Cresce in modo esponenziale il fenomeno del phishing e sotto attacco, in questi mesi, ci sono i dipendenti che operano in regime di Smart Working. Secondo i dati del rapporto annuale stilato dal Clusit (Associazione italiana per la sicurezza informatica), nell’ultimo anno, il numero di questi attacchi nel nostro Paese è cresciuto dell’81,8%. I dati pubblicati dalla rivista internazionale CSO* ci dicono che il phishing rappresenta la quota principale (l’80%) degli attacchi cyber e che ogni minuto nel mondo vengono “bruciati” 17.700 dollari a causa dei danni provocati da questa minaccia.
Differenza tra spearing phishing e spray phishing
Il phishing, letteralmente “pesca a strascico”, è una frode informatica (scam, in inglese) ideata con il preciso obiettivo di rubare informazioni rilevanti come le credenziali di accesso a conti correnti bancari oppure dati sensibili relativi a brevetti e proprietà intellettuali protette. Si tratta di un attacco che rientra nell’ambito del cosiddetto social engineering: attività perpetrate da criminali che, attraverso raggiri psicologici, riescono a far compiere alla vittima una determinata azione come condividere informazioni sensibili.
Quando questo attacco è mirato e ha come bersaglio uno specifico individuo si parla di spear phishing, mentre nel caso in cui cerca di coinvolgere il maggior numero possibile di vittime si parla di spray phishing. In pratica, il malintenzionato utilizza un messaggio e-mail, un SMS o un banner pubblicitario che compare all’interno di un’applicazione in uso all’utente-target per inviare link a siti web fasulli, ma dall’aspetto molto simile a quello di pagine web ufficiali e sicure. Le strategie sono le più diverse: dalle finte e-mail che annunciano il licenziamento del destinatario del messaggio alle finte notifiche di consegna di un corriere. Il messaggio è all’apparenza vero, perché proveniente da una fonte considerata attendibile come un amico (di cui il criminale ha rubato l’identità) oppure una banca. Solitamente, il mittente si assicura l’attenzione del malcapitato inserendo un appello urgente a cambiare o aggiornare le credenziali d’accesso a un servizio online, pena l’esclusione dal servizio stesso. Lo scopo è, ovviamente, quello di sollecitare l’utente a compiere in fretta e furia l’azione che innesca l’attacco cyber, senza riflettere e soprattutto senza verificare in modo attento la provenienza e la veridicità del messaggio. Il link punta a un sito web fasullo con una grafica molto simile a quella di una pagina ufficiale e solitamente contiene un form da compilare inserendo informazioni personali come username e password di accesso a un conto corrente oppure codici di sicurezza (CVV) della carta di credito. Una volta acquisite, queste informazioni possono essere utilizzate per eseguire diverse attività illecite come l’esfiltrazione e la compromissione di reti aziendali oppure la sottrazione di denaro.
Spesso, infatti, il phishing rappresenta il primo passo per avviare un’attività criminale più complessa, come veicolare un programma (dropper) che instilla malware nei sistemi informativi dell’utente e in quelli dell’organizzazione di cui fa parte. Il passo successivo è l’esfiltrazione di dati o la compromissione dell’operatività di server ed endpoint aziendali attuata, per esempio, tramite ransomware, malware da riscatto che criptano i dati rendendone impossibile la consultazione.
Si fa presto a dire phishing…
Quando si pensa al phishing l’immagine che viene in mente è quella della classica e-mail fasulla proveniente da un fornitore di servizi molto conosciuto o da un grande gruppo bancario. Tuttavia, non esiste solo la posta elettronica come vettore d’attacco.
