-Downloader.Script.Generic. Questo malware, a sua volta, scaricava un ulteriore programma nocivo sul computer-vittima.

Il tema del terrorismo, devastante fenomeno divenuto in questi ultimi anni un grave problema su scala mondiale, ha avuto ampio riflesso anche nello spam. Sono state ad esempio recapitate, nelle e-mail box degli utenti, numerose e-mail “nigeriane”, inviate (apparentemente!) non solo a nome di falsi funzionari di organizzazioni statali, ma anche da parte di privati. Le fantasiose storie ordite dagli spammer “nigeriani” sono risultate caratterizzate, come al solito, dalla presenza di informazioni particolarmente dettagliate; lo scopo che sono soliti prefiggersi tali cyber crminali è, tuttavia, sempre lo stesso: indurre il destinatario dell’e-mail ad avviare una pericolosa corrispondenza, prospettando a quest’ultimo la possibilità di beneficiare di un’ingente somma di denaro. Nel frattempo, non hanno affatto perso la loro “popolarità”, all’interno dei flussi mondiali di spam fraudolento, le e-mail “nigeriane” che sfruttano le tematiche inerenti alla complessa e delicata situazione socio-politica attualmente attraversata dalla Siria; tali messaggi dannosi sono stati ampiamente distribuiti anche nel corso del 2016, nel tentativo di raggirare gli utenti.

Per contro, ci siamo imbattuti piuttosto di rado in messaggi di spam nocivo in cui si è fatto uso del tema del terrorismo; questa tipologia di spam, ad ogni caso, è stata impiegata per compiere il furto dei dati personali, organizzare attacchi DDoS, installare ulteriori programmi malware sulle macchine infette.

Offerte commerciali via e-mail provenienti da fabbriche cinesi

Nel 2016, all’interno del traffico di posta elettronica, abbiamo spesso incontrato messaggi e-mail provenienti da fabbriche e stabilimenti situati sul territorio della Cina, e contenenti apposite pubblicità relative ai prodotti realizzati da tali aziende. Gli spammer hanno offerto non solo prodotti finiti, ma anche componenti destinati alle più diverse applicazioni.

Il tipico testo di tali messaggi di spam iniziava con una formulazione del tutto impersonale nel confronti del destinatario, ed includeva, più avanti, sia “nome e cognome” del Direttore dello stabilimento. Spesso, in questi messaggi, venivano illustrati pregi e meriti della società, l’esperienza accumulata dalla stessa e la disponibilità di certificazioni. L’elenco dei prodotti offerti dall’azienda poteva essere contenuto sia nell’e-mail stessa, sia inviato dietro specifica richiesta del destinatario. Per garantire maggior chiarezza e visibilità, il messaggio poteva ugualmente presentare foto degli articoli proposti. Nella parte finale dell’e-mail, poi, venivano indicate le informazioni di contatto (numero di telefono fisso e mobile, numero di fax, indirizzo di posta elettronica, messenger vari). Talvolta, i dati di contatto erano inseriti nell’immagine allegata al messaggio.

Autori di tali e-mail risultavano essere esponenti delle aziende produttrici. Gli indirizzi dei mittenti, inoltre, potevano apparire registrati sia presso servizi e-mail gratuiti, sia tramite i nomi di dominio appartenenti alle società in questione. Talvolta, infine, su questi messaggi compariva anche l’indirizzo del sito web della società, se quest’ultima, ovviamente, disponeva di un proprio spazio in Rete.

In molti Paesi, fino a qualche tempo fa, gli imprenditori proprietari di aziende di piccole e medie dimensioni preferivano utilizzare lo spam, per promuovere i propri prodotti. Poco a poco, tuttavia, questo genere di pubblicità ha cominciato ad essere percepito, dal pubblico dei potenziali clienti, come indesiderato; sono inoltre comparse specifiche leggi contro lo spam, ma l’elemento di maggior rilievo è che, nel frattempo, hanno fatto la loro apparizione sulla scena altre piattaforme di advertising, più mirate, convenienti e, soprattutto, molto meno moleste e invadenti. Nell’ambito di tali piattaforme, ha iniziato ad avere un ruolo sempre più significativo la pubblicità realizzata sui social network. E qui, è possibile intuire il motivo per cui i businessmen cinesi non hanno seguito questa tendenza (considerando, oltretutto, che la Cina dispone di un’apposita legge contro lo spam, e che si tratta, per di più, di una delle leggi più severe mai approvate, a tal riguardo, nel mondo intero). Il fatto è che, in Cina, esistono prevalentemente social network interni; l’utilizzo dei veri e propri giganti mondiali, a livello di reti sociali, quali Facebook, risulta proibito. Per tale motivo, nel momento in cui decidono di affrontare il mercato internazionale, gli imprenditori cinesi dispongono in misura nettamente inferiore di mezzi e strumenti del tutto legittimi.

L’anno del ransomware nello spam

Nel corso del 2016, abbiamo individuato enormi quantità di spam pericoloso. E mentre negli anni precedenti il primo posto della speciale graduatoria riservata agli allegati nocivi risultava prevalentemente occupato dallo spyware Fraud.gen – elaborato sotto forma di una pagina HTML di phishing adibita al furto dei dati sensibili riportati sulle carte di credito degli utenti – nel 2016 sono divenuti leader incontrastati, nell’ambito dello spam dannoso, i Trojan-Downloader preposti a scaricare sui computer-vittima pericolosi programmi ransomware. Lo spam distribuito in forma più massiccia si è rivelato essere quello il cui scopo era di infettare i computer degli utenti attraverso il noto malware Locky; sono stati tuttavia diffusi, su larga scala, ulteriori ransomware, quali Petya, Cryakl e Shade .

Il numero dei programmi dannosi in circolazione nel traffico e-mail ha iniziato ad aumentare già nel mese di dicembre del 2015, ed ha poi continuato a crescere, a ondate, lungo tutto l’arco dell’anno. Certe brusche diminuzioni di tali quantità sono da imputare, principalmente, alla temporanea disattivazione, da parte dei cyber criminali, della botnet Necurs, responsabile dell’invio di gran parte dello spam volto a distribuire il software nocivo Locky. Dopo la riattivazione della botnet, i cyber criminali hanno modificato i modelli previsti per l’invio dello spam in causa.

