Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese) e allude all'uso di tecniche sempre più sofisticate per "pescare" dati sensibili di un utente.
Il phishing è una delle minacce più attuali e temute assieme al ransomware e, come evidenziato anche dall’ultimo report “Cyber security threat trends” di Cisco Umbrella, è responsabile del 90% dei data breach, con tanto di specifica che non si tratta di un errore di digitazione.
Il phishing negli ultimi anni si è rapidamente evoluto nello spear phishing, cioè mirato sulla vittima, e la pandemia ne ha ulteriormente accelerato la pericolosità: per questo è una minaccia sempre più subdola da cui è più difficile proteggersi efficacemente. D’altronde, è oramai famosa la frase “quando qualcosa è gratuito, il prodotto sei tu”: questo è il principio su cui si basa il revenue model di Internet, ovvero pensiamo di accedere ai contenuti gratuitamente ma in realtà paghiamo con i nostri dati, merce preziosa che ha un valore ben più elevato dei contenuti che riceviamo.
La tematica dei servizi di tracciamento è estremamente attuale e molto spesso viene vista solo come un problema di privacy, ma in realtà è una falla di sicurezza.
Cos’è lo spear phishing?
È una truffa perpetrata mediante comunicazioni elettroniche indirizzate a un’azienda o anche a una persona e ha due obiettivi diversi, ossia sottrarre dati sensibili da riutilizzare in modo fraudolento oppure diffondere malware e le due cose, in molti casi, possono coincidere.
Nel caso più classico, il destinatario riceve un’e-mail inviata apparentemente da una fonte attendibile, di norma una persona o un’azienda che conosce e che non ha modo di ritenere pericolosa. Seguendo i link contenuti nel testo dell’e-mail, la vittima si ritrova a navigare su un sito web che diffonde malware. Una tecnica che mette a rischio chiunque e in qualsiasi contesto, possono cadere nel tranello anche esponenti governativi o persone ai vertici di imprese di qualsiasi grandezza.
Come detto, non è una minaccia nuova e chi vi ricorre non esclude le tecniche di diffusione più subdole. Nel 2013 una campagna spear phishing ha catturato l’attenzione delle potenziali vittime inviando email che sembravano veramente provenire dal National Center for Missing and Exploited Children, ente no profit che si occupa della protezione dell’infanzia.
Sono attacchi di norma sferrati da hacktivisti e da cyber criminali, questi ultimi più interessati a rivendere i dati riservati di cui riescono a entrare in possesso o di impadronirsi di dati utili a penetrare le reti aziendali.
Il rapporto Barracuda
L’azienda di sicurezza Barracuda ha fotografato il fenomeno durante il 2022: il 50% delle aziende del campione esaminato è stato oggetto di un attacco spear phishing e, la metà di queste, ha subito la compromissione di almeno un account email.
Al di là dei numeri, il contorno è evocativo, tant’è che molte aziende fanno fatica a difendersi da questi attacchi proprio a causa della loro natura. Non si tratta di offensive fatte a una rete aziendale, a un database o a uno o più server, è un’offensiva estremamente personalizzabile, che può raggiungere qualsiasi dipendente di un’organizzazione.
Il report ha, prima di ogni altra cosa, fatto emergere una certa e inedita diffusione dello spear phishing, sostenendo che il 50% delle 1.350 aziende del campione preso in esame ne è stato oggetto ricevendo in media cinque e-mail al giorno.
Attacchi che hanno un elevato tasso di successo tant’è che lo spear phishing rappresenta una piccola parte degli attacchi sferrati via e-mail ma causano due terzi delle violazioni.
L’impatto, sempre secondo il rapporto, causa principalmente:
Macchine infettate con virus o malware (55%),
Furto di dati sensibili (49%),
Furto di credenziali di accesso (48%),
Danni economici diretti (39%).
Le aziende impiegano in media quasi 100 ore per rimediare allo spear phishing, sempre secondo il report, dedicandone 43 all’individuazione e 56 per la risposta e la remediation. Inoltre, le organizzazioni nelle quali si pratica lo Smart working denunciano un numero mediamente più alto di e-mail sospette, fino a 12 al giorno.
Come viene sfruttato il marketing
Il marketing è diventato sempre più pervasivo e il valore dei dati sta crescendo esponenzialmente: Facebook nel 2013 otteneva 19 dollari l’anno per utente americano in vendite pubblicitarie, nel 2020 ben 164 dollari.
Per questo i servizi globali di profilazione (web tracker e session replay script) sono svariate decine di migliaia e, quotidianamente, ne nascono di nuovi. Gli attaccanti lo sanno bene, tant’è che ogni due anni il 29,6% di questi servizi subisce un data breach secondo una ricerca del Ponemon Institute.