Mobile phishing ovvero smishing (SMS phishing) e app phishing
Oltre che nella tradizionale variante dell’e-mail fraudolenta, gli attacker colpiscono anche attraverso SMS fasulli, che simulano comunicazioni inviate da service provider, gestori di circuiti di pagamento e banche. In questo caso, si parla di smishing (SMS+phishing). Lo scopo è sempre e comunque acquisire informazioni personali e finanziarie. Il messaggio generalmente chiede al malcapitato di cliccare un link e accedere a una pagina web digitando PIN, username e password, oppure fare una telefonata per verificare, aggiornare o riattivare un account, di fatto fornendo informazioni confidenziali ai malintenzionati, che potranno usarle per esfiltrare dati aziendali sensibili o svuotare conti correnti. Negli smartphone, poi, sono in aumento le finestre di phishing che si sovrappongono all’interfaccia legittima di un’App mobile di gestione delle password per carpire chiavi d’accesso a diversi servizi online.
Vishing (voice phishing)
Il vishing, ovvero il voice phishing, è una tecnica che consiste nell’utilizzare le chiamate telefoniche per attuare truffe informatiche. Attraverso tecniche di ingegneria sociale, l’attacker induce le vittime a condividere informazioni finanziarie o personali oppure a compiere un’azione specifica come, per esempio, cercare di accedere al proprio conto corrente online. Solitamente nel vishing l’attaccante impersona un funzionario della banca o della società che gestisce i circuiti della carta di credito, che gli segnala la compromissione del conto corrente oppure addebiti fraudolenti sollecitando una risposta immediata dell’interlocutore.
Whaling (caccia alla balena)
Nel caso in cui la vittima designata sia un top manager aziendale, un C-level per esempio, il phishing si trasforma in una vera e propria “caccia alla balena” (whaling). L’obiettivo dei cyber criminali in questo caso è manipolare e ingannare il CxO per convincerlo a condividere informazioni aziendali sensibili in suo possesso, per esempio quelle relative a un brevetto, oppure indurlo a compiere azioni dannose come autorizzare bonifici e giroconti.
Zombie phishing
Una variante molto diffusa della “pesca a strascico” è lo zombie phishing in cui i criminali subentrano in un account ufficiale (tipicamente un indirizzo di posta elettronica aziendale) e rispondono a una vecchia e-mail con un link malevolo. Siccome l’oggetto della mail e il mittente sono noti al destinatario, risulta ancora più difficile non cadere in trappola.
I numeri del fenomeno phishing
Il phishing è una tipologia di attacco che si può condurre in modo efficace e massivo (aumentando, dunque, le probabilità di frodare singoli individui e intere organizzazioni) a basso costo: basta pensare che una pagina web fasulla sul dark web costa in media tra i 3 e i 12 dollari. Ecco perché è così diffuso tra gli attacker. Secondo l’ultimo “Phishing Activity Trends Report” di APWG, nel solo mese di marzo i siti di phishing erano oltre 60mila e le e-mail di spearing phishing sono ancora oggi il vettore d’attacco più popolare, usate nel 65% dei casi. Lo stesso studio evidenzia come a essere nel mirino dei cyber criminali siano in prevalenza gli utenti aziendali di servizi SaaS e webmail. Tra quelli più spesso imitati, OneDrive, Sharepoint e Office365. Una variante sempre più diffusa è quella che prevede l’utilizzo di un link abbreviato, ottenuto attraverso i servizi online gratuiti come Bitly oppure Cuttly. Questi link non sono quasi mai bloccati dai sistemi di content filtering, perché non rivelano la URL effettiva, quindi si moltiplicano le possibilità di centrare l’obiettivo di far cadere in trappola il malcapitato destinatario del messaggio.
I rischi dello Smart Working
Il massivo ricorso al remote working, seguito ai lockdown attuati per frenare l’impennata dei contagi da Covid-19 nella prima metà dell’anno, ha generato un aumento degli attacchi di phishing. Le aziende hanno dovuto adottare in fretta e furia modelli operativi di Smart Working diffuso per tutelare la salute dei membri dell’organizzazione e garantire la business continuity. L’utilizzo di PC, notebook e tablet personali, spesso non adeguatamente protetti e collegati a reti Wi-Fi domestiche altrettanto esposte, moltiplicano le occasioni che gli attacker possono sfruttare per il proprio tornaconto.
