Il phishing è una delle tecniche più consolidate per il furto di dati ai danni di privati e aziende. Con il tempo i criminali informatici sono diventati più scaltri, e gli attacchi più sofisticati. Il risultato è che è sempre alto il numero delle vittime, indipendentemente dal loro livello di consapevolezza.

Gli attacchi di phishing richiedono due operazioni: lanciare l'esca e aspettare che qualcuno abbocchi. Akamai ha condotto un'analisi approfondita del fenomeno, pubblicata nella relazione Phishing — Baiting the Hook. Identifica differenti tipi di phishing, ciclo di vita ed efficacia degli attacchi.

Innanzi tutto, ci sono due tipi di phishing: quello generico e lo spear phishing. Gli attacchi di phishing generico sono un gioco di numeri. Il cyber criminale sgancia il più alto numero possibile di esce, e punta a colpire il maggior numero possibile di vittime. Fanno parte di questa categoria anche le botnet.

I kit di phishing tendono a concentrarsi su alcuni settori chiaveLo spear phishing è un attacco di phishing mirato. Viene fatto contro una persona o un'azienda in particolare, ed è frutto della raccolta meticolosa di informazioni sul target. Le esche sono quindi strettamente correlate al flusso di lavoro, o agli interessi personali. È la tecnica più usata nello spionaggio, sia aziendale sia politico.

In tutti i casi, gli attacchi sfruttano kit appositamente creati. Sono in vendita nel dark web, e vengono caricati su pagine web precedentemente compromesse. In alternativa vengono usati su pagine create ad hoc, magari con indirizzi sosia. Akamai ha studiato questi kit e ha scoperto che sono tutt'altro che coerenti nello sviluppo. In genere si concentrano su prodotti al dettaglio e di consumo: bancario o finanziario e sul gaming. È facile capire i motivi di questa classificazione. Inoltre, sono facili da sviluppare e possono essere utilizzati su ampi bacini di potenziali vittime.

Ciascun kit ha più varianti. Dipendono dallo stile di sviluppo, dai miglioramenti tecnici apportati e dalle tecniche di truffa implementate. In un'osservazione di 262 giorni, Akamai ha rilevato 62 diverse varianti di kit zero-day destinate agli utenti Microsoft, distribuite su 3.897 domini.

Akamai ha anche tracciato il ciclo di vita di ciascun kit. Oltre il 60% dei kit monitorati è stato attivo per 20 giorni o meno. È un dato comune per gli attacchi generici, ecco perché i criminali sviluppano costantemente nuove varianti. Uno dei motivi è che l'alta attenzione contro questo fenomeno porta gli esperti di sicurezza a bloccare le operazioni in tempi brevi. In un periodo di 60 giorni, Akamai ha osservato più di 2.064.053.300 domini unici associati ad attività dannose. Di questi, l'89% ha avuto una durata inferiore alle 24 ore, il 94% ha avuto una durata inferiore a tre giorni.

La durata degli attacchiL'esperienza di Akamai suggerisce che i migliori strumenti di difesa bloccano il 94% dei tentativi di phishing in arrivo ogni mese. Il 6% rimanente sembra poco, ma costituisce una minaccia significativa. Inoltre, la stragrande maggioranza degli attacchi (93%) conteneva URL collegati a siti dannosi.

Nei 30 giorni antecedenti il report Akamai ha identificato 2.395 minacce di phishing uniche. Durante lo stesso periodo, ha individuato 120 campagne diverse. Molte delle campagne (22%) prendevano di mira account pubblici, come "help @" o "security @". Quasi un quarto (24%) delle richieste bloccate proveniva da malware.  Un ulteriore 9% del traffico proveniva da richieste all'infrastruttura di comando e controllo (C2) di una botnet.

Gli strumenti di difesa sono un ottimo punto di partenza, sia a livello personale sia aziendale. Tuttavia, nessuna tecnologia è perfetta, quindi sono necessari livelli di controlli sovrapposti per proteggersi.  Oltre a un'adeguata informazione per sopprimere la componente umana che i cyber criminali cercano di sfruttare.