Spam is back: attenzione alla truffa pump-and-dump

Per gli utentiProtezione dei datiBotnetSpam

Come segnalato dagli esperti Sophos in questo post, ad inizio 2017 è stato registrato un anomalo calo dello spam che si spiega con il fatto che una delle botnet da sempre più attive sembrava essere andata in letargo.

Tuttavia, tale botnet non era affatto stata debellata e la maggior parte delle persone coinvolte continuavano ad essere in balia dei cybercriminali, solo apparentemente sopiti. In altre parole, il drastico crollo dello spam era dovuto ad una scelta strategica degli hacker che hanno messo in standby i loro attacchi per ragioni ancora sconosciute, forse per tenere un profilo basso ed evitare di essere scovati dalle forze dell’ordine.

La pausa però sembra essere finita: nelle ultime 24 ore infatti, il livello globale di spam è tornato a crescere fino a tornare ai livelli di fine 2016. Recentemente, il volume di spam distribuito ogni ora si è quintuplicato rispetto a quello degli ultimi mesi. È evidente che i “dormienti” zombie Necurs siano ancora attivi e siano tornati all’attacco.

Questa volta però non è il malware il pericolo, ma un tipo di truffa molta vecchia tornata in auge: il pump-and-dump (pompa e sgonfia).

L’obiettivo del phishing non sono più link malevoli, sondaggi ingannevoli o allegati provocanti, ma l’acquisto di quote azionarie.

La strategia è semplice: l’hacker sceglie delle azioni a basso prezzo, inventa una storia credibile per renderle appetibili e prima di mandare l’email ne compra un po’. Dopo di che diversi utenti vengono convinti a comprare le quote facendo aumentare il prezzo che incoraggerà altri utenti a comprare le azioni.

Quando l’hacker è soddisfatto del prezzo raggiunto vende tutte le sue quote per un piccolo profitto e lascia le sue vittime in balia del mercato azionario: la maggior parte delle volte il prezzo delle azioni cala drasticamente fino ad arrivare ad un valore più basso rispetto al valore pre-truffa.

L’azienda che è stata oggetto di questa truffa, InCapta Inc (INCT) è una cosiddetta “Penny Stock”, ossia un’impresa con azioni che hanno un valore al di sotto una certa soglia, tipicamente 1 dollaro. Tra le numerose attività di INCT vi è anche una media company che produce serie tv e proprio il giorno in cui la campagna spam ha preso il via, l’Azienda aveva lanciato un comunicato stampariguardante la produzione di un nuovo programma televisivo.

Ad una prima vista la truffa aveva funzionato: il prezzo delle azioni stava salendo, da 13 centesimi di venerdì, era arrivato fino a 24 nel giro di due giorni. Il giorno seguente era tornato a scendere fino a 15 centesimi ad azione. Con più di 5 milioni di scambi lunedì, le quote INCT sono state comprate/vendute più di tutto l’anno precedente. Ironicamente, solo un piccolo numero di queste compravendite è avvenuto quando il prezzo aveva raggiunto il suo massimo, ossia 24 centesimi, limitando così la somma di “dumb money” che chiunque avrebbe potuto estrarre al massimo valore.

Il sospetto è che molti dei destinatari dello spam siano stati influenzati da una forte oscillazione delle azioni INCT qualche mese precedente: in quel caso ci furono 2 milioni di scambi fino ad arrivare a 7,5 centesimi per azione, seguito da una crescita poco dopo Natale che aveva portato il prezzo a 1,31 dollari.

Qualcuno potrebbe averci guadagnato, legalmente, a gennaio (Sophos non ha riscontrato nessuna attività di spam riguardanti le azioni INCT) e grazie a questo guadagno in molti possono aver ritenuto legittimo puntare ancora su queste azioni, con l’obiettivo di guadagnarci il 100%.

Sophos, società leader a livello mondiale nel settore della sicurezza informatica, ha stilato 3 piccoli e semplici consigli per non cadere vittima di queste trappole

  • Se sembra troppo buono per essere vero, agisci come se non sia vero
  • Se sembra illegale, agisci come se lo fosse
  • Se si tratta di un’email da un mittente sconosciuto che ti chiede segretezza, ed è inviata a 30 milioni di destinatari… basta cestinare

Paul Ducklin, Senior Technologist di Sophos, ha aggiunto un commento sul pericolo causato dalle botnet: “Il modo migliore di eliminare le botnet per sempre è quello di identificare tutti i bot, ovvero i computer infetti in tutto il mondo. È come se dovessimo pulire i rifiuti presenti sulle nostre strade, se tutti pulissimo i nostri rifiuti sarebbe facile, ma la faccenda si complica quando anche poche persone non fanno il proprio dovere. Perché quindi non scansioniamo ed eliminiamo gli zombie presenti sul nostro computer oggi? Impariamo a far parte della soluzione, non del problema!”

Per un’analisi approfondita dell’argomento: NakedSecurity

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.