Numero di e-mail dannose rilevate nei flussi di spam nel corso del 2016

Complessivamente, nel corso del 2016, il relativo componente anti-virus è entrato in azione, nei sistemi di posta elettronica dei nostri clienti, per ben 239.979.660 volte. Ovvero con una frequenza di quasi 4 volte superiore rispetto a quanto riscontrato per il 2015.

L’evidente “strapotere” dei ransomware può essere dovuto all’effettiva ed ampia disponibilità di questa tipologia di malware sul mercato nero del cybercrimine. Attualmente, i criminali informatici hanno non solo la possibilità di prendere in affitto potenti botnet adibite all’invio di montagne di spam, ma hanno ugualmente l’opportunità di poter usufruire del cosiddetto modello Ransomware-as-a-Service. Oggi, in pratica, il cyber criminale può anche non essere un hacker nel senso tradizionale del termine e, più in generale, può benissimo non saper scrivere nemmeno una riga di codice.

Gli stessi messaggi di spam contenenti programmi malware hanno spesso imitato formule utilizzate a livello di corrispondenza personale, per quel che riguarda in particolar modo la richiesta – avanzata con vari pretesti – di visualizzare i documenti allegati all’e-mail. I cyber criminali, inoltre, hanno mascherato i loro messaggi di posta sotto forma di fatture di vario genere, di notifiche relative al ricevimento di pacchi, e persino in veste di e-mail provenienti da apparecchiature per ufficio, e recanti in allegato (apparentemente!) documenti di vario tipo sottoposti a scansione.

In entrambi gli esempi qui sopra riportati, l’allegato contiene un file pericoloso con estensione .wsf, rilevato dai prodotti Kaspersky Lab come Trojan-Downloader.JS.Agent.myd. Il file dannoso, compilato in Javascript, provvede a caricare sul computer-vittima una delle numerose varianti del malware crittografico Locky.

In questo esempio, invece, il file allegato al messaggio di posta è provvisto di estensione .jse; esso viene rilevato come Trojan-Downloader.JS.Cryptoload.auk. Anche in tal caso, il file nocivo è stato realizzato in Javascript, ed effettua l’upload di una delle varianti del ransomware crittografico Locky sul computer dell’utente-vittima.

In generale, gli allegati pericolosi si sono contraddistinti per la loro considerevole varietà e diversità. Si è trattato, nella maggior parte dei casi, di archivi contenenti programmi scritti in Java e Javascript (file JS, JAR, WSF, WRN ed altri ancora); sono stati tuttavia individuati anche documenti Office provvisti di macro dannose (DOC, DOCX, XLS, RTF), così come i “classici” file eseguibili (EXE). Inoltre, sono stati talvolta utilizzati formati piuttosto rari, a livello di archivio, quali, ad esempio, CAB.

Una volta avviati, i programmi ransomware provvedono a cifrare i dati custoditi sul computer dell’utente, per poi richiedere il pagamento di un riscatto (di solito in bitcoin, attraverso la rete Tor). Maggiori informazioni in merito sono disponibili all’interno del nostro report “Kaspersky Security Bulletin 2016. La “Storia” dell’Anno. La rivoluzione del ransomware“.

Metodi e trucchi adottati dagli spammer

“Imbrattamento” del testo

Nell’intento di rendere unico ogni singolo messaggio distribuito attraverso la mailing di massa, gli spammer aggiungono alle e-mail sequenze casuali di caratteri, di fatto invisibili al destinatario. Si tratta di un trucco tutt’altro che nuovo, ma gli spammer, di anno in anno, continuano a farne uso, perfezionando sempre di più le metodologie via via adottate. Qui di seguito descriveremo in dettaglio i trucchi che si sono rivelati maggiormente “popolari”, nel 2016, per camuffare, o meglio, “imbrattare” i messaggi. Tutti gli esempi qui inseriti sono stati effettivamente ricavati da messaggi di spam reali.

1. Lettere di dimensioni minuscole e/o utilizzo del “testo in bianco”.

Il trucco più semplice e “datato”: il testo può essere scritto con caratteri di colore bianco (ffffff è il codice esadecimale di tale colore).

Si può vedere, in tale esempio, come tra le parole scritte a grandezza normale, “You have received a £500”, siano state collocate sequenze casuali di lettere scritte con caratteri minuscoli, e di colore bianco.

2. Il testo non viene visualizzato.

Grazie all’attributo style=”display:none;” si può fare in modo che il testo del messaggio non venga riprodotto sullo schermo. In circostanze normali, un simile tag può essere utilizzato, ad esempio, quando si vuole realizzare un primo layout di una pagina web. Nelle e-mail di spam, invece, vengono inserite enormi quantità di tag del genere, con testo del tutto casuale al loro interno, e se, a livello di filtro anti-spam non è stata specificamente impostata l’elaborazione di simili tag, il testo relativo al contenuto vero e proprio del messaggio, che si cela dietro ad essi, viene in pratica “perso”.

Lo stesso effetto può essere ottenuto inserendo una sequenza casuale di caratteri la cui dimensione è, di fatto, 0 pixel:

3. Posizionamento del testo oltre l’effettiva estensione dello schermo.

Esiste un ulteriore metodo, per rendere invisibile all’utente il testo “spazzatura”: elaborare quest’ultimo con caratteri normali, ma collocare poi lo stesso in quelle parti del messaggio e-mail che si estendono oltre i bordi dello schermo (ovvero molto più a sinistra, a destra, o al di sotto della parte principale):

4. Utilizzo di tag che, di default, non risultano visibili all’utente.

Il testo casuale, talvolta, viene inserito all’interno di tag che non sono affatto previsti per la visualizzazione del testo da parte dell’utente. In genere, si ricorre all’utilizzo dei tag di commento, ma esistono ulteriori casistiche:

Il contenuto del tag <noscript> viene mostrato solo sui computer in cui gli script non risultano supportati, oppure dove questi ultimi sono stati disabilitati; per tale motivo, la maggior parte degli utenti non sarà in grado di poter visualizzare il testo.

5. Imbrattamento tramite tag.

A volte, il testo dei messaggi di spam viene “inquinato” non attraverso sequenze casuali di caratteri, resi in un modo o nell’altro non visibili, ma con i tag veri e propri, che risultano, nella circostanza, privi di qualsiasi significato, e non vengono in alcun modo interpretati:

In alcune e-mail di spam, il numero di simili tag si conta a centinaia.

