Spear Phishing: quando la criminalità ci chiama per nome

spear phishing

Gli esperti di sicurezza informatica hanno registrato un aumento negli attacchi di spear phishing. È importante conoscere questa tipologia di attacco phishing e seguire alcune raccomandazioni di sicurezza.

Attacchi personalizzati

Se hai un account di posta elettronica avrai sicuramente ricevuto un’e-mail con promesse di successo nella carriera professionale o una grossa vincita alla lotteria. Fino ad oggi queste e-mail erano piuttosto semplici da identificare: oggetto in maiuscolo, errori ortografici e allegati che facevano accendere una prima spia d’allarme. Adesso le cose sono un po’ cambiate. Ora sempre essere diventato più difficile riconoscere a primo acchito i raggiri dietro alle e-mail. Il numero di attacchi personalizzati continua a crescere. È molto più probabile che apriremo un’e-mail ricevuta da un collega con oggetto il prossimo meeting.

I programmi non sicuri sono facili target

Le e-mail sono camuffate e danno l’impressione di essere state inviate da banche, compagnie aeree, servizi di recapito pacchi o addirittura dal proprio datore di lavoro. Con queste società si è spesso disposti a condividere i propri dati personali, senza pensare minimamente che aprire una loro e-mail possa avere un effetto negativo. Molti di questi attacchi avvengono tramite il programma Office 365. La combinazione di servizi e applicazioni online, collegate al software Office sono una soluzione pratica, ma offre una base ottimale per gli attacchi. Il tutto avviene in modo molto “sottile”: l’utente riceve un avviso, che lo informa che il suo account è stato bloccato. Se l’utente reagisce immettendo il proprio nome utente e la password, il gioco è fatto. Cadere nella trappola è facile e il tutto avviene di solito in pochi secondi. Una volta ottenuti i dati dell’utente, gli aggressori possono impostare reindirizzamenti e spiare il comportamento dell’utente. Le conoscenze acquisite dal spear phishing possono essere utilizzate per attacchi ransomware o altre minacce persistenti avanzate (APT).

Dal phishing al whaling: non abboccare all’amo

Le e-mail vengono spesso personalizzate così da sembrare essere state inviate da un collega. Prima di lanciare l’attacco, gli aggressori ricercano le informazioni come nome della persona, posizione di lavoro, settore di attività dell’azienda. I social network hanno reso possibile accedere a queste e altre informazioni, come il luogo di residenza. L’e-mail diventerà quindi personalizzata. L’e-mail può contenere, ad esempio, un invito alla prossima riunione o un appuntamento che abbia a che fare con il lavoro della vittima. In allegato si trova un documento PDF o Word, presumibilmente con i dettagli dell’incontro. Nel file si nasconde un codice di exploit che sfrutta vulnerabilità non ancora conosciute. Le conseguenze sono gravi e possono avere un risvolto a lungo termine. Dal momento che il lavoro è piuttosto dispendioso, gli attacchi sono rivolti ai pesci più grossi, da qui il nome whaling: CEO, CFO, dipartimenti Risorse umane e avvocati sono spesso target degli attacchi. L’attacco non punta tanto ai dati ad esempio della carta di credito. Piuttosto si attinge ai segreti aziendali e altre informazioni commerciali, grazie alla quale gli hacker possono danneggiare le imprese. L’interesse degli attacchi va dunque oltre i propri dati personali.

New Media: un bene o un male?

I malintenzionati non utilizzano più solo la posta elettronica per sferrare i loro attacchi. I messaggi vengono inviati anche tramite SMS, Skype e altri canali. Strumenti tecnologici come l’intelligenza artificiale possono essere utilizzati per analizzate i dati dai feed dei social network e lanciare attacchi spear phishing. Gli utenti dei social network sono ancora molto ingenui nel rapportarsi con la propria sicurezza in rete. Se le e-mail spam standardizzate, oggi non sembrano non rappresentare più un pericolo, cresce il pericolo collegato ai messaggi su Twitter. Gli utenti dovrebbero tenere gli occhi aperti e non cliccare su tutti i link apparentemente interessanti.

Tre consigli per difendersi dagli attacchi spear phishing

La migliore protezione resta sempre l’informazione e la formazione dei propri dipendenti su come muoversi in rete.

Formazione dei dipendenti

Workshop e eventi informativi possono essere utili per sensibilizzare i dipendenti sui pericoli in rete e le varie forme di phishing, come spoofing, Social Engineering, compromissione della posta elettronica aziendale e il furto d’identità. Ai fini formativi possono essere simulati degli attacchi.

Autenticazione multifattore

L’autenticazione multifattore fornisce una protezione aggiuntiva attraverso la verifica di altri dispositivi e programmi. In questo modo si può garantire che l’immissione di nome utente e password da soli non rappresenti un pericolo. L’autenticazione può essere effettuata tramite codice SMS, chiamate da cellulare o altri livelli di informazioni personali.

Uso di strumenti prevenzione intelligenti

Sebbene l’intelligenza artificiale sia ora utilizzata per gli attacchi di phishing, essa offre anche grandi speranze per porre fine agli attacchi. Attraverso l’apprendimento e l’analisi di specifici modelli di comunicazione, un motore di IA è in grado di rilevare le incongruenze e gli attacchi in tempo reale. Il motore di IA installato all’interno dell’azienda si evolverà nel tempo diventando sempre più preciso.

Tradotto dall’originale tedesco da Simone Catania

Leggi altri articoli sulla Sicurezza digitale.

Nadine Jäger

Redattrice online con un interesse per il digitale, in particolare IoT e IA. Vedo nell’online marketing un forte potenziale per il futuro e desidero quindi informare i nostri lettori di tutte le notizie più interessanti.