Hornetsecurity: rassegna delle minacce e-mail (Ottobre 2022)

Hornetsecurity: rassegna delle minacce e-mail (Ottobre 2022)

Il Security Lab di Hornetecurity presenta una panoramica delle minacce basate sulle e-mail osservate nel mese di ottobre 2022 e le confronta con le minacce del mese precedente.

Il report fornisce approfondimenti su:

E-mail indesiderate per categoria
Tipi di file utilizzati negli attacchi
Indice delle minacce via e-mail del settore
Tecniche di attacco
Marchi aziendali e organizzazioni impersonati
Campagna e-mail a rischio in evidenza

E-mail indesiderate per categoria

La seguente tabella mostra la distribuzione delle e-mail indesiderate per categoria.

Il seguente istogramma temporale mostra il volume di e-mail per categoria al giorno.

Metodologia

Le categorie di e-mail elencate corrispondono a quelle elencate nell'Email Live Tracking del pannello di controllo di Hornetsecurity che gli utenti abituali conoscono già. Per gli altri, le categorie sono:

Tipi di file usati negli attacchi

La seguente tabella mostra la distribuzione dei tipi di file utilizzati negli attacchi.

Il seguente istogramma temporale mostra il volume di e-mail per tipo di file utilizzato negli attacchi per 7 giorni.

Indice di minaccia e-mail diviso per settore

La seguente tabella mostra l’ Industry Email Threat Index, calcolato in base al numero di e-mail minacciose rispetto alle e-mail pulite ricevute separato per settore (in mediana).

Il seguente grafico a barre visualizza la minaccia basata sulle e-mail per ogni settore.

Metodologia

Organizzazioni di diverse dimensioni ricevono ovviamente un diverso numero assoluto di e-mail; quindi, viene calcolata la quota percentuale di e-mail minacciose rispetto a quelle minacciose e pulite di ogni organizzazione per confrontare le organizzazioni. Poi viene calcolata la mediana di questi valori percentuali per tutte le organizzazioni all'interno dello stesso settore per formare il punteggio finale di minaccia del settore.

Tecniche di attacco

La seguente tabella mostra le tecniche di attacco utilizzate negli attacchi.

Il seguente istogramma temporale mostra il volume di e-mail per tecnica di attacco utilizzata ogni ora.

Marchi e organizzazioni aziendali impersonati

La seguente tabella mostra quali marchi e organizzazioni aziendali i sistemi Hornetsecurity hanno rilevato maggiormente negli attacchi di impersonificazione.

Il seguente istogramma mostra il volume di e-mail per i marchi aziendali e le organizzazioni rilevate negli attacchi di impersonificazione per ora.

Nel mese di Ottobre 2022 Hornetsecurity ha rilevato diverse e-mail di phishing che impersonano MetaMask (un portafoglio software per criptovalute utilizzato per interagire con la blockchain di Ethereum). Il 31 ottobre 2022 è stata rilevata la campagna più estesa che impersona MetaMask. MetaMask entra così nella classifica dei marchi più impersonati di questo mese al 4° posto.

Campagna e-mail a rischio in evidenza

In un attacco di hijacking di conversazioni via e-mail, gli hacker rubano le e-mail delle vittime e poi rispondono a queste e-mail citando la conversazione e l'oggetto dell'e-mail originale nell'e-mail di risposta falsa. Queste e-mail sono spesso difficili da individuare nel traffico di e-mail legittime, perché utilizzano oggetti di e-mail legittimi e contenuti rubati. Tuttavia, se gli aggressori utilizzano più volte la stessa e-mail rubata per questi attacchi di risposta, un amministratore di un'azienda attaccata potrebbe trovare altre e-mail di attacco cercando lo stesso oggetto. Per evitare che ciò accada, gli hacker dietro la campagna di malware QakBot con ID bot BBxx hanno iniziato a inserire caratteri ripetuti negli oggetti delle e-mail rubate.

Negli esempi seguenti (in tedesco), vediamo le e-mail il cui oggetto originale era Erinnerung (la parola tedesca per promemoria). Gli attori hanno utilizzato questa e-mail rubata per generare e-mail dannose cambiando l'oggetto in Erinnerrunng, Erinnneerrungg e Erinnnerruung raddoppiando casualmente i caratteri nell'oggetto. La parte inferiore di ogni e-mail è citata dall'e-mail originale rubata e non è alterata come l'oggetto.