Inoltre, la stessa sequenza casuale viene talvolta inserita non tra determinati tag, ma all’interno degli stessi, in qualità di attributo del tag:

Anche tale attributo, di certo, non verrà in alcun modo interpretato, e non si rifletterà affatto sul messaggio visualizzato dall’utente.

Camuffamento dei link

Mentre il testo del messaggio può essere diversificato quanto si vuole, la situazione relativa agli URL di spam inseriti nelle e-mail si presenta in maniera un po’ differente. Il loro numero, all’interno di uno stesso mailing, può rivelarsi decisamente elevato (si contano a migliaia), ma è tuttavia certo e definito, visto che gli spammer devono necessariamente pagare per ogni dominio da essi acquistato. Anche in questo caso, però, i cyber criminali hanno escogitato trucchi e tecniche di vario genere, per rendere unico ogni singolo link, facendo tuttavia in modo che lo stesso, poi, si apra correttamente, una volta cliccato su di esso.

1. Offuscamento dei domini per mezzo di vari set UTF:

Lo scorso anno abbiamo già descritto i trucchi degli spammer associati a varie modalità di scrittura dei domini e degli indirizzi IP. Nell’anno qui esaminato, la tendenza relativa all’utilizzo di sotterfugi del genere – scrittura dei domini mediante caratteri appartenenti a set UTF diversi, e degli indirizzi IP attraverso vari sistemi di numerazione – si è conservata tale.

Si è rivelato particolarmente popolare, presso gli spammer, uno speciale set UTF denominato “Mathematical Alphanumeric Symbols” (simboli matematici alfanumerici), ad esempio:

Dominio scritto con caratteri “mathematical bold script”.

Dominio scritto con caratteri “mathematical monospace small”.

Il set in questione è destinato a specifiche formule matematiche, e non deve essere utilizzato per il testo ordinario o negli hyperlink.

2. Unione di varie codifiche

Al metodo qui sopra descritto si è aggiunto quello che prevede l’unione delle codifiche: una parte delle lettere che compongono il dominio viene scritta dagli spammer utilizzando l’alfabeto latino in Unicode, mentre una parte è costituita da caratteri appartenenti a set speciali, nella codifica URL-encoded.

Il dominio presente nell’esempio qui sopra inserito si trasformerà dapprima in

e poi in “server119.bullten.org”.

3. Camuffamento dell’URL mediante l’utilizzo dei servizi di URL brevi

Oltre ai vari metodi di scrittura del nome del sito web di spam, i cyber criminali, periodicamente, fanno in modo che il sito in questione non venga direttamente menzionato nel messaggio. Per far ciò, vengono utilizzati i servizi di short link e i redirect. Nel 2016, tuttavia, gli spammer hanno ulteriormente mascherato, ricorrendo a vari metodi, ognuno di tali link.

Tra il dominio relativo al servizio di URL brevi utilizzato, e l’effettivo identificatore del link, sono stati in effetti inseriti lettere, barre oblique (slash), punti; nell’esempio qui sotto riportato la parte “significativa” del collegamento ipertestuale è stata evidenziata in grassetto: tutto il resto, in pratica, è “spazzatura”.

Talvolta, poi, si fa persino uso di interi tag di commento:

Inoltre, per cercare di trarre ancor di più in inganno i filtri anti-spam, nella cosiddetta parte “spazzatura” vengono introdotti i nomi di vari siti web, relativi, in genere, a risorse Internet molto note:

Tutte le parti aggiuntive poi scompariranno, come per incanto, nel momento in cui si clicca sul link.

Segnaliamo, infine, un ulteriore metodo utilizzato piuttosto di frequente, dagli spammer, per mascherare i link; esso consiste nell’aggiungere parametri del tutto inesistenti nella parte finale degli stessi:

Tutto quello che si trova, nel link, dopo il punto interrogativo, non costituisce l’URL vero e proprio; si tratta, bensì, di parametri dello stesso. Nei parametri possono essere inserite diverse informazioni di vario genere; ad esempio, nel link “unsubscribe” troviamo spesso, in qualità di parametro, l’indirizzo e-mail che occorre necessariamente immettere nell’apposito modulo. I servizi di URL brevi, ad ogni caso, così come molti altri siti, non richiedono e non accettano alcun parametro; questa porzione dell’URL viene quindi semplicemente eliminata quando si effettua il click. Gli spammer sfruttano tale circostanza, ed inseriscono così nei parametri varie sequenze casuali. Nel caso qui sopra evidenziato, al termine della parte riservata ai parametri, troviamo persino l’estensione .pdf; quest’ultima è stata introdotta per trarre in inganno non i filtri anti-spam, bensì l’utente destinatario del messaggio, il quale può in tal modo ritenere che il link conduca, di fatto, verso qualche file PDF.

4. Utilizzo di prefissi

Oltre ai parametri, che possono essere aggiunti nella parte finale del link, risulta possibile inserire elementi “spazzatura” anche nella parte iniziale dello stesso. Può trattarsi, ad esempio, di un considerevole numero di caratteri, i quali, nel momento in cui l’utente clicca sul collegamento ipertestuale, non verranno affatto presi in considerazione dall’interprete del link. Ecco un esempio:

(in questo esempio, oltre all’imbrattamento del link realizzato sia nella parte iniziale dello stesso, sia nella parte finale – mediante l’impiego di parametri inesistenti – si nota come il collegamento ipertestuale vero e proprio sia costituito da un indirizzo IP, scritto parzialmente con codifica ottale, ed in parte con codifica esadecimale)

Il metodo più diffuso, per “sporcare” il link nella parte iniziale dello stesso, è rappresentato dall’utilizzo del carattere @. Ricordiamo, a tal proposito, che @ prima del nome di dominio può essere impiegato per identificare l’utente nell’ambito del dominio (tale metodo, di fatto, non viene più utilizzato). Per i siti web che non richiedono alcuna procedura di identificazione, tutto quello che precede il carattere @ verrà semplicemente ignorato dal browser.

L’utilizzo del carattere in questione si rivela particolarmente conveniente, per gli spammer, in quanto esso consente non solo di nascondere il link, ma anche di far apparire lo stesso attendibile per gli utenti, visto che, nella parte iniziale, prima del carattere @, viene indicato il nome di qualche noto sito web.

