Phishing: utilizzo di servizi di tunnel inverso per evitare aumenti di rilevamento e spegnimento

I ricercatori di sicurezza di CloudSEK hanno notato un aumento dell’uso del servizio di tunnel inverso e degli accorciatori di URL nelle campagne di phishing. Secondo i ricercatori, i criminali informatici utilizzano servizi come bit.ly, Ngrok o LocalhostRun per eludere il rilevamento e “lanciare campagne di phishing non rintracciabili”.

phishing di cloudek
credito immagine: CloudSEK

Le campagne di phishing possono impersonare siti Web e servizi legittimi per rubare dati degli utenti come password o numeri di carte di credito. Questi possono essere ospitati su domini registrati, servizi di web hosting gratuiti o siti Web compromessi; tutte queste opzioni hanno in comune il fatto che le rimozioni sono rapide e facili, poiché di solito è sufficiente contattare il provider di hosting o il registrar per farlo. La maggior parte dei provider di hosting offre opzioni di contatto diretto per i casi di abuso.

I provider di hosting sono tenuti a collaborare con le forze dell’ordine e ad eliminare i domini e le pagine Web utilizzati nelle campagne di phishing. Gli utenti di Internet possono segnalare siti Web e pagine di phishing anche ai provider di hosting.

Gli URL shortener, servizi che puntano da un indirizzo web a un altro, sono stati utilizzati in passato nelle campagne di phishing. Questi servizi vengono utilizzati per scopi legittimi, come trasformare indirizzi web lunghi in indirizzi più brevi per ricordare meglio gli indirizzi.

CloudSEK ha notato un aumento nell’uso dei servizi di accorciamento degli URL e dei servizi di tunnel inverso nelle campagne di phishing.

I servizi di tunnel inverso vengono spesso utilizzati negli ambienti di sviluppo locale, poiché consentono ai clienti di accedere ai sistemi informatici locali su Internet. Alcuni utenti Internet utilizzano i servizi di tunnel inverso per altri scopi, incluso l’hosting di servizi cloud personali.

I criminali informatici utilizzano questi servizi per ospitare pagine di phishing sui computer locali. Queste macchine locali sono sotto il loro controllo, direttamente o tramite hack riusciti. Nuovi URL di reindirizzamento possono essere generati al volo ed è abbastanza facile modificare l’indirizzo IP delle macchine locali per ridurre la possibilità di interruzioni degli attacchi causate dal blocco dell’indirizzo IP e dei nomi di dominio o dalla rimozione di pagine Web.

La combinazione di servizi di accorciamento URL e servizi di tunnel inverso offusca ancora di più gli attacchi. I collegamenti sono spesso attivi per 24 ore solo prima che gli attori della minaccia se ne vadano; questo rende difficile il blocco delle campagne che utilizzano queste tecniche.

Computer locale con contenuto di phishing >> Reverse Tunnel Service >> URL Shortening Service >> Attacchi

Secondo CloudSEK, gli operatori del tunnel di riserva non hanno lo stesso livello di responsabilità dei provider di hosting. La società ha analizzato più di 500 siti che sono stati “ospitati e distribuiti utilizzando servizi di tunnel inverso e servizi di accorciamento degli URL Ngrok, LocalhostRun, Try CloudFlare, Bit.ly, is.gd e cutt.ly.

L’intero processo inizia con la creazione di siti Web e pagine di phishing. Sembrano copie identiche di siti legittimi, spesso siti bancari e altri siti finanziari, ma vengono utilizzati anche altri tipi di siti. Gli attori delle minacce possono ospitarli sui propri computer o su dispositivi compromessi.

Una volta che le pagine di phishing e l’infrastruttura sono state create e sono state create, entrano in gioco i servizi di tunnel inverso. Questi forniscono il collegamento tra le macchine locali e Internet. I servizi di accorciamento degli URL vengono utilizzati per offuscare ulteriormente la campagna e rendere il rilevamento ancora più difficile.