Nello studio “How Covid-19 changed the way people work” realizzato da Karspersky, emerge come in Italia quasi un dipendente su 4 (il 24%) tra quelli che operano in Smart Working ammette di aver ricevuto un’e-mail di phishing a tema Covid-19 negli ultimi mesi.
L’improvviso e repentino adeguamento a una nuova produttività “domestica” (che ingenera un falso senso di protezione) e la necessità di aggiornamento continuo sull’evoluzione del virus sono fattori che spingono i dipendenti ad abbassare la guardia. Gli attacker continuano a far leva ancora oggi sull’emotività, l’emergenza e lo stato di preoccupazione diffusa per promuovere campagne di phishing che hanno nell’oggetto dell’e-mail il riferimento al Covid-19, al Coronavirus o all’OMS (l’Organizzazione Mondiale della Sanità). I messaggi contengono link a siti fasulli che in teoria dovrebbero aggiornare l’utente in tempo reale sullo stato di avanzamento della pandemia. Un’altra tecnica spesso utilizzata è quella di inviare messaggi con allegati malevoli provenienti da finte organizzazioni governative o internazionali impegnate sul fronte della lotta al virus. Le campagne così concepite, è opinione di molti esperti, si sono già rimanifestate durante questa seconda ondata e avranno un carattere ricorsivo per tutto il periodo della pandemia.
Proteggere i remote worker: una strategia anti-phishing in 7 mosse
La necessità di proteggere la salute dei dipendenti da eventuali contagi ha portato quasi tutte le aziende, e buona parte di enti e amministrazioni pubbliche, ad autorizzare il ricorso massiccio allo Smart Working negli ultimi otto mesi. Molte aziende si sono rivelate poco preparate, con applicazioni scarsamente virtualizzate e, troppo spesso, ancora gestite on premise. Anche i lavoratori sono stati proiettati nel giro di un paio di giorni nella dimensione dell’home working, spesso impossibilitati a gestire l’accesso in sicurezza a dati e applicazioni attraverso reti domestiche e device personali mal protetti. Una situazione destinata a protrarsi con tutta probabilità ancora per molti mesi.
Solitamente, nel caso di attacchi perpetrati ai danni di utenti aziendali, il tentativo di carpire informazioni personali e sensibili rappresenta solo il viatico per guadagnarsi l’accesso alla rete aziendale, che rappresenta il vero obiettivo dei cyber criminali. Una e-mail malevola o un SMS ben scritti, combinati con una scaltra attività di ingegneria sociale, per esempio un oggetto molto accattivante, nella maggior parte dei casi riescono a centrare l’obiettivo di persuadere almeno uno dei malcapitati destinatari a leggere, cliccare, inserire informazioni sensibili. E a quel punto il dado è tratto.
Ecco, dunque, quali sono i suggerimenti degli esperti per proteggere in modo efficace i lavoratori che operano in Smart Working dai pericoli del phishing.
- Assicurarsi che i dipendenti si sottopongano a una o più sessioni di formazione sui principali pericoli. Obiettivo di questa attività dovrà essere insegnare a riconoscere e smascherare i tentativi di phishing, reagire prontamente a un eventuale incidente, fornire indicazioni chiare sui referenti aziendali cui segnalare il sospetto di una minaccia cyber o di un’attività fraudolenta.
- Sottoscrivere un servizio di assessment, awareness e anti-phishing per comprendere il grado di preparazione dei dipendenti e la tenuta dei sistemi IT rispetto all’avanzata delle nuove minacce. La sensibilizzazione sui pericoli di questi attacchi permette in molti casi di stroncare i tentativi di phishing sul nascere. Se possibile, completare la formazione con esercitazioni in cui i dipendenti ricevono false e-mail di phishing, per testare la loro consapevolezza e la loro preparazione in merito a questa minaccia. In molti casi, la reazione dei dipendenti a una campagna di phishing è ciò che fa la differenza tra un tentativo fallito di penetrare la rete aziendale e una catastrofe.