5. Redirect mascherati

Ormai da tempo, i redirect vengono utilizzati dagli spammer allo scopo di celare il dominio principale; di questo abbiamo già riferito in maniera dettagliata. Nel 2016, i metodi di redirecting via via utilizzati non si sono di certo contraddistinti per la loro varietà; ad ogni caso, gli spammer hanno provveduto a nascondere anche i link preposti a reindirizzare l’utente. I metodi di “inquinamento” si sono rivelati essere, più o meno, quelli descritti in precedenza riguardo ai servizi di short link, ovvero l’utilizzo del carattere @, dei parametri e di caratteri aggiuntivi.

Spesso, i cyber criminali si sono avvalsi, in una sola volta, di numerose tecniche, allo scopo di nascondere il link originale; allo stesso tempo, gli spammer hanno fatto uso dei consueti metodi di “imbrattamento”:

Qui, ad esempio, prima del carattere @, è stato collocato il nominativo di un sito, allo scopo di sviare l’attenzione ed inquinare il link; di seguito troviamo il redirect verso il servizio di URL brevi (che è stato imbrattato con una certa quantità di caratteri @); in pratica, l’utente giunge sul sito di spam solo attraverso quest’ultimo.

Le statistiche

Quote di spam rilevate nel traffico di posta elettronica

Nel 2016 la quota dello spam presente nel traffico e-mail globale ha fatto registrare un incremento di 3,03 punti percentuali rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 58,31%.

Quote percentuali di spam rilevate mensilmente nel traffico di posta elettronica globale
nel corso del 2016

La quota di spam più contenuta, pari al 54,61%, è stata osservata nel mese di febbraio del 2016. In seguito, tale importante indice è progressivamente cresciuto; esso ha raggiunto il proprio picco nella parte finale dell’anno, ed esattamente nel mese di novembre (61,66%).

È di particolare interesse rilevare come l’ultimo incremento della quota relativa ai messaggi di spam individuati nei flussi e-mail mondiali sia stato riscontrato ben 8 anni fa, nel 2009. Da allora, la quota di spam è progressivamente diminuita, passando dall’85,2% – valore di picco fatto registrare nel 2009 – ad un molto più contenuto 55,28%, per essa rilevato riguardo all’anno 2015. Tale significativa diminuzione è stata da noi imputata al graduale abbandono delle pratiche di spam da parte delle imprese di piccole e medie dimensioni, approdate, con il trascorrere degli anni, ad altre piattaforme di advertising, del tutto legali.

Quote percentuali di spam rilevate nel traffico e-mail mondiale –
Situazione relativa al periodo 2009 – 2016

Probabilmente, il processo in corso si è arrestato in quanto, coloro che desideravano e potevano non utilizzare i servizi resi dagli spammer, nella maggior parte dei casi hanno semplicemente smesso di farlo. Il lieve aumento dell’indice percentuale registratosi nell’arco dell’anno qui preso in esame è poi dovuto, essenzialmente, al repentino aumento del numero dei messaggi di spam contenenti allegati dannosi.

Geografia delle fonti di spam

Geografia delle fonti di spam rilevate nel corso del 2016 – Graduatoria su scala mondiale

Nel 2016, sono intervenuti significativi cambiamenti nella graduatoria dei Paesi leader relativamente alle fonti dello spam mondiale: osserviamo, in primo luogo, come il terzo gradino del “podio virtuale” sia andato ad appannaggio dell’India (10,15%); nell’arco di un anno, la quota relativa allo spam distribuito in Rete dal territorio del Paese asiatico è in effetti più che triplicata (+ 7,19 punti percentuali rispetto al 2015). Un aumento così repentino può di fatto essere indice dell’allestimento di varie botnet all’interno di tale area geografica. Si è poi registrato un notevole incremento della quota percentuale attribuibile al Vietnam (10,32%; + 4,19%); il Paese del Sud-est asiatico – terzo nella graduatoria dell’anno precedente – è andato in tal modo ad occupare il secondo posto del ranking da noi stilato. La leadership della classifica riservata alle fonti geografiche dello spam mondiale continua ad essere detenuta dagli Stati Uniti (12,08%), nonostante l’indice relativo al Paese nordamericano sia diminuito, su base annua, di 3,08 punti percentuali.

La Cina (4,66%), da parte sua, si è nuovamente collocata in quarta posizione; la quota relativa al Paese dell’Estremo Oriente ha tuttavia evidenziato una flessione dell’1,46%. Seguono, all’interno della speciale graduatoria, due Paesi latino-americani: Messico (4,40%) e Brasile (4,01%). Rileviamo, inoltre, come non faccia più parte dell’organo direttivo dei leader la Russia (3,53%); la quota ad essa ascrivibile ha fatto registrare una marcata diminuzione, pari a 2,62 punti percentuali. La Federazione Russa è andata in tal modo a collocarsi alla settima posizione del rating delle fonti di spam.

L’ottava e la nona posizione risultano occupate, rispettivamente, da Francia (3,39%, + 0,22%) e Germania (3,21%, – 1,03%). Chiude infine la TOP 10 la Turchia, il cui indice si è attestato su un valore pari al 2,29%, con un incremento di 0,34 punti percentuali rispetto all’analoga graduatoria del 2015.

Dimensioni dei messaggi di spam

Nel 2016, all’interno dei flussi globali di spam, ha fatto segnare un sensibile decremento la quota relativa ai messaggi di posta elettronica aventi dimensioni estremamente contenute (sino a 2 kilobyte); tale indice si è in effetti attestato su un valore medio pari al 62,16%, ovvero -16,97 punti percentuali rispetto al 2015. Risulta diminuita in maniera significativa anche la quota inerente alle e-mail “spazzatura” con dimensioni comprese tra i 2 Kb ed i 5 Kb (4,70%).

Dimensioni delle e-mail di spam – Quadro relativo al 2016

Per contro, sono aumentati in maniera considerevole gli indici percentuali riguardanti i messaggi di spam aventi dimensioni tra i 5 Kb ed i 10 Kb (6,15%), tra i 10 ed i 20 Kb (14,47%), e tra i 20 ed i 50 Kb (10,08%). Complessivamente, nel 2016, è emersa una precisa tendenza, all’interno del traffico di spam: è sensibilmente diminuito il numero delle e-mail caratterizzate da dimensioni estremamente ridotte, mentre hanno fatto registrare un pronunciato aumento, a livello di quantità, i messaggi di posta elettronica di medie dimensioni (dai 5 Kb ai 50 Kb). Tale incremento è dovuto, in particolar modo, al repentino aumento della quota inerente ai messaggi di spam con allegati dannosi.

