Diciamo la verità: gestire la posta elettronica può diventare una sofferenza, soprattutto quando si ha a che fare con centinaia di e-mail che vanno a riempire ogni giorno la posta in arrivo, ma ancora di più quando ci si imbatte in rischi legati al phishing.
Cos’è il phishing?
Il phishing è una truffa tipicamente condotta per mezzo di e-mail false inviate, per conto di terzi, a un ampio spettro di persone. Attraverso queste e-mail si induce la vittima a fornire importanti informazioni personali, come dati finanziari o credenziali di accesso a sistemi informatici. Il testo dei messaggi appare come una comunicazione da parte di un ente affidabile e ha l’obiettivo di generare un senso di paura o urgenza nella potenziale vittima, inducendola a rivelare informazioni sensibili attraverso click a siti web malevoli o aprendo allegati imbottiti di malware, il tutto a totale insaputa dell’ente o società che appare nell’intestazione.
Come prevenire gli attacchi di phishing?
Bisogna essere sinceri nel dire che nessuna singola tecnologia di sicurezza informatica può prevenire attacchi di phishing. L’arma che possiamo usare è quella di attuare delle buone pratiche per affrontare gli attacchi al meglio.
Un ottimo inizio sarebbe quello di implementare i protocolli DMARC, SPF e DKIM, meccanismi standard di autenticazione di dominio, reporting e conformità dei sistemi e-mail e delle singole e-mail inviate e ricevute, fondamentali per bloccare il domain-spoofing (impersonificazione del dominio), il phishing ed altre tipologie di attacchi.
Il domain spoofing consiste nell’uso illecito di una o più identità (es. info@intellisync.it) per spacciarsi come mittente autorizzato e riconducibile a determinate aziende o enti pubblici. Ciò apre la strada a campagne di phishing che possono comportare, da un lato, l’infezione massiva da malware e, dall’altro, un calo di reputazione dell’azienda con conseguente sfiducia verso le comunicazioni inviate lecitamente.
Quali tipi di phishing esistono?
- Spear phishing: prende di mira singoli individui anziché un ampio gruppo di persone e le comunicazioni vengono personalizzate affinché sembrino autentiche. Lo spear phishing è spesso il primo passo per penetrare le difese di un’azienda e realizzare un attacco mirato. Secondo il SANS Institute, il 95% di tutti gli attacchi alle reti aziendali ha origine da uno spear phishing portato a termine con successo.
- Whaling: prende di mira persone di elevato profilo del mondo aziendale, come senior executive e CEO. I cybercriminali trascorrono spesso molto tempo a profilare il bersaglio, rendendo il whaling un attacco particolarmente critico, poiché i dirigenti di alto livello hanno accesso a numerose informazioni aziendali. Numerosi attacchi di questo genere hanno portato diverse aziende a perdite di miliardi di dollari.
- Deceptive phishing: è il tipo di phishing più comune, in cui un hacker tenta di ottenere dalle vittime informazioni riservate da utilizzare per rubare denaro o lanciare altri attacchi. Un tipico esempio è una e-mail falsa proveniente da una banca che chiede di fare clic su un link e verificare i dettagli del proprio conto corrente.
Quali sono le tecniche più utilizzate nel phishing?
Lo sviluppo dell’attacco avviene in due fasi:
- Information gathering iniziale, in cui il malintenzionato si accorge della mancanza di protocolli a livello di dominio;
- Attacco di phishing vero e proprio, che può avvenire attraverso il server del’aggressore o sfruttando quello dell’azienda vittima.
Gli esempi che hanno visto lo sviluppo di queste fasi sono numerosi, sia dal lato del singolo cittadino che da quello di grosse società. Da entrambi i lati, l’impatto dell’attacco sulle vittime è significativo, in termini di perdite economiche, di danni alla reputazione e di diffusione di dati sensibili (personali e non).
Dal lato azienda, un caso ormai da conoscere è quello che ha riguardato la società petrolifera Saudi Aramco, di proprietà della famiglia reale saudita, caso che ricorda molto le vicende raccontate nella serie per appassionati di cybersecurity Mr Robot.
Ciò che successe con Saudi Aramco fu che un giorno un membro del dipartimento IT aprì un link di un’e-mail ingannevole e questa, con effetto domino, infettò il sistema operativo Windows NT di trentamila computer di proprietà della società.
Il risultato fu il blackout di parte dell’azienda per oltre una settimana e la conseguente impossibilità di onorare le consegne di circa il 10% della fornitura mondiale di petrolio. Per conoscere meglio il curioso accaduto e altri episodi simili, vi consigliamo di leggere il libro Cybersecurity. Attacchi, danni e gestione del rischio, di Dino Esposito e Simone Massaro.
Recentemente, abbiamo assistito anche in Italia a un attacco di phishing, che sfruttava false identità provenienti dai domini del Ministero dell’Istruzione (tra cui istruzione.it e pec.istruzione.it), che diffondevano il malware Emotet. Scaricando il messaggio infetto e aprendo il file ZIP contenuto nell’email, l’utente avviava la catena infettiva del malware che, sfruttando le sue funzionalità di trojan, andava a rubare informazioni personali, anche di tipo bancario, della vittima.
Secondo il rapporto Clusit 2021, il settore finanziario italiano risulta tra le maggiori vittime di phishing, registrando nel secondo semestre del 2020 una media di 3,2 nuove pagine di phishing al giorno attivate e perfettamente funzionanti, con una crescita graduale nel corso dell’anno.
I dati presentati sopra sono stati ricavati dai nostri esperti su un campione di aziende italiane, divise per quattro settori selezionati, dove risulta evidente il ritardo generalizzato nell’implementazione dei protocolli atti a prevenire i rischi del phishing.
Il consiglio è di agire in modo tale da non lasciare spazio di azione ai cybercriminali, adottando le misure adeguate per contrastare i rischi.
Vorresti ricevere un report riservato contenente le vulnerabilità della tua azienda con le possibili strategie di mitigazione?
Fonti
- Cybersecurity. Attacchi, danni e gestione del rischio, di Dino Esposito e Simone Massaro;
- Rapporto Clusit 2021 sulla sicurezza ICT in Italia, Associazione Italiana per la Sicurezza Informatica.