Il rapporto di Akamai evidenzia come gli attacchi web sferrati contro il settore dei servizi finanziari hanno rappresentato il 12% degli attacchi globali registrati nel 2020.
Nel 2020, si sono verificati 193 miliardi di attacchi di credential stuffing a livello globale, di cui 3,4 miliardi nel settore dei servizi finanziari con una crescita del 45% rispetto al 2019.
Lo rivela il nuovo report sullo Stato di Internet “Il phishing nel settore finanziario“ condotto da Akamai, un’analisi del traffico degli attacchi di credential stuffing e alle applicazioni web sferrati contro i servizi finanziari a livello globale.
Credential stuffing: gli attacchi al settore dei servizi finanziari hanno rappresentato il 12%
Il rapporto, sviluppato in collaborazione con la società di intelligence sulle minacce WMC Global, evidenzia come gli attacchi web sferrati contro il settore dei servizi finanziari hanno rappresentato il 12% degli attacchi globali registrati nel 2020. L’azienda ha registrato 736.071.428 attacchi web sferrati contro il settore dei servizi finanziari nel 2020. Il principale tipo di attacco web rivolto contro i servizi finanziari è stato rappresentato dall’attacco LFI (Local File Inclusion) (52%), seguito dagli attacchi SQL injection (33%) e Cross-Site Scripting (9%).
Come risulta nel rapporto, il kit di phishing Kr3pto, che prende di mira gli istituti finanziari e i relativi clienti tramite SMS, ha effettuato lo spoofing di 11 brand nel Regno Unito in oltre 8.000 domini a partire da maggio 2020.
In questo rapporto, viene presentata una ricerca condotta sugli autori delle minacce e sui kit di phishing utilizzati per prendere di mira il settore dei servizi finanziari o i suoi utenti. Il settore dei servizi finanziari nel Regno Unito è stato di recente minacciato da un autore di attacchi relativamente nuovo che ha sviluppato kit di phishing dinamici in grado di eludere in modo efficace metodi di autenticazione secondari.
Il kit di phishing Kr3pto
Kr3pto ha attirato l’attenzione di WMC Global e Akamai dopo aver sferrato i suoi kit di phishing contro 11 diverse banche nel Regno Unito. Considerando la portata e il rapido avanzamento degli attacchi sferrati contro le banche, entrambe le società erano ansiose di indagare sulla loro origine.
Questo kit di phishing prende di mira i nomi utente e le password delle sue vittime, nonché qualsiasi metodo di autenticazione secondario utilizzato, come domande/risposte di sicurezza e PIN inviati tramite SMS. Il workflow utilizzato da questi kit è agile e si adatta dinamicamente all’experience della vittima quando accede alla propria banca.
Kr3pto inizia l’attacco inviando alla vittima “un’esca” tramite un messaggio SMS, in cui segnala un account bloccato o la configurazione di un nuovo beneficiario. Tra il 12 gennaio e il 12 febbraio 2021, WMC Global ha monitorato più di 4.000 campagne collegate al kit Kr3pto che sono state effettuate tramite SMS. Le “esche” vengono inviate tramite SMS per “offuscare” le finalità degli attacchi. La maggior parte dei reparti operativi aziendali, così come le soluzioni per la sicurezza degli endpoint domestici e gli account e-mail generici, impediscono alle e-mail dannose di raggiungere la posta in arrivo della vittima.
Questi sistemi di protezione non sono perfetti, ma evitano il verificarsi della maggior parte degli attacchi. Ecco perché i criminali sono passati all’utilizzo degli SMS e, persino, dei social media per inviare le loro “esche”.
I kit dinamici come Kr3pto cercano di sfruttare la mancanza di potenti opzioni 2FA, non solo nel settore dei servizi finanziari, ma a livello globale. Il processo utilizzato dal kit Kr3pto per raggiungere questo obiettivo non è nuovo, ma la sua ampia diffusione implica il rischio che possa diventare una pratica comune nel prossimo futuro. Gli istituti finanziari, così come altri importanti brand di consumo, devono adottare alternative 2FA/MFA più potenti per la
protezione e la mitigazione di questi attacchi.
Il kit di phishing ExRobotos
In questo rapporto, viene esaminato anche un kit di phishing aziendale noto come ExRobotos. I kit di phishing che prendono di mira gli account aziendali comportano un rischio particolarmente elevato, perché creano un’esposizione maggiore rispetto alla vittima presa di mira. Le credenziali compromesse dai kit di phishing aziendali rendono immediatamente vulnerabile l’account in questione, come il sistema della posta elettronica dell’ufficio o
l’archivio dei documenti.
Esaminando i registri relativi al kit Ex-Robotos, WMC Global ha rilevato una vasta campagna di attacchi sferrati per compromettere le credenziali, spesso da parte di gruppi di criminali online, che cercano di “inondare” un sito web di phishing con nomi utente/password fittizi nel tentativo di indebolire i registri con queste informazioni e rendendo quasi impossibile per l’autore della minaccia elaborare tutti i dati per individuare vittime reali.
I kit di phishing come Ex-Robotos e Kr3pto sono solo la punta dell’iceberg: centinaia di kit vengono sviluppati e distribuiti ogni giorno. Gli attacchi sono implacabili: l’economia del phishing nel suo complesso è cresciuta in modo esponenziale su base annua, poiché gli sviluppatori sfruttano le stesse tecnologie e le medesime tecniche web che consentono alle aziende di rimanere agili e aggiornate.