Gli utenti di posta elettronica hanno sempre pensato che gli allegati eseguibili e .dll fossero l’obiettivo principale quando si verificano attacchi informatici, ma potrebbe esserci un altro tipo di file dannoso molto utilizzato di cui essere a conoscenza.
Secondo i risultati della società di sicurezza IT Barracuda Networks, gli allegati HTML vengono utilizzati maggiormente dagli avversari quando si tratta di attacchi informatici e il 21% di tutti gli allegati HTML scansionati dall’azienda sono risultati dannosi.
“Questi attacchi sono difficili da rilevare perché gli stessi allegati HTML non sono dannosi”, ha scritto Olesia Klevchuk, Principal Product Marketing Manager per la sicurezza della posta elettronica presso Barracuda Networks. “Gli aggressori non includono malware nell’allegato stesso, ma utilizzano invece reindirizzamenti multipli con librerie di script Java ospitate altrove”.
Perché gli allegati HTML vengono utilizzati negli attacchi?
Gli allegati HTML vengono utilizzati più ampiamente a causa degli attacchi più difficili da identificare sia per gli utenti che per i sistemi. Nell’esempio fornito da Barracuda, l’allegato HTML in sé non è dannoso, ma alla fine indirizza l’utente a un sito dannoso.
Gli allegati HTML quasi raddoppiano rispetto al tipo successivo di file ritenuto dannoso. Per riferimento, ecco gli altri tipi di file dannosi:
- Testo (9%)
- XHTML (4%)
- Binari (0,3%)
- Script (0,08%)
- Rtf (0,04%)
- MS Office (0,03%)
- PDF (0,009%)
Quindi quello che abbiamo imparato è che gli allegati HTML sono di gran lunga il tipo più popolare di file dannoso utilizzato dagli avversari, ma come funziona?
Barracuda ha scoperto che gli hacker hanno incorporato file HTML dannosi nelle e-mail che gli utenti ricevono regolarmente, come un collegamento a un rapporto. In realtà, questa è un’e-mail di phishing con un URL dannoso allegato. Attraverso questo metodo, i criminali informatici non sono più tenuti a inserire collegamenti nel corpo di un’e-mail, rendendoli facili da rilevare. Il metodo HTML è molto più complicato rispetto ai tentativi precedenti e può anche aggirare le politiche antispam e antivirus a una velocità maggiore.
Quando questi vengono aperti, l’HTML utilizza uno script Java per inviare l’utente a un computer di terze parti, richiedendo all’utente di inserire le proprie credenziali personali per accedere o scaricare un file che è un malware. Questo metodo, inoltre, non richiede all’avversario di creare un sito Web falso per portare a termine questo attacco, ma può invece creare un modulo di phishing direttamente incorporato nell’allegato, inviando siti di phishing come allegati anziché come collegamenti.
“La potenziale protezione contro questi attacchi dovrebbe prendere in considerazione un’intera e-mail con allegati HTML, esaminando tutti i reindirizzamenti e analizzando il contenuto dell’e-mail per scopi dannosi”, ha scritto Klevchuk.
Come proteggere i sistemi da allegati HTML dannosi
Barracuda sottolinea tre suggerimenti principali per evitare che gli utenti cadano vittime di questi tipi di attacchi:
- Assicurati che la protezione della posta elettronica esegua la scansione e blocchi gli allegati HTML dannosi
- Addestra i tuoi utenti a identificare e segnalare allegati HTML potenzialmente dannosi
- Se l’e-mail dannosa è arrivata, tieni pronti gli strumenti di correzione post consegna
Sia le organizzazioni che gli individui possono fare un lavoro migliore nell’aiutare a identificare queste e-mail fasulle. Sul lato aziendale, le aziende che investono in un maggiore rilevamento e risposta delle e-mail possono impedire a questo malware di raggiungere la posta in arrivo di un utente. Barracuda suggerisce “l’apprendimento automatico e l’analisi statica del codice che valutano il contenuto di un’e-mail e non solo un allegato”.
Dal punto di vista individuale, nel caso in cui una di queste e-mail arrivi nella posta in arrivo, l’utilizzo di un modello di attendibilità zero e non fare clic su nulla fino a quando non è stato verificato che sia al sicuro dal reparto IT di un’organizzazione può risparmiare una grande quantità di problemi sia per l’utente e l’azienda.
Infine, avere risposte automatiche agli incidenti può aiutare a risparmiare tempo e denaro per le aziende nel caso in cui una di queste e-mail venga cliccata per errore. Fermando un potenziale attacco prima che gli attacchi si diffondano in un’organizzazione, le credenziali o le informazioni sensibili possono essere salvate prima che cadano nelle mani dei criminali informatici