Allegati dannosi rilevati nel traffico e-mail

Famiglie di malware maggiormente diffuse nei flussi di spam globali

TOP 10 delle famiglie di malware, 2016

Nel 2016, la famiglia di software nocivi maggiormente diffusa nel traffico e-mail mondiale si è rivelata essere Trojan-Downloader.JS.Agent. Il tipico rappresentante di questa insidiosa famiglia di software dannosi è uno script offuscato, compilato in JavaScript; i downloader in questione si avvalgono, inoltre, della tecnologia ADODB.Stream, la quale consente loro di scaricare file DLL, EXE e PDF, e lanciare poi l’esecuzione degli stessi sul computer-vittima.

La seconda posizione della speciale graduatoria risulta occupata dai malware appartenenti alla famiglia Trojan-Downloader.VBS.Agent. Si tratta, nella fattispecie, di script VBS; anch’essi utilizzano la tecnologia ADODB.Stream, per effettuare il download di archivi ZIP, ed avviare poi l’esecuzione, sul computer infetto, del malware estratto da tali file compressi.

Al terzo posto della TOP 10 da noi elaborata troviamo poi la famiglia Trojan-Downloader.MSWord.Agent. Tali programmi nocivi si presentano sotto forma di file provvisti di estensione DOC, con tanto di apposita macro incorporata, scritta in VBA (Visual Basic for Applications), la quale viene automaticamente eseguita al momento dell’apertura del documento. La macro provvede a scaricare dal sito web dei cyber criminali un ulteriore file nocivo, successivamente eseguito sul computer dell’utente-vittima.

La quarta posizione del rating è andata ad appannaggio della famiglia di malware classificata come Trojan-Downloader.JS.Cryptoload. Gli oggetti nocivi ad essa riconducibili sono, essenzialmente, dei JavaScript offuscati, preposti a generare il download e la successiva esecuzione di un temibile malware crittografico sul computer preso di mira.

In coda alla TOP 5 troviamo la famiglia denominata Trojan.Win32.Bayrob. I programmi Trojan ad essa riconducibili sono in grado di scaricare dal relativo server di comando e controllo ulteriori moduli nocivi, in seguito lanciati sulla macchina infetta; i Trojan in questione, inoltre, possono ugualmente agire in veste di proxy server. Essi vengono principalmente utilizzati per effettuare l’invio di spam, e per realizzare il furto dei dati personali.

La sesta posizione della graduatoria risulta occupata dalla famiglia Trojan-PSW.Win32.Fareit. Gli scopi principali che si prefiggono i programmi pericolosi appartenenti alla famiglia Fareit sono rappresentati dai seguenti elementi: furto dei dati utilizzati nell’ambito dei client FTP installati sul computer infetto; sottrazione delle credenziali relative ai programmi adibiti al cloud storage; furto dei cookie presenti nei browser web; sottrazione delle password utilizzate per i programmi di posta elettronica. I Trojan Fareit provvedono poi a trasmettere le informazioni illecitamente carpite al server allestito dai cyber criminali. Alcuni rappresentanti di tale famiglia sono infine in grado di scaricare ed eseguire ulteriori programmi nocivi sui computer sottoposti ad attacco.

Alla settima posizione del rating qui analizzato troviamo la famiglia di malware denominata Trojan-Downloader.JS.SLoad. Si tratta, nello specifico, di script JS adibiti a scaricare sul computer-vittima ulteriori programmi nocivi – in genere temibili malware crittografici – per poi avviare l’esecuzione degli stessi.

L’ottava posizione della speciale TOP 10 è occupata dalla famiglia Trojan.Java.Agent. I programmi dannosi ad essa riconducibili risultano scritti in linguaggio Java, e sono provvisti di estensione JAR. Tali applicazioni dannose sfruttano determinate vulnerabilità individuate in Sun Java Runtime, e sono in grado di distruggere, bloccare, modificare o copiare i dati, così come di generare il download e la conseguente esecuzione sulla macchina infetta di altri software nocivi.

Al nono posto si è insediata la famiglia Backdoor.Win32.Androm. Questi programmi malware appartengono alla famigerata famiglia battezzata dagli esperti di sicurezza informatica con l’appellativo di Andromeda (altrimenti conosciuta come Gamarue), la quale raggruppa diverse varianti di bot modulare universale. Le principali funzionalità di cui sono dotati tali bot modulari sono le seguenti: download di un file eseguibile, il quale sarà successivamente custodito ed eseguito all’interno del computer-vittima; download e caricamento di determinate DLL nocive (senza che le stesse vengano necessariamente salvate su disco); possibilità di effettuare auto-aggiornamenti ed auto-rimuoversi dal sistema sottoposto ad attacco informatico. A tal proposito, è di particolare interesse sottolineare come i cyber criminali, di fatto, siano soliti estendere le funzionalità qui sopra descritte tramite appositi plug-in, i quali possono essere, in qualunque momento, agevolmente caricati dai cyber criminali, nelle quantità che si rivelano di volta in volta necessarie.

La decima posizione della graduatoria da noi stilata risulta infine occupata dalla famiglia di malware Worm.Win32.WBVB. Fanno parte di essa dei file eseguibili scritti nel linguaggio di programmazione Visual Basic 6 (sia in modalità P-code che in modalità Native), i quali non risultano attendibili nell’ambito della rete globale di sicurezza KSN (Kaspersky Security Network).

Paesi maggiormente bersagliati dalle mailing di massa nocive

Ripartizione per Paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del 2016

Così come in precedenza, la leadership della graduatoria relativa alle aree geografiche verso le quali vengono inviate le maggiori quantità di spam nocivo — ovvero i Paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail — è andata ad appannaggio della Germania (14,13%), la cui quota, nell’arco di un anno, è tuttavia diminuita di 4,93 punti percentuali. Sul secondo e sul terzo gradino del “podio” virtuale si sono collocati due Paesi situati nella macro-regione Asia-Pacifico, ovvero Giappone (7,59%) e Cina (7,32%); tali Paesi, nel 2015, si trovavano ben oltre la decima posizione, all’interno del rating qui analizzato.