I servizi di tracciamento raccolgono una enorme mole di dati che, presi singolarmente, non hanno alcuna rilevanza, ma combinati correttamente forniscono informazioni molto precise creando una perfetta identità digitale.
Tutti quanti siamo più o meno consci dei dati raccolti sui nostri interessi:
Pagine visitate;
Cronologia di navigazione;
Frequenza ed orari di visita;
Lingua utilizzata;
Ma spesso si sottovaluta l’enorme mole di dati “accessori” raccolti come:
Carica della batteria;
Geolocalizzazione;
Internet Service Provider;
Timezone;
Browser utilizzato con relativa versione installata;
E molto altro;
Capire come proteggersi dallo spear phishing
Poiché si tratta di un attacco personalizzato, cioè che si indirizza molto spesso a singoli individui, la difesa può diventare più macchinosa. Fabio Sammartino, Head of Pre-Sales di Kaspersky spiega nel dettaglio che:
“Lo spear phishing rientra nella categoria degli attacchi mirati e si caratterizza per l’attenta profilazione del soggetto da attaccare, che è stato oggetto di uno studio in termini di area lavorativa, contesto, tipologia di e-mail solitamente ricevute e fornitori con cui è in contatto. A differenza degli attacchi di phishing generici, ormai facilmente riconoscibili per la qualità del testo delle comunicazioni veicolate o per alcuni caratteri distintivi, gli attacchi di spear phishing sono estremamente verticalizzati e per questo motivo più difficili da identificare”.
C’è un errore di fondo da evitare, ossia credere che proteggere i server di posta elettronica sia sufficiente a scongiurare lo spear phishing che usa le email come veicolo principale: “Nella strategia generale di difesa non bisogna tralasciare nulla perché non si sa da dove arriverà l’attacco e quale sarà il punto vulnerabile. Nel caso dello spear phishing difficilmente l’analisi tradizionale sarà in grado di rilevare un messaggio mirato, perché l’attaccante ha progettato un attacco volto a evadere i sistemi di sicurezza tradizionali che generalmente chiede all’utente di compiere qualche azione per attivarlo. Il server di posta elettronica è un primo elemento di difesa e permette di controllare direttamente il testo del messaggio, gli allegati, i link inseriti. Inoltre, si possono collegare diverse tecnologie di analisi del traffico di posta elettronica, come le sandbox o gli strumenti avanzati di rilevamento spam e phishing, ma non sono sufficienti”, spiega Sammartino.
Tutto il perimetro va protetto, sottolinea Sammartino: “Sicuramente anche la protezione degli endpoint è importante e nel caso dello spear phishing gioca un ruolo ancora più rilevante rispetto alla posta elettronica. Quando l’utente esegue un file, clicca un link o attiva uno script involontariamente sull’endpoint, gli elementi dei sistemi di protezione del dispositivo dovrebbero subentrare. In alcuni casi questi attacchi sono così ben congegnati che, anche l’endpoint può essere evaso o aggirato, non sono rari i casi in cui durante la telefonata l’attaccante chiede alla vittima di spegnere l’antivirus”.
“È importante utilizzare una soluzione di protezione per gli endpoint e i server di posta elettronica con funzionalità anti-phishing per ridurre le possibilità di infezione attraverso un’e-mail. Inoltre, se si utilizza il servizio cloud Microsoft 365, anch’esso deve essere protetto. Il consiglio è di implementare una soluzione che abbia un antispam e un anti-phishing dedicati, oltre alla protezione per le app SharePoint, Teams e OneDrive per comunicazioni aziendali sicure”, è il consiglio dell’analista di Kaspersky.
Inoltre, come riportato anche negli articoli precedenti la formazione dell’utente è indispensabile per garantire la miglior sicurezza possibile. Oltre alla formazione, è necessaria una tecnologia che si concentri sulla sicurezza delle e-mail. Ad esempio, un’azienda può organizzare training di cyber security hygiene, per insegnare agli utenti come identificare queste minacce e condurre un attacco di phishing simulato per assicurarsi che i dipendenti sappiano distinguere e-mail di phishing da quelle legittime”, conclude Fabio Sammartino.
Noi come partner KnowBe4 possiamo mettervi a disposizione molti strumenti per simulare le email di phishing e tramite dei corsi mirati insegnarvi come riconoscerli ed evitarli, ma non solo questo molto altro, a disposizione per approfondimenti.
Fonti
La tua opinione conta
Cosa ne pensi di questo articolo?
Se sei arrivato a questo punto facci sapere che cosa ne pensi dell’articolo lasciando un commento.
Comments