I collegamenti per l’abbreviazione degli URL vengono quindi distribuiti nelle campagne, ad esempio tramite e-mail, SMS, servizi di messaggistica o altri mezzi. Le vittime che accedono a questi collegamenti caricano le pagine Web ospitate localmente tramite l’URL del servizio di tunneling inverso.

I dati che le vittime inseriscono sui siti Web di phishing vengono quindi acquisiti e utilizzati direttamente o venduti sul mercato nero. Gli aggressori possono cancellare conti bancari, utilizzare carte di credito per acquisti online, inclusa la registrazione di nuovi domini e hosting, o vendere informazioni in blocco sul dark web.

Gli attori delle minacce aggiorneranno i collegamenti regolarmente, spesso ogni 24 ore, per continuare gli attacchi. I modelli di phishing vengono riutilizzati, poiché sono ospitati su macchine locali e non su Internet. Tutto ciò che serve è creare nuovi collegamenti casuali utilizzando uno qualsiasi dei servizi elencati, o altri, da utilizzare in nuovi attacchi. I collegamenti utilizzati nei vecchi attacchi generano errori non trovati, poiché le macchine locali non sono più accessibili attraverso di essi.

Sebbene le pagine e gli indirizzi vecchi possano essere bloccati, ad esempio, quando vengono segnalati alle società di sicurezza o alle autorità, il contenuto di phishing di solito non può essere rimosso poiché è ospitato su computer locali.

I servizi di tunnel inverso Cloudflare, Localhost e Ngrok hanno in comune il fatto di fornire collegamenti a pagine Web ospitate su macchine locali.

Il servizio Argo Tunnel di Cloudflare è gratuito per gli utenti di Cloudflare. Esegue un processo sulla macchina locale o su un server, che sta creando tunnel in uscita verso la rete Cloudflare. I servizi di tunnel inverso Localhost e Ngrok offrono una versione base gratuita e versioni estese a pagamento. Il piano gratuito di Ngrok, ad esempio, supporta l’uso di domini casuali.

Il servizio utilizza un tunnel inverso sicuro per “esporre i server locali dietro NAT e firewall all’Internet pubblica”. Sulla macchina locale viene eseguito un programma che stabilisce il collegamento a Internet.

Tutti e tre i servizi hanno in comune il fatto di essere utilizzati sia dagli sviluppatori web che dagli utenti per connettere le macchine locali a Internet. Alcuni possono utilizzare i servizi di tunnel inverso per accedere ai servizi cloud personali da qualsiasi luogo nel mondo, altri per ospitare siti Web o altri servizi.

Mitigazione

CloudSek consiglia quanto segue per mitigare gli attacchi di phishing che utilizzano i servizi di tunnel inverso:

  • Le organizzazioni devono sensibilizzare i clienti su domini e URL legittimi; questo vale per tutti i tipi di campagne di phishing, poiché tutte ospitano i siti Web di phishing su domini diversi. Sebbene questi possano sembrare domini autentici, l’ispezione mostrerà che non lo sono.
  • Le scansioni in tempo reale possono aiutare a identificare i domini di phishing, soprattutto se le scansioni non riguardano solo il nome di dominio.
  • È necessario sensibilizzare i clienti sugli URL dannosi e sull’uso nelle campagne di phishing.
  • È necessario implementare politiche che “assicurano che i fornitori di servizi di tunnel inverso” assistano nella rimozione dei siti di phishing.

La migliore forma di protezione contro gli attacchi dannosi è l’istruzione. Gli utenti di Internet dovrebbero evitare di fare clic su collegamenti che puntano a obiettivi di alto profilo come siti Web bancari o portali di shopping online. È possibile accedere a questi siti digitando manualmente i nomi di dominio o tramite l’utilizzo di segnalibri sui dispositivi.

Ora tu: con quale frequenza incontri attacchi di phishing?