Le cyber-minacce finanziarie nel 2014: le cose sono cambiate

Nel 2013 abbiamo condotto la nostra prima approfondita indagine riguardo al complesso e vasto panorama delle cyber-minacce rivolte alla sfera finanziaria. Nell'occasione era stato da noi rilevato un improvviso e repentino aumento del numero degli attacchi informatici appositamente allestiti dai cybercriminali per carpire i dati finanziari degli utenti ed impadronirsi, in tal modo, delle somme di denaro possedute da questi ultimi. L'ampio panorama delle minacce informatiche connesse all'ambito finanziario era stato da noi esaminato in dettaglio nell'apposito report stilato dagli esperti di Kaspersky Lab, “Le Cyber-Minacce Finanziarie nell’anno 2013”.

Nel 2014, tuttavia, la situazione è notevolmente cambiata: il numero degli attacchi, così come il numero degli utenti sottoposti ad attacco, sono diminuiti in maniera significativa, al pari del volume complessivo del phishing di natura "finanziaria". I principali risultati ottenuti attraverso l'analisi da noi condotta in merito al quadro delle cyber-minacce finanziarie nell'anno 2014 sono, di fatto, i seguenti:

Attacchi tramite phishing finanziario

• Nel 2014 gli attacchi di phishing riconducibili alla sfera finanziaria, comprendenti gli attacchi condotti dai criminali informatici nei confronti di Banche, Sistemi di Pagamento e Negozi Online, hanno rappresentato il 28,73% del volume complessivo degli attacchi di phishing (una diminuzione di 2,72 punti percentuali).
• Il phishing esplicitamente rivolto agli istituti bancari ha rappresentato, da solo, il 16,27% del numero totale degli attacchi.
• Il volume degli attacchi di phishing condotti nei confronti dei Sistemi di Pagamento ha evidenziato un aumento di 2,4 punti percentuali, passando così dal 2,74% fatto registrare nel 2013 al 5,14% rilevato riguardo all'anno 2014.

Attacchi con utilizzo di malware finanziario

• Nel 2014 i prodotti Kaspersky Lab hanno rilevato 22,9 milioni di attacchi informatici nel corso dei quali i cybercriminali hanno dispiegato programmi malware di tipo finanziario; tali attacchi IT sono risultati rivolti, complessivamente, a 2,7 milioni di utenti. Tali cifre rappresentano, su base annua, una diminuzione pari al 19,23% per ciò che riguarda il numero totale degli attacchi, mentre la quota relativa al numero di utenti complessivamente sottoposti ad attacco ha presentato una flessione ancor più pronunciata, quantificabile in 29,77 punti percentuali.
• Considerando il numero totale degli utenti divenuti bersaglio di attacchi da parte di programmi dannosi riconducibili ad ogni possibile tipologia esistente di malware, rileviamo come il numero degli utenti coinvolti in attacchi condotti mediante l'utilizzo di minacce informatiche ad orientamento finanziario sia risultato pari al 4,86%, ovvero 1,34 punti percentuali in meno rispetto al 2013.
• La quota percentuale attribuibile al cosiddetto malware "bancario" ha evidenziato un incremento di ben 8,89 punti percentuali, attestandosi in tal modo su un valore pari al 75,63% del volume complessivo di attacchi informatici condotti mediante l'utilizzo di malware finanziari.
• Il numero degli attacchi condotti attraverso gli appositi malware adibiti al mining dei Bitcoin è addirittura triplicato nell'arco di un solo anno, passando dai 360.065 assalti informatici rilevati nel 2013 ad un volume complessivo di 1.204.987 attacchi registratisi nel 2014.

Vi sono indubbiamente diversi possibili motivi alla base di tali importanti e significativi cambiamenti. In primo luogo, le forze di polizia informatica e gli organi competenti di numerosi paesi hanno attivamente perseguito i cybercriminali intenti alla diffusione di phishing e malware finanziario. In particolar modo, la scorsa estate, negli USA e nel Regno Unito, le forze dell'ordine hanno posto fine alle pericolose attività cybercriminali svolte nell'ambito di due estese campagne nocive, ovvero Gameover / Zeus e Shylock.

