Attacchi Phishing a uffici pubblici

1380 0

Mai come in questi giorni gli attacchi di phishing si stanno concentrando contro gli uffici pubblici italiani. Recentemente la Polizia è stata sommersa da migliaia di mail frutto di campagne di phishing, in particolare da parte di un gruppo filorusso chiamato Killnet. Vediamo cosa succede e come difenderci da queste minacce.

Phishing, un fenomeno in forte aumento

Come già visto in articoli precedenti, il phishing è una tecnica molto pericolosa e ci dimostra come, nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica.

Al giorno d’oggi la gran parte delle nostre informazioni personali se ci pensate sono online, i malintenzionati possono personalizzare i vari attacchi rendendoli più difficili da individuare con maggiori probabilità di successo.

Gli attacchi di phishing sono in forte aumento e sono andati oltre le solite false e-mail bancarie contenente link dannosi.

I malintenzionati di oggi prendono di mira gli utenti su più canali, usando messaggi di testo e SMS, social media e app mobile che consentono la condivisione di link.

Attacchi Phishing attraverso i social media

La funzione dei Social Media è quella di connettere tra di loro le persone conosciute ma anche quelle sconosciute.

Capita tutti i giorni di inviare e ricevere inviti per entrare in contatto con persone anche sconosciute che condividono i nostri stessi interessi. Questo è il motivo per cui i malintenzionati creano spesso profili fake fingendosi amici, colleghi o altro ed ottenendo così i dati personali.

Per sembrare più reali i malintenzionati si uniscono a gruppi già esistenti presenti sui vari social pubblicando collegamenti dannosi a siti fake utilizzati per raccogliere informazioni personali come ad esempio le credenziali di accesso etc.

Le informazioni raccolte vengono poi utilizzati per attacchi di phishing rivolti ad un maggior numero di persone e organizzazioni.

Secondo una statistica, oggi il phishing è responsabile di quasi un quarto di tutte le violazioni dei dati.

Killnet e gli attacchi phishing ad uffici pubblici

La Polizia è stata di recente oggetto di un attacco da parte di un gruppo filorusso chiamato “Killnet” che ha rallentato il sito portandolo quasi alla saturazione.

Attualmente non sappiamo quale sia il movente di questo attacco come spiega la Polizia Postale, sappiamo che uno degli indirizzi di provenienza dell’attacco è: “scuolasuperiorepolizia.ufficiostudi@poliziadistato.it” e tale messaggio contiene un file compresso e il destinatario viene invitato a scaricare e aprire il file ma ovviamente l’indirizzo è un fake.

Come nella maggior parte degli attacchi di questo tipo, all’interno del file compresso è presente un file.xls che in realtà contiene un ramsomware che, se eseguito, è in grado di cifrare i dati del dispositivo colpito e di quelli connessi alla stessa rete che hanno un disco di rete installato.

Killnet: una guerra cybernetica di tutti i giorni

Il cybergruppo di Killnet ha rivendicato l’attacco dichiarando guerra contro 10 paesi tra cui l’Italia; il sito della Polizia di Stato irraggiungibile a partire dalle 2:00 di notte circa fino a metà mattina del 16 maggio.

Tramite i log, i tecnici hanno potuto vedere un aumento anomalo del traffico degli accessi al sito, portandolo alla saturazione.

DDoS: la tecnica utilizzata

La tecnica utilizzata è chiamata “attacco DDoS”, acronimo per (Distributed Denial of Service).

Chi gestisce la difesa ha attivato subito tutti i sistemi che servono a mitigare gli accessi da parte degli ip intercettati sospetti.

Vista la situazione bellica in cui ci troviamo in questo periodo, come possiamo immaginare, sono aumentate le minacce hacker; d’altra parte, le risposte degli uffici pubblici in campo di difesa sono molto più veloci e chiare nel trovare ed eliminare le minacce.

La squadra in campo è composta dal Ministero dell’Interno, il servizio di Polizia delle Telecomunicazioni e l’intelligence, il dipartimento di PS.

Killnet e attacchi cyber: come difenderci?

Dotarsi di opportuni sistemi di protezione contro attacchi DDOS di tipo volumetrico, al fine di proteggere i propri sistemi da attacchi applicativi di tipo “Slow HTTP”, si consiglia di applicare le seguenti azioni di mitigazione:

  • rifiutare le connessioni con metodi HTTP non supportati dall’URL;
  • limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
  • impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
  • utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
  • definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
  • attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.

Strategia nazionale di cybersicurezza

Ricordiamo che da poco è stata approvata la Strategia nazionale di cybersicurezza per gli anni 2022-2026. L’Agenzia per la cybersicurezza nazionale ha affermato, tramite due documenti approvati, che il Governo punta ad affrontare molte sfide attraverso il:

  • Rafforzamento della resilienza nella transizione digitale del sistema Paese
  • Conseguimento dell’autonomia strategica nella dimensione cibernetica
  • Anticipazione dell’evoluzione della minaccia cyber
  • Gestione di crisi cibernetiche
  • Contrasto della disinformazione online

Per saperne di più consulta anche i seguenti articoli

Email phishing: come funziona e cosa fare

Malware e Phishing: come proteggere le credenziali

Il phishing e la truffa via sms

Consulta i canali dell’autore

Il canale youtube Byte Yok
Il Cam TV Giorgio Perego

Aggiornati con i corsi dell’Istituto INFORMA

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.

Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.

Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.