Phishing: 2020 annus horribilis per gli attacchi alle imprese

Nel 2020 sono aumentati a livello mondiale gli attacchi di Phishing andati a buon fine. Quali sono le cause? Come è cambiata la natura degli attacchi? Come possiamo proteggere le imprese e le persone?

La pandemia da Covid-19, ancora in corso a livello mondiale, ha generato nuove sfide per le aziende ed è stato necessario adattare i modelli operativi alla nuova realtà, in cui il lavoro da remoto è divenuto parte integrante della quotidianità e, di fatto, la nuova normalità.

La tecnologia nel corso dell’ultimo anno è in molti casi divenuta l’unico mezzo tramite il quale avvengono sia le interazioni lavorative che private. Internet e i device ad esso connessi hanno definitivamente assunto un ruolo centrale nella vita di chiunque. I business meeting si sono trasferiti dalle sale riunioni alle virtual room e gli aperitivi dai bar alle videochiamate di gruppo.

In questo scenario in forte e veloce evoluzione, la Cybersecurity gioca certamente un ruolo fondamentale, visto che l’aver abbandonato gli uffici ha fatto crollare anche le ultime errate convinzioni che le difese perimetrali aziendali fossero sufficienti per garantire un’adeguata sicurezza.

Ora gli utenti e gli elaboratori sono isole nella rete ed è necessario essere in grado di garantire ad essi un livello minimo di Security ed operatività, nonché di compliance, in qualunque luogo fisico e virtuale effettivamente si trovino.

Nonostante tutto ciò, molte aziende non hanno fornito ai collaboratori ambienti di lavoro che siano in grado di fronteggiare in maniera corretta e coerente le nuove sfide. A trarne vantaggio, come sempre nascosti nell’ombra, ma non troppo, i cybercriminali.

L’adozione del lavoro da remoto in uno scenario tecnologico non ancora maturo, con le aziende che si sono trovate a dover organizzare nel breve uno switch che avrebbe richiesto molto più tempo, dando priorità all’operatività rispetto alla Security, è una delle cause principali dell’altissimo numero di attacchi di Phishing compiuti nel 2020.

Proofpoint, nel suo recente studio “State of the Phish 2021”, ha rilevato che il 57% delle imprese a livello globale ha subito nel 2020 un attacco di Phishing andato a buon fine.

 


blank

Nei fatti, precisa lo studio, la maggior parte dei data breach avviene a causa dell’errore umano; gli attaccanti ne sono consci e si sono organizzati per manipolare le vittime e sfruttare tali debolezze.

Tra le ragioni di questo spike nella frequenza dei cyberattack possiamo sicuramente annoverare, come fattore determinante, anche la pratica tipica delle piccole e medie aziende di consentire ai lavoratori un BYOD di fatto, garantendo cioè la possibilità di lavorare da casa con dispositivi di proprietà personale e di accedere a dati e sistemi aziendali, senza però mettere in campo tutte quelle misure che ne garantirebbero la Security.

L’errore umano è un fattore che non può che generare preoccupazione. Prima della pandemia era già una fra le cause maggiori degli incidenti di sicurezza, soprattutto per la mancanza di formazione e preparazione dei lavoratori. Lavorare in remoto molto spesso implica che gli impiegati possano essere interrotti più spesso, da familiari o da visitatori, facendo ulteriormente calare il livello di attenzione ed aumentando il rischio.

Sempre secondo l’analisi Proofpoint, il 94% dei cyber attack inizia via email ed oltre il 99% richiede una interazione umana per attivarli ed abilitarli.

Il nuovo scenario lavorativo ha portato a variazioni significative anche nel panorama degli attaccanti.

Accanto alle classiche figure di cybercriminali strutturati in realtà sempre più complesse e composite e agli script kiddies, hanno assunto sempre più rilevanza anche le azioni intraprese dai cosiddetti insider, lavoratori infedeli che a causa dei minori controlli tecnici e alla mancanza di un quotidiano contatto umano sono tentati e spinti ad intraprendere attività illecite nei confronti dell’azienda di cui fanno parte.