La Russia (5,6%), che in precedenza occupava la terza posizione del ranking in questione, nel 2016 si è inserita al quarto posto della graduatoria; la quota relativa ai rilevamenti eseguiti dal nostro antivirus e-mail sul territorio della Federazione Russa ha di fatto evidenziato una leggera flessione, pari a 0,7 punti percentuali. Seguono poi, nell’ambito della speciale classifica, Italia (5,44%), Gran Bretagna (5,17%) e Brasile (4,99%); ricordiamo, a tal proposito, che un anno fa il Paese sudamericano faceva addirittura parte della trojka dei leader.

Gli Stati Uniti, da parte loro, si sono collocati all’ottava posizione della graduatoria; per quel che riguarda gli USA, l’indice relativo ai rilevamenti effettuati dal nostro modulo antivirus dedicato ai flussi e-mail si è attestato su un valore pari al 4,03%, ovvero 0,89 punti percentuali in meno rispetto all’analoga quota fatta registrare nell’anno precedente.

Chiude la TOP-10 l’Austria (2,35%), il cui indice ha fatto segnare un incremento dello 0,93%.

Phishing

Nel 2016, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 154.957.897 rilevamenti eseguiti grazie al sistema “Anti-phishing”, nel momento in cui sono stati effettuati tentativi di accesso a siti allestiti dai phisher. Si è trattato, complessivamente, di 6.562.451 rilevamenti in più rispetto al 2015. È risultato sottoposto ad attacco, in totale, il 15,29% dei nostri utenti.

I temi “caldi” dell’anno

Anche nel 2016 i phisher, come al solito, non hanno affatto “trascurato” gli avvenimenti più eclatanti dell’anno, quali, ad esempio, le Olimpiadi svoltesi in Brasile. Nella circostanza, sono stati presi di mira, dai cyber criminali, sia gli organizzatori stessi dei Giochi Olimpici di Rio de Janeiro 2016, sia gli utenti ordinari della Rete, i quali si sono visti recapitare, nelle proprie e-mail box, false notifiche relative a fantomatiche vincite ottenute grazie ad una speciale lotteria dedicata al popolare evento sportivo, lotteria organizzata, apparentemente, dallo stesso governo del Paese sudamericano e dal Comitato Olimpico, per celebrare l’attesa edizione brasiliana dei Giochi.

Allo stesso modo, sono divenute un ottimo pretesto mediatico, per gli attacchi dei phisher, anche le elezioni presidenziali tenutesi negli Stati Uniti. I cyber criminali si sono avvalsi di tale tematica – per trarre in inganno gli utenti di Internet – non solo negli USA, ma anche in altri Paesi.

Un altro tema di particolare interesse, al quale abbiamo peraltro dedicato un’indagine a parte, si sono rivelati essere i saldi allestiti in occasione di determinate festività. Sfruttando il generale clima euforico, ed un pretesto di sicuro molto convincente dal punto di vista informativo, i truffatori hanno appositamente creato siti web fasulli, mascherati in veste di negozi Internet o sistemi di pagamento online, attirando poi le potenziali vittime con la promessa di sconti davvero sostanziosi.

Esempio di falso negozio online

Spesso, inoltre, divengono un “valido” pretesto, per questi truffatori della Rete, le festività stesse. In occasione del nuovo anno, ad esempio, si può richiedere alla vittima di aggiornare le informazioni relative al proprio account.

Esempio di pagina web di phishing in cui si ricorre all’utilizzo del tema del nuovo anno
nel nome di sottodominio

Metodi di diffusione utilizzati

Nel 2016, i cyber criminali hanno fatto uso di tutti i mezzi e gli strumenti disponibili per poter entrare in contatto con gli utenti, ed indurre così questi ultimi a trasmettere informazioni di natura confidenziale o dati sensibili relativi alla sfera finanziaria: social network, annunci pubblicitari pop-up, banner, SMS; i cyber criminali sfruttano tutto questo, e molto altro ancora, nell’ambito degli schemi dannosi messi in atto.

Tra le pratiche fraudolente di maggior interesse, spiccano, indubbiamente, le azioni criminali che prendono di mira i servizi di compravendita di oggetti ed articoli di seconda mano. Nella fattispecie, i cyber criminali hanno prima raccolto i numeri di telefono attraverso gli annunci inseriti su tali servizi, ed hanno in seguito inviato a tali numeri appositi SMS contenenti una proposta di scambio con pagamento aggiuntivo. Nel messaggio è stato collocato un link dannoso, destinato a condurre, in apparenza, alla foto dell’oggetto proposto; in realtà, la vittima sarebbe in tal modo giunta su’insidiosa pagina di phishing.

I cyber criminali hanno spesso utilizzato, nei propri schemi, i social network, e questo non ha riguardato esclusivamente i messaggi personali. I truffatori, nel 2016, hanno ad esempio fatto uso di un singolare metodo dannoso, attraverso il quale essi hanno indotto un elevato numero di utenti di Facebook, ubicati in tutto il mondo, ad installare un’estensione dannosa per il proprio browser: tale metodo consiste nel taggare la vittima in un post contenente un link di phishing, destinato a indirizzare, apparentemente, verso un video dai contenuti “provocanti”.

In Europa è stata distribuita, prevalentemente, l’estensione dannosa “xic. graphics”, la quale, tuttavia, è stata ben presto rimossa dal negozio. È comunque emerso – in base alle informazioni disponibili attraverso Whois – che a nome dei proprietari dell’omonimo dominio, in cui risultava collocata la pagina web fasulla, erano stati registrati più di 50 ulteriori domini. Probabilmente, gli stessi venivano utilizzati per scopi analoghi.

Trucchi e sotterfugi utilizzati dai phisher: i servizi “referer cleaner”

Nel quarto trimestre del 2016 è stata da noi osservata una precisa tendenza relativa all’utilizzo, da parte dei cyber criminali, di servizi “referer cleaner”. In pratica, alla vittima viene inviato un messaggio a nome di qualche nota società; l’e-mail in questione contiene un link che incorpora, nei propri parametri, l’indirizzo di posta elettronica della vittima.