- Adottare l’autenticazione a più fattori per proteggere al massimo i dati più sensibili relativi, per esempio, a transazioni finanziarie o accessi ai conti correnti bancari. Questo può essere fatto con un sistema di identificazione biometrica o una One-Time-Password (OTP) inviata al telefono del dipendente.
- Aggiornare regolarmente i software. Le vulnerabilità delle applicazioni possono rendere molto più facile per l’attaccante infiltrarsi nel network attraverso un tentativo di phishing.
- Abbonarsi a un servizio di intelligence sulle minacce informatiche. Questi servizi permettono al team del CISO di essere sempre informato sulle minacce emergenti nel settore e nella regione di riferimento. L’azienda sarà in grado di analizzare la propria posizione di difesa e valutare la capacità di risposta alle minacce avanzate sulla base di dati reali, piuttosto che su semplici supposizioni.
- Creare un team di risposta agli incidenti (incident response team). Questi esperti possono aiutare l’organizzazione a riprendere più velocemente l’operatività quotidiana in caso di incidente, riducendo l’impatto sulla reputazione dei marchi dell’azienda e contenendo le spese relative.
- Stipulare un’assicurazione contro i rischi cyber. Si tratta di una buona prassi per cautelarsi contro il pericolo di enormi perdite finanziarie in caso di attacco informatico.
Vodafone Business services, protezione anti-phishing avanzata per i remote worker
I filtri anti-spam sono in grado di isolare buona parte delle e-mail di phishing, ma non tutte. Per proteggersi adeguatamente rispetto a una minaccia che evolve in modo così rapido, con nuovi escamotage messi in atto quotidianamente per aggirare i sistemi di protezione, servono strumenti e servizi “intelligenti” sempre aggiornati. Strumenti come Vodafone Secure Network Gateway che offre una protezione scalabile e As a Service alle aziende che vogliono sostenere i modelli di remote working, mobilità e collaboration dei propri dipendenti. Il servizio è concepito per un deployment rapido, grazie alle funzionalità “click to add”, che permettono di integrare nuovi utenti o applicazioni facilmente, e senza la necessità di hardware addizionale. L’offerta, erogata in cloud dai data center Vodafone, permette di ottimizzare e prioritizzare le applicazioni aziendali, per garantire la miglior connettività nell’ambito di una gestione cost effective, quindi bilanciata ed economica, della banda trasmissiva.
Il vero anello debole della data protection, però, lo sappiamo bene, è il cosiddetto fattore umano. I dipendenti, con i loro comportamenti “leggeri” e le loro disattenzioni, possono arrivare a compromettere seriamente l’integrità dei dati aziendali. La formazione, lo sviluppo di una maggior consapevolezza su quali sono i pericoli cyber, su come riconoscere i tentativi di compromissione e, soprattutto, su come evitarli, sono dunque un aspetto fondamentale di una strategia di sicurezza ben concepita. Un aspetto che, invece, è troppo spesso sottovalutato e trascurato, a causa dell’incapacità di reperire all’interno dell’organizzazione risorse adeguatamente preparate. Ecco perché Vodafone Business ha progettato Vodafone Phishing Awareness, un servizio realizzato in collaborazione con Accenture. Un vero e proprio assessment, che permette di misurare la consapevolezza degli utenti rispetto a questa minaccia. Un test di sicurezza condotto con un approccio molto pragmatico, il cui culmine è la simulazione di un attacco di e-mail phishing a una specifica selezione di impiegati e manager, quelli con i profili più “allettanti” per gli attacker. I report generati offriranno a CIO e CISO una visibilità completa sui comportamenti dei dipendenti e la consapevolezza dimostrata, così da mettere i CxO nella condizione di pianificare eventuali attività di training mirato e aggiuntivo.