PREVISIONI SULLA SICUREZZA DELLA POSTA ELETTRONICA PER IL 2021
6 modi in cui gli hacker prenderanno di mira le aziende

La posta elettronica è uno dei metodi più diffusi di corrispondenza online, soprattutto per le aziende. Tuttavia, gran parte del malware installato su reti compromesse proviene da un allegato di posta elettronica. Senza le giuste misure di sicurezza, la posta elettronica può facilmente fungere da gateway per tentativi di phishing e collegamenti e allegati dannosi.

1. Il dirottamento dei thread crescerà

Una tecnica presente nell’ondata di attacchi malware Emotet iniziata nel luglio 2020, il thread hijacking è una formidabile minaccia alla sicurezza delle e-mail che crescerà sensibilmente. La tecnica consiste nell’utilizzare le conversazioni e-mail esistenti con le vittime per diffonderle a nuove vittime.

Utilizzando strumenti come Outlook Scraper, i gruppi di Emotet ottengono l’accesso ai thread di posta elettronica sui computer infetti. Una volta dentro, gli hacker si iniettano nei thread e chiedono ai destinatari di fare clic su un collegamento dannoso o di aprire un documento Word infetto.

Il dirottamento del thread ha molto successo per due motivi: in primo luogo, perché l’e-mail dannosa viene inviata da un mittente attendibile (l’utente la cui e-mail è infetta), e in secondo luogo, il contesto della discussione esistente abbassa la guardia dei destinatari presi di mira.

2. Le minacce remote basate su immagini spingono al limite i filtri di sicurezza della posta elettronica

Basandosi sul successo delle tecniche di manipolazione delle immagini per bypassare i filtri e-mail, gli hacker ora utilizzano immagini remote per archiviare contenuti testuali dannosi.

A differenza delle immagini incorporate nell’e-mail, le immagini remote devono essere recuperate su una rete. Il rilevamento di un’immagine remota su una rete è complesso e richiede tempo e non può essere eseguito in tempo reale. Di seguito sono riportate alcune delle tecniche utilizzate dagli hacker per confondere i filtri di posta elettronica con le immagini remote:

Utilizzo di URL univoci per rendere inefficiente la lista nera degli URL
Utilizzo di reindirizzamenti multipli per rallentare il recupero dell’immagine
Uso di tecniche di occultamento per rendere inefficace il recupero dell’immagine
Hosting delle immagini remote dannose finali su un dominio di alta reputazione (wikipedia.com, github.com, ecc.) In modo che sia impossibile inserire nella blacklist il dominio finale
Meno contenuto testuale nell’immagine per rendere meno efficaci le tecniche OCR (Optical Character Recognition) e NLP (Natural Language Processing)
Analizzare ed estrarre contenuti rilevanti dalle immagini è costoso, richiede molta CPU e non è ampiamente disponibile nei filtri e-mail commerciali. Per questo motivo possiamo aspettarci di vedere più hacker che utilizzano immagini remote nel 2021.

3. Gli account compromessi presenteranno nuove opportunità

Gli account compromessi sono al centro delle tecniche di dirottamento dei thread negli attacchi Emotet di quest’anno. Ma vengono anche utilizzati in modi sempre più intelligenti, comprese enormi ondate di spam.

Con le credenziali dell’account compromesse lo spammer si connette all’account dell’utente compromesso tramite IMAP per depositare l’email di spam. Questa tecnica consente a un hacker di aggirare completamente un filtro e- mail e, senza funzionalità di post-riparazione, è molto difficile bloccarlo.

Il successo che stiamo vedendo non lascia dubbi sul fatto che questa minaccia e la corsa per fermarla continueranno per tutto il 2021.

4. La compromissione della posta elettronica aziendale diventerà globale

La crescita della compromissione della posta elettronica aziendale (BEC) e la difficoltà di rilevarla hanno portato a nuovi progressi nell’analisi dei contenuti tramite l’intelligenza artificiale. Tuttavia, la maggior parte degli algoritmi fatica a rilevare BEC nelle lingue straniere.

Inizialmente c’era molto BEC in inglese e francese. Ora stiamo vedendo BEC scritto in italiano, spagnolo, tedesco, sloveno, ecc. Questo è un problema perché molti fornitori di sicurezza si concentrano solo sulla lingua inglese, poiché sono aziende con sede negli Stati Uniti.

Crescono anche le tipologie di BEC. Mentre la maggior parte delle truffe BEC in precedenza erano incentrate su frodi al CEO, carte regalo e raccolta di punti, stiamo assistendo all’emergere di altre tipologie, tra cui avvocato, libro paga e frodi bancarie.