Gli attaccanti mirano generalmente a rubare informazioni agli utenti, come ad esempio le credenziali di accesso, o ad infettare un elaboratore con virus e malware. Il Phishing viene sempre studiato per spingere un utente a cliccare su un link o ad aprire un allegato, sfruttando il fattore della vulnerabilità umana.

Le tipologie di phishing più comuni delle quali gli utenti sono vittime, possono essere catalogate in:

  • Phishing massivo. Tende a raggiungere il maggior numero di utenti, non è mai sofisticato ed è facilmente riconoscibile.
  • Spear Phishing. Mira in maniera specifica ad uno o più individui sfruttando informazioni liberamente disponibili online o presenti in account/database compromessi.
  • Whaling. Tipologia di campagna in cui si mira ai “pesci grossi” di una azienda (CxO).
  • Clone Phishing. L’attaccante utilizza una copia di un’email lecita precedentemente inviata all’azienda, sostituendo i link e gli allegati originali con quelli malevoli.
  • Advance-Fee Scam. I cybercriminali chiedono direttamente denaro o informazioni bancarie.

Nelle campagne di Phishing gli attaccanti manipolano gli esseri umani per persuaderli ad agire come essi desiderano. Molto spesso riescono in questo intento sfruttando le emozioni e seguendo gli schemi tipici di ogni manipolatore.

Generalmente ci troviamo di fronte a messaggi che utilizzano le tecniche classiche dei manipolatori e nello specifico:

  • bugie, che possono indurre la vittima a credere a quanto scritto nel messaggio;
  • intimidazioni, che generano un senso di paura;
  • senso di colpa, che spinge l’utente ad agire velocemente per rimediare alle proprie mancanze;
  • rabbia, per offuscare la ragione.

Le vittime preferite dai cyber criminali sono le persone ingenue, con bassa stima personale o che soffrono di dipendenza emozionale.

Come e possibile proteggersi dalle campagne di Phishing?

Gli attaccanti mirano, come abbiamo detto, alle emozioni, sfruttando stati mentali specifici in cui gli utenti si trovano e che conducono essenzialmente a disattenzione o necessità di agire in tempi rapidi. Quando la mente è stanca e non concentrata le emozioni prendono il sopravvento sulla parte razionale e conducono a scelte molto spesso errate e che non verrebbero mai prese in un diverso contesto.

È necessario, qualora un’email scateni in noi emozioni che ci possano condurre a cliccare o aprire un allegato, fermarsi e riflettere. Staccare poi la mente per qualche minuto dal problema e rivalutare il tutto. Se non clicchiamo non può praticamente mai succedere nulla di male. Avvisiamo immediatamente il dipartimento IT della nostra azienda e seguiamo scrupolosamente le indicazioni che ci vengono fornite.

Essenziale poi, come elemento centrale e molto spesso poco considerato, formarci e formare i nostri utenti. I numeri che possiamo leggere ogni giorno sono sempre più chiari: sentirci al sicuro solamente perché abbiamo dotato la nostra rete di device e software per la protezioni e assolutamente anacronistico. Oggi è il fattore umano l’elemento su cui si gioca la sfida per la Cybersecurity. Quanto abbiamo fatto fino ad ora per dotare i nostri utenti degli strumenti e della forma mentis opportuna per rispondere agli attacchi di Social Engineering? Quanto abbiamo in programma di fare per il futuro? Se la risposta e “non molto” o “nulla”, possiamo essere certi che forse non domani o magari nemmeno la prossima settimana, ma presto saremo anche noi sulle pagine dei quotidiani, nuova vittima famosa di un attacco cyber, azienda in cui ormai si sarà persa la fiducia.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email
Share on print

Articoli correlati

Non sei ancora iscritto alla nostra newsletter?

Torna su