Cliccando su tale link, l’utente giunge ad una pagina che restituisce l’errore 302, ed indirizza la potenziale vittima verso l’URL del servizio referer cleaner, il quale a sua volta redirige verso il sito legittimo della banca.

http://nullrefer.com/?https://www.cartalis.it/cartalis/prepagata/index.jsp

In tal modo, l’utente non sa di aver ricevuto un’e-mail di phishing, mentre la banca non riceve il dominio di phishing nell’ambito dei propri referer. Allo stesso tempo, i phisher ottengono la conferma riguardo al fatto che l’utente ha effettivamente cliccato sul link; questo significa che, in futuro, risulterà possibile inviare alla vittima nuovi messaggi di phishing, allo scopo, ad esempio, di rubare i dati relativi alla carta di credito di cui la stessa dispone. In questo modo, i cyber criminali “ripuliscono” i propri database dagli indirizzi e-mail non utilizzati e dagli utenti più vigili ed esperti; inoltre, essi identificano i clienti dell’istituto bancario il cui nominativo è stato di fatto utilizzato nei messaggi: ciò consente di poter rendere decisamente più mirati le mailing eseguite.

Geografia degli attacchi

TOP 10 relativa ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Leader della speciale classifica relativa alle quote percentuali di utenti unici sottoposti ad attacco, sul numero totale di utenti nel Paese, è divenuto il Brasile (27,61%); l’indice ascrivibile al Paese sudamericano ha peraltro fatto registrare un significativo aumento, pari a 5,98 punti percentuali.

Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati, nel corso del 2016, rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel Paese

Siamo soliti osservare, per quel che riguarda il Brasile, un elevato numero di attacchi rivolti agli utenti di banche e negozi online; non costituisce quindi motivo di particolare sorpresa il fatto che tale Paese faccia spesso parte del novero dei leader della speciale classifica relativa al numero di utenti complessivamente attaccati dai phisher.

Desideriamo evidenziare come questi ultimi, di frequente, collochino le pagine web contraffatte su server appartenenti ad autorità statali ed istituzioni governative brasiliane. Si tratta di uno dei vari metodi praticati per cercare di far sì che gli URL di phishing non vengano inseriti nelle apposite blacklist; in tal modo, inoltre, si cerca di innalzare il grado di fiducia da parte dell’utente-vittima. Nel corso del 2016 abbiamo complessivamente individuato 1.043 casi del genere.

Una pagina web fasulla collocata sul dominio gov.br

TOP-10 relativa ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Il secondo posto del rating risulta occupato dalla Cina (22,84%): ricordiamo, a tal proposito, che il Paese dell’Estremo Oriente non faceva parte dell’analoga ТОР 10 relativa al 2015; di fatto, nel 2016, la Cina ha visto aumentare la propria quota di ben 5,87 punti percentuali. Il terzo posto della graduatoria da noi stilata è andato ad appannaggio dell’Australia (20,07%), la cui quota ha fatto registrare un incremento del 2,39%; un anno fa, il Paese-continente dell’emisfero australe occupava soltanto la settima posizione della TOP 10 in questione. Gli indici percentuali relativi agli altri Paesi facenti parte di tale classifica presentano solo lievi variazioni, ad eccezione dell’Arabia Saudita, la cui quota ha invece evidenziato un significativo aumento, pari al 4,9%

Ripartizione degli attacchi per Paesi

La graduatoria che tiene in considerazione il numero di rilevamenti eseguiti dal sistema “Anti-phishing” nei vari Paesi del globo (in relazione al numero complessivo di rilevamenti effettuati dal nostro prodotto in tutto il mondo, nell’arco di un anno) risulta capeggiata dalla Russia (16,12%), il cui indice, rispetto all’analogo rating del 2015, ha fatto tuttavia registrare un decremento pari a 1,68 punti percentuali.

Ripartizione per Paesi del numero di rilevamenti eseguiti da tale componente di sicurezza
nel corso del 2016

Così come nel 2015, alle spalle della Russia troviamo il Brasile (8,77%): nell’arco di un anno, la quota attribuibile al Paese sudamericano è rimasta sostanzialmente immutata (si è registrata, per essa, solo una lievissima variazione, pari allo 0,03%). L’indice ascrivibile agli USA (8,01%) è aumentato di 0,5 punti percentuali; gli Stati Uniti hanno in tal modo “scalzato” l’India (6,01%) dal terzo posto della graduatoria. Rileviamo, infine, come sia entrata a far parte della TOP 5 anche la Cina (7,86%).

Quadro delle organizzazioni sottoposte agli attacchi di phishing

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli attacchi di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare tutte le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link dannosi presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – nel caso in cui i collegamenti ipertestuali che conducono a tali pagine non risultino ancora inseriti nei database di Kaspersky Lab.

Graduatoria delle organizzazioni – suddivise in categorie – prese di mira dai phisher

Nella seconda metà del 2016 è sensibilmente aumentata la quota relativa al phishing diretto ai clienti delle organizzazioni finanziarie (44,16% nel primo trimestre, contro il 48,14% fatto registrare nel quarto). Tale crescita viene da noi osservata già da alcuni anni: nel 2014 la quota media annuale si era attestata al 28,74%; nel 2015 al 34,33%; nel 2016 tale indice ha fatto segnare un valore pari al 47,47%.

Si è dimostrato particolarmente rilevante, nel 2016, l’aumento (+ 8,31%) ascrivibile alla categoria “Banche” (25,76%). Significativa, poi, anche la crescita delle quote riguardanti le due ulteriori categorie finanziarie abitualmente prese in considerazione, ovvero “Negozi Internet” (10,17%; + 1,09%) e “Sistemi di pagamento” (11,55%; +3.75%).

Ripartizione per categorie delle organizzazioni i cui utenti, nel corso del 2016, sono risultati sottoposti agli attacchi di phishing

Occorre rilevare, al contempo, la diminuzione delle quote relative alle altre categorie principali. Così, i “Portali Internet globali” (24,10%) hanno perso, complessivamente, 7,77 punti percentuali, mentre la quota relativa ai “Social network e blog” (10,91%) ha fatto registrare un decremento del 5,49%.

In generale, le priorità “coltivate” dai cyber criminali non cambiano, di anno in anno. I phisher, nell’ambito dei propri schemi nocivi, utilizzano in primo luogo quei brand che possono produrre i massimi profitti finanziari, grazie agli attacchi condotti nei confronti dei clienti degli stessi, oppure che permettono di “abbracciare” il maggior numero possibile di potenziali vittime.

Sono ugualmente presenti, nell’ideale scala delle priorità fissata da tali truffatori, gli attacchi che consentono di ottenere le maggiori quantità possibili di informazioni confidenziali, e di conseguenza, di denaro. Prendiamo, ad esempio, la categoria “Portali Internet globali” (Google, Yahoo!, Microsoft (live.com) ed altri ancora): tali portali si avvalgono di un unico account per ottenere l’accesso a tutta una serie di servizi. Così, a seguito di una campagna di phishing dall’esito positivo, i cyber criminali potranno, di fatto, impadronirsi dell’accesso a tutti i servizi di cui usufruisce la vittima.