Inoltre, gli attacchi BEC mirati lasceranno il posto a tentativi più ampi. In precedenza, le e-mail BEC erano destinate ai dipendenti chiave di determinati reparti, come contabilità e risorse umane. Questo sta cambiando. Oggi, una singola email può indirizzare 20-30 dipendenti in un lasso di tempo di cinque minuti.

Le richieste ben congegnate, come le notizie aziendali dalle risorse umane o i messaggi su promozioni e viaggi di lavoro, sembrano più credibili e hanno meno probabilità di far scattare allarmi. Lo scopo è sia avviare una conversazione che ingannare il filtro e-mail. Una volta avviata la conversazione, molti filtri inseriranno automaticamente l’email nella whitelist, consentendo a tutte le future email BEC con l’hacker di non essere rilevate.

5. La rappresentazione dei fornitori sfrutterà la fiducia nei servizi cloud

Abituati a ricevere e-mail con allegati o collegamenti di Word, PowerPoint ed Excel a documenti Microsoft 365 condivisi, gli utenti si fidano di Microsoft e di altri servizi cloud che utilizzano maggiormente. Anche se un’email è sospetta, la curiosità sarà sempre stimolata da un allegato. Ciò rende gli utenti estremamente vulnerabili al furto d’identità del fornitore, che coinvolge un hacker che impersona la catena di approvvigionamento.

6. Gli hacker e le aziende diventeranno personali

Stanchezza pandemica. Incendi boschivi. Elezioni. Tensioni sociali. L’ansia e lo stress degli eventi globali stanno mettendo a dura prova i cittadini di tutto il mondo. Gli hacker hanno sfruttato questo fatto con grande effetto nel 2020 e continueranno a farlo nel prossimo anno.

Ci aspettiamo che nel 2021 ci saranno più attacchi informatici che utilizzano trucchi psicologici su una varietà di argomenti per sfruttare la fragilità emotiva degli utenti. COVID-19 ha guidato molti degli attuali attacchi e-mail basati su eventi nel 2020 e, con la pandemia che si estende fino al 2021, ci aspettiamo che la tendenza continui.

Oltre al software antivirus, nel 2021 si dovrà considerare l’ implementazione di altri strumenti di sicurezza della posta elettronica, come la protezione da malware e le soluzioni di protezione della posta. Gli strumenti di protezione della posta elettronica di livello aziendale possono ridurre notevolmente le possibilità di errore umano che porta alla compromissione della posta elettronica aziendale e consentono di rilevare e proteggere dagli attacchi mirati.

Come Netech difende e protegge le email dei suoi clienti

Netech ha studiato una soluzione integrata di protezione delle email basata su tecnologia Libra ESVA, il sistema tutto italiano per la sicurezza della posta elettronica aziendale.

Si tratta di un Appliance Virtuale per la sicurezza delle email, testata e verificata come una delle più efficienti soluzioni presenti sul mercato. Garantisce la massima protezione contro spam, virus, Trojans, attacchi phishing e contenuti indesiderati. Non richiede alcun hardware dedicato, interponendosi come gateway tra qualsiasi mail server ed internet offrendo eccezionali funzionalità di amministrazione e reportistica su tutto il traffico da e verso la propria azienda. Ogni messaggio di posta in ingresso viene accuratamente analizzato alla ricerca di:

Virus, Trojan, ADware e Malware
Spam classico e ad immagini
Contenuti pericolosi o indesiderati
Allegati potenzialmente dannosi, o contrari alle policies aziendali
(ad esempio è possibile bloccare file .mp3 o video, ecc.)

L’appliance è inoltre dotata di un sistema di autoapprendimento dei messaggi, che consente di arrivare, dopo un periodo iniziale di auto-training, ad eliminare il 99,8% dello spam ricevuto, con percentuali di falsi positivi prossime allo zero.

L’esclusiva difesa sandbox blocca il malware mai visto prima che colpisce gli utenti riducendo il rischio a zero. Gli allegati e gli URL vengono curati e disinfettati.

La gestione dello spam e del sistema avviene completamente tramite interfaccia web, con un comune browser. Tutti i messaggi bloccati vengono conservati in un’apposita area di quarantena; ai destinatari dei messaggi Libra ESVA recapita un unico report giornaliero sulle email filtrate. Questo strumento antispam si sta inoltre rivelando molto efficace nella prevenzione dal virus Cryptolocker, in quanto blocca le mail inviate dagli hacker contenenti i link e gli allegati che, se aperti, infettano i server e le workstation e criptano tutti i dati a cui ha accesso ricevuto la mail infetta.