Attenzione alle minacce di conversation hijacking

In netto aumento negli ultimi mesi gli attacchi informatici definiti di domain impersonation, utilizzati per aprire la strada al conversation hijacking. L’analisi arriva dai ricercatori di Barracuda, la compagnia di cybersicurezza, che hanno verificato circa 500.000 attacchi e-mail mensili, e ne hanno rilevato un incremento del 400%. Si tratta di attacchi sofisticati e molto mirati, cosa che li rende efficaci, difficili da rilevare e costosi. Ma che cosa è il conversation hijacking? Si tratta di un attacco alla posta elettronica aziendale: i criminali informatici si inseriscono nelle conversazioni aziendali esistenti o ne avviano di nuove in base alle informazioni raccolte da account di posta elettronica compromessi o da altre fonti. Gli hacker quindi leggono le e-mail e monitorano l’account compromesso per comprendere le attività aziendali e raccogliere informazioni su trattative in corso, procedure di pagamento e altri dettagli.

Sfruttare le informazioni provenienti da account compromessi

Secondo Barracuda nel luglio 2019 si sono verificati circa 500 attacchi di domain impersonation nelle e-mail analizzate, e a novembre erano oltre 2000.

I cybercriminali raramente utilizzano gli account compromessi per il conversation hijacking, ma ricorrono piuttosto all’email domain impersonation. Sfruttano le informazioni provenienti dagli account compromessi, comprese le conversazioni interne ed esterne tra dipendenti, partner e clienti, per elaborare messaggi convincenti, inviarli da domini falsi e indurre con l’inganno le vittime a effettuare trasferimenti di denaro o aggiornare informazioni di pagamento. Alla predisposizione dell’attacco dunque i cybercriminali dedicano molto tempo alla pianificazione del conversation hijacking prima di lanciare i loro attacchi. Utilizzano l’account takeover o effettuano ricerche sull’organizzazione target per comprendere le transazioni aziendali e preparare gli attacchi.

Utilizzare la domain impersonation e registrare falsi domini

I criminali informatici utilizzano la domain impersonation, ricorrendo, tra le altre, anche a tecniche di typosquatting, come la sostituzione o l’aggiunta di una lettera nell’URL. In preparazione dell’attacco, i cybercriminali registreranno o acquisteranno un dominio dal nome simile a quello che vogliono imitare.

La domain impersonation è per questo un attacco a impatto molto elevato. Può essere facile non avvertire le sottili differenze tra l’URL legittimo e quello imitato, riporta Askanews. A volte, i criminali modificano il Top-Level-Domain (TLD), utilizzando .net o .co anziché .com, per ingannare le vittime.

Obiettivo, indurre a trasferire denaro o effettuare pagamenti

In ultima analisi, l’obiettivo di questi attacchi è indurre con l’inganno le vittime a trasferire somme di denaro, effettuare pagamenti o modificare i dettagli di pagamento. La domain impersonation e il conversation hijacking richiedono un investimento sia in termini di tempo sia di denaro da parte dell’hacker. Un costo che per i criminali vale sicuramente la pena sostenere, in quanto questi attacchi personalizzati hanno spesso più successo rispetto ad altri attacchi di phishing meno sofisticati.