Da almeno vent’anni chi usa un computer in rete ha a che fare con il phishing.
Un problema che è lontano dall’essere risolto e che ogni volta pare presentarsi in forme nuove.
Solo di recente, ci ricorda Sean Duca vice president, regional chief security officer, Asia Pacific e Japan, di Palo Alto Networks è stata rilevata un’operazione che, dopo aver già coinvolto 50.000 persone tra Ceo, Cfo e altri ruoli senior, ha ampliato ulteriormente il proprio database di vittime.
Gli aggressori continuano a utilizzare un’ampia gamma di tecniche di phishing.
Si va dall’invio di un link via email per convincere un dipendente ad aprirlo per condurlo su un sito web non sicuro che richiede l’inserimento di informazioni confidenziali, allo spoofing dell’indirizzo email per fingere l’invio di un messaggio da una fonte legittima e richiedere dati personali.
Ma spesso il phishing colpisce installando un malware tramite un allegato pericoloso inviato via email, tramite pubblicità fittizia che permetterà agli aggressori di sfruttare falle di sicurezza e ottenere dati, o perpetrando tentativi di furto delle informazioni via telefono, fingendosi una persona di un’azienda conosciuta o del dipartimento IT.
Generalmente, si dovrebbe essere in grado di neutralizzare attacchi utilizzati ormai da decenni o almeno di ridurre i danni al minimo.
Il fatto che il phishing resti una minaccia preminente, secondo Duca è attribuibile a diversi fattori.
Il primo, di base: il phishing funziona ancora. Le persone continuano ad aprire email o allegati e spesso bastano pochi secondi per creare danni enormi. In base al report di Verizon 2018 Data Breach Investigations, il 4% degli obiettivi di una campagna di phishing aprirà link o documenti.
Secondo: gli attacchi sono più sofisticati. Gli aggressori continuano a migliorare le proprie tecniche, utilizzando l’ingegneria sociale e altri metodi per far apparire le loro email fittizie sempre più reali e legittime.
Terzo: le aziende sono più vulnerabili. Gli attacchi di business email compromise (BEC) stanno aumentando. Come segnalato dall’FBI tra ottobre 2013 e maggio 2018 le perdite effettive e potenziali causate da questi attacchi e dalla compromissione degli account email hanno superato i 12 miliardi di dollari.
Quarto: c’è l’automazione. È più semplice ed economico lanciare attacchi massicci sfruttando l’automazione e strumenti poco costosi reperiti su cloud e dark web. Perché utilizzare un approccio mirato, quando si può effettuare un attacco a tappeto?
Con il phishing odierno le e-mail sembrano davvero quasi legittime, per cui non si può contare solo sulla tecnologia per prevenirle:
Ma secondo Duca si può limitare la vulnerabilità degli utenti investendo in soluzioni di spam e web filter e focalizzandosi sulle quattro aree principali.
La prima: la consapevolezza. È necessario rendere le persone consapevoli delle minacce e del loro pericolo per l’azienda. Con la crescita degli attacchi BEC, le risorse che operano in ambito finanziario sono particolarmente vulnerabili.
Poi si deve parlare di formazione e training. Una volta raggiunta la consapevolezza, è fondamentale proseguire con formazione e corsi. Assicurarsi che gli utenti pongano attenzione al linguaggio, alla grammatica, ai loghi, e che facciano attenzione ai messaggi che richiedono azioni urgenti e istantanee. Ci sono molti modi per istruire gli impiegati e la formazione dovrebbe diventare continua e obbligatoria.
Servono anche nuovi processi. Se i processi aziendali agevolano le vulnerabilità, è giunta l’ora di cambiarli. Ad esempio, in banca non è possibile ritirare somme di denaro elevato senza l’autorizzazione di un dirigente.
Quando si tratta di email, la persona che riceve il messaggio non dovrebbe essere la stessa che si occupa delle transazioni di denaro. Sottolineare ai dipendenti l’importanza di verificare la situazione con i fornitori, tramite una semplice telefonata, quando si trovano davanti a richieste di pagamento sospette.
E infine, secondo Duca, si deve sempre parlare di cultura aziendale. Consapevolezza, formazione e processi sicuri fanno parte di una cultura aziendale focalizzata su cybersecurity e mitigazione del rischio. I dirigenti aziendali devono ricordare ai dipendenti la loro responsabilità in termini di sicurezza IT e il loro ruolo da rispettare.
Le tecniche principali utilizzate negli attacchi di phishing non sono cambiate molto negli ultimi vent’anni e tentano ancora di convincere le persone a compiere azioni che sembrano legittime. La tecnologia moderna può limitare le vulnerabilità, ma le aziende devono fare affidamento sulla componente umana.
Indirizzare la cultura aziendale verso la consapevolezza e la formazione sulla sicurezza permetterà di evitare che i dipendenti aprano il link sbagliato o un allegato pericoloso.
Sarà difficile che il phishing passi di moda, perciò secondo Duca, adottare il giusto approccio aiuterà sicuramente a ridurre i rischi.