Esempio di una pagina web di phishing utilizzata per condurre attacchi
nei confronti degli utenti di Google

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Al primo posto troviamo, nuovamente, la società Yahoo! (7,84%), nonostante, nell’arco di un anno, la quota relativa ai rilevamenti effettuati da parte del nostro componente di sicurezza riguardo a pagine web contraffatte in cui è stato menzionato tale marchio – sia notevolmente diminuita (- 6,86%). Ricordiamo che, nel 2015, l’analoga quota aveva addirittura fatto registrare un decremento di quasi 10 punti percentuali. La società in questione, da parte sua, sta attivamente combattendo contro i phisher, ad esempio registrando a proprio nome un elevato numero di domini offuscati (yshoogames.com, ypyahoo.com.cn, yhoonews.com, yhoooo.com, yayoo.com, yahou.com), domini che, in teoria, potrebbero essere utilizzati da cyber criminali. Tuttavia i phisher, piuttosto di frequente, non creano dei domini di phishing veri e propri, ma collocano i loro insidiosi contenuti su siti web del tutto legittimi, ovviamente all’insaputa dei proprietari degli stessi.

Esempio di pagina web di phishing allestita allo scopo di sfruttare illecitamente il brand Yahoo!

Il secondo marchio in termini di “popolarità”, presso i cyber criminali, dietro al quale questi ultimi si sono celati per condurre i propri attacchi, è divenuto Facebook (7,13%). Nel 2016, ad ogni caso, la quota relativa al celebre social network è diminuita del 2,38%.

Sono state da noi osservate, sia pagine di phishing di stampo “classico”, volte ad imitare il layout e il contenuto della pagina di accesso a Facebook, sia ulteriori varianti di pagine web contraffatte preposte al furto dei dati. Uno dei metodi più diffusi per attirare la vittima consiste nel promettere la visione di materiale vietato ai minori, in caso di accesso al sistema mediante l’abituale inserimento di login e password.

Dal momento che il phishing di massa sfrutta i nominativi dei brand che godono di maggiore popolarità presso il pubblico degli utenti, allo scopo di aumentare le probabilità di colpire il bersaglio, e visto che tali marchi sono spesso internazionali, l’attacco viene portato nei confronti degli utenti ubicati, in pratica, in ogni angolo del mondo. Ne consegue che possiamo facilmente imbatterci in campagne di phishing condotte in numerose lingue. Uno dei metodi utilizzati dai phisher è stato da noi descritto nell’analogo report relativo al terzo trimestre dell’anno qui esaminato. Utilizzando le informazioni relative all’indirizzo IP della potenziale vittima, i cyber criminali riescono a determinare il Paese in cui si trova, effettivamente, quest’ultima. In seguito, a seconda del paese individuato, i cyber criminali utilizzano, per quel che riguarda la successiva visualizzazione della pagina da parte dell’utente, lo specifico vocabolario relativo alla lingua parlata da quest’ultimo.

Il terzo posto della speciale ТОР 3 da noi stilata risulta occupato dalla società Microsoft (6,98%). Nascondendosi dietro a tale brand, i phisher, nella maggior parte dei casi, cercano di carpire i dati relativi agli account presenti sul portale live.com. In genere, per far ciò, vengono utilizzate pagine web che imitano l’accesso al servizio e-mail fornito dalla società.

Esistono, tuttavia, ulteriori schemi pericolosi, ad esempio il cercare di riprodurre la pagina Internet adibita alla verifica dell’account:

Conclusioni e previsioni

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso; possiamo quindi attenderci, per il 2017, quantità di spam pericoloso di certo non inferiori.

Nel 2016, lo spam è divenuto particolarmente popolare anche presso le imprese di piccole e medie dimensioni situate in territorio cinese. Uno dei possibili motivi di tale circostanza è rappresentato dal Great China Firewall, il sofisticato sbarramento digitale che crea notevoli difficoltà ai businessmen cinesi che intendono accedere alle piattaforme di advertising internazionali del tutto legittime.

Per quel che riguarda le tecniche utilizzate dagli spammer nel corso del 2016, sottolineiamo il diffuso impiego di vari metodi adibiti a mascherare, o “imbrattare”, il testo dei messaggi ed i link in essi contenuti, mediante lo sfruttamento di funzionalità di vario genere indirettamente offerte dal codice HTML. Si tratta, ad ogni caso, di un “trucco” ormai piuttosto datato, anche se gli spammer escogitano sempre nuove varianti, riguardo all’utilizzo dello stesso; è del tutto evidente che questi ultimi continueranno a sfruttare simili tecniche anche in futuro.

La quota dello spam presente nel traffico e-mail mondiale ha fatto registrare un aumento di 3,03 punti percentuali rispetto all’analogo indice riscontrato nell’anno precedente, e si è così attestata su un valore medio pari al 58,31%. Si tratta del primo effettivo incremento rilevato, per tale importante parametro, dal 2009 in poi; esso è stato in parte determinato dal repentino aumento delle quantità di spam nocivo messe in circolazione dai cybercriminali.

Ormai da alcuni anni stiamo osservando la specifica tendenza che vede un significativo aumento del numero di schemi fraudolenti rivolti ai clienti delle organizzazioni finanziarie; riteniamo che tale tendenza rimarrà di fatto invariata anche nell’immediato futuro. Gli stessi attacchi stanno assumendo un carattere di sempre maggiore versatilità: la pagina web contraffatta viene così plasmata in base alla specifica tipologia di utente presa di mira; le informazioni trasmesse alle potenziali vittime vengono ad esempio fornite nell’effettiva lingua di destinazione, assieme ad ulteriori dati.

I metodi utilizzati per la diffusione dei contenuti di phishing vanno ormai ben oltre i semplici messaggi di posta elettronica; i cyber criminalii si avvalgono, in effetti, di tutti i mezzi e gli strumenti disponibili per entrare in contatto con le potenziali vittime: SMS, pubblicità, social network. Questi ultimi rappresentano, per i phisher, non solo un ottimo canale di comunicazione; involontariamente, essi costituiscono, per tali cyber criminali, una preziosa risorsa che permette di raccogliere informazioni utili a rendere ancor più efficaci gli attacchi condotti.