Il secondo plausibile motivo - in relazione alla significativa diminuzione del numero complessivo di attacchi - potrebbe essere rappresentato dall'improvviso spostamento degli interessi perseguiti dai cybercriminali: al momento attuale, anziché attaccare gli utenti finali, i criminali informatici starebbero invece bersagliando direttamente le organizzazioni e le società che operano con i dati finanziari e gli strumenti di pagamento. Di fatto, lungo tutto l'arco dell'anno qui preso in esame, sono stati spesso segnalati attacchi nocivi eseguiti a danno di grandi magazzini, catene alberghiere e catene di ristorazione fast food che servono milioni di clienti al giorno. In ognuno di tali casi, i truffatori si sono avvalsi di un particolare software maligno in grado di realizzare il furto dei dati sensibili riportati sulle carte di credito, e questo direttamente dalla memoria dei terminali POS utilizzati dalle organizzazioni sottoposte ad attacco. Allo stesso modo, anche le banche sono divenute un ulteriore "nuovo" target preso di mira dai cybercriminali. Nel corso del 2014 Kaspersky Lab ha condotto specifiche indagini riguardo a numerosi attacchi informatici rivolti direttamente agli istituti bancari, anziché agli account dei loro clienti. Nessuna di queste "nuove" tipologie di attacco ha tuttavia generato un cospicuo numero di nuovi rilevamenti anti-malware. Il motivo è semplice: la quantità di organizzazioni interessate, se paragonata all'elevato numero di utenti privati fruitori di soluzioni antivirus, è risultata comunque limitata. Difficile, pertanto, poter fare paragoni relativamente al numero di attacchi rilevati. Ad ogni caso, i danni prodotti dagli attacchi in questione sono ammontati a milioni e milioni di dollari; per tale motivo, la minaccia IT sopra descritta non deve essere affatto sottovalutata.

Una terza possibile ragione riguardo al numero ridotto di cyber-attacchi risiede in una generale tendenza osservata dagli specialisti di Kaspersky Lab nel corso del 2014. Secondo i nostri esperti, in effetti, i cybercriminali sono attualmente meno interessati agli attacchi "di massa", condotti nei confronti del pubblico degli utenti, e preferiscono, invece, dedicarsi all'esecuzione di un minor numero di attacchi informatici, a carattere decisamente più "mirato". Tale specifica circostanza è ad esempio dimostrata dal sensibile aumento delle operazioni di phishing mirato: i truffatori prendono così di mira soltanto uno specifico gruppo di utenti (es. gli utenti del banking online), piuttosto che diffondere su larga scala mailing di massa contenenti link nocivi.

L'adozione di una simile tattica è altresì da imputare al fatto che una mailing maligna selettiva ha meno probabilità di essere rilevata dagli esperti di sicurezza IT; in tal modo, la "durata" dei link dannosi e dei sample di malware può di fatto estendersi nel tempo. Ovviamente il trucco sopra descritto non produce sempre gli effetti sperati; una conseguenza del suo utilizzo da parte dei malintenzionati è tuttavia rappresentata dall'evidente calo del numero assoluto di cyber-attacchi registrati.

E per quel che riguarda invece le cyber-minacce finanziarie mobile?

Innanzitutto, quando si parla di minacce IT rivolte ai dispositivi mobile, il discorso si concentra, in pratica, sulle cyber-minacce destinate all'OS Android. Secondo gli esperti di Kaspersky Lab, oltre il 99% del malware mobile di cui essi sono attualmente a conoscenza è stato appositamente progettato per attaccare i dispositivi Android.

Nel 2014 Kaspersky Lab e INTERPOL hanno pubblicato uno studio congiunto sulle Cyber-Minacce Mobile, il quale, tra le altre cose, ha preso in esame il malware finanziario utilizzato per attaccare gli utenti Android. In base ai risultati dell'indagine condotta, nel periodo intercorrente tra il 1° agosto 2013 ed il 31 luglio 2014 sono stati registrati 3.408.112 di attacchi, condotti nei confronti di 1.023.202 utenti. Inoltre, circa 500.000 utenti si sono imbattuti, perlomeno una volta, in programmi malware per Android specificamente sviluppati dai virus writer con il preciso scopo di prelevare illecitamente denaro. Sono ormai trascorsi più di sei mesi dalla fine del periodo oggetto dell'indagine svolta da Kaspersky Lab / INTERPOL; ecco come è cambiata la situazione da allora:

Attacchi con utilizzo di malware finanziario destinato alla piattaforma Android

• Il 48,15% degli attacchi condotti nei confronti dei dispositivi mobile provvisti di sistema operativo Android - bloccati e neutralizzati dai prodotti Kaspersky Lab - ha visto il dispiegamento di programmi malware appositamente progettati per carpire i dati finanziari degli utenti (Trojan-SMS e Trojan-Banker).
• Rispetto al 2013 il numero degli attacchi finanziari condotti a danno degli utenti Android risulta aumentato di 3,25 volte (da 711.993 a 2.317.194 attacchi), mentre il numero degli utenti sottoposti ad attacco è cresciuto di 3,64 volte (da 212.890 a 775.887 utenti).

In altre parole, il continuo aumento del numero degli attacchi finanziari condotti nei confronti degli utenti dei dispositivi mobile provvisti di OS Android rappresenta ormai una tendenza fortemente consolidata, la quale, peraltro, non mostra in alcun modo segni di declino.
Ulteriori informazioni sul panorama delle cyber-minacce finanziarie nell'anno 2014 sono disponibili sul nostro whitepaper.