Gli attacchi di phishing sono una minaccia quotidiana, che si evolve continuamente e diventa sempre più difficile da riconoscere. Anche per questo motivo la nostra attenzione alle nuove tecniche di attacco è sempre elevata e riteniamo che sensibilizzare quanto più possibile le persone rispetto ai rischi sia parte della nostra missione di esperti di sicurezza informatica.

Le allerte verso il phishing si trovano in ogni dove, si sente nominare talmente spesso che sembra ormai scontato riconoscere un’e-mail fasulla o un sms contraffatto, giusto?

Per analizzare meglio la portata del rischio abbiamo preparato una sintesi di alcuni casi reali di campagne di phishing che abbiamo realizzato nelle attività formative di addestramento del personale delle aziende nostre clienti.

Vediamo quindi insieme:

Cos’è l’ingegneria sociale e come viene sfruttata negli attacchi informatici

Definiamo “ingegneria sociale” ogni azione mirata a far compiere ad un’altra persona una determinata azione, indipendentemente dal fatto che questa azione sia a favore o contro il suo interesse.

L’ingegneria sociale identifica infatti dei canali comunicativi che sfruttano le emozioni umane che per natura “ci mettono alle strette” e che, in base allo scopo per cui vengono utilizzati, possono assumere una connotazione sia positiva che negativa.

Le stesse leve motivazionali, che utilizziamo nella comunicazione con i nostri familiari, figli e amici per stimolarli a fare qualcosa a loro vantaggio, sono invece sfruttate dai criminali informatici per farci agire contro il nostro interesse. Attraverso le stesse (semplici) leve, gli attaccanti continuano ad attrarre nelle loro trappole milioni di persone ogni anno da decenni.
È vero che i mezzi tecnologici si sono evoluti e i canali non sono sempre gli stessi, ma le tecniche di ingegneria sociale non sono cambiate dall’inizio dei tempi.

Guardiamo al primo esempio di attacco di ingegneria sociale a livello “globale”, il messaggio LoveLetter, che è stato diffuso il 5 maggio del 2000 ed ha agito esattamente come potrebbe fare un attacco nel 2022.

Si trattava di un messaggio e-mail chiamato “ILOVEYOU” con allegato il file “LOVE-LETTER-FOR-YOU.TXT.vbs”, che conteneva un worm mascherato da un file VBS (file di script Visual Basic, molto comune nei sistemi Windows), che, una volta aperto, inviava a tutti i contatti della rubrica lo stesso messaggio.

In questo caso, la curiosità del destinatario lo portava a cliccare sull’allegato, attivando dunque il worm, che sovrascriveva alcuni file di sistema per agire indisturbato e auto-inviava il messaggio all’intera rubrica di Outlook, moltiplicando così la diffusione su scala mondiale.

La curiosità è una delle principali emozioni su cui fanno leva gli attaccanti per indurre le vittime ad agire, ma soprattutto ad agire d’impulso, prima di accorgersi della  pericolosità dell’azione stessa.

Altre emozioni tipicamente sfruttate dall’ingegneria sociale sono anche l’urgenza e avidità, ma in molti casi vengono utilizzate anche la paura, la tristezza, l’empatia e la rabbia a proprio vantaggio.

Come abbiamo anticipato, queste tecniche sono ancora oggi utilizzate nelle campagne di phishing. Tra gli esempi più in evidenza abbiamo la lunga serie di campagne diffuse durante l’emergenza Covid-19, che hanno richiamato le emozioni e le insicurezze scaturenti dalla paura del contagio, dalla sicurezza sanitaria, dalle campagne vaccinali e dalla gestione dei green pass per trarre in inganno le persone e portarle ad aprire allegati infetti o visitare siti web contraffatti.

 

Le emozioni negative sono sempre un’arma molto efficace che gli aggressori utilizzano per indurre le vittime a prendere delle decisioni non ragionate, né molto sagge.

 

È pertanto molto importante comprendere le dinamiche e i meccanismi psicologici delle tecniche di attacco per acquisire la capacità di riconoscerle prima di eseguire azioni pericolose.

Per raggiungere questo obiettivo non è sufficiente una conoscenza teorica, perché è proprio lo stimolo all’azione impulsiva che denota il successo del phishing. Ed è per allenare le persone a controllare l’azione impulsiva che i nostri percorsi formativi sulla sicurezza informatica prevedono attività di addestramento pratico che utilizzano queste leve esattamente come fanno gli aggressori, e allo stesso tempo consentono di verificare quanto l’azienda sia preparata a riconoscere ed affrontare gli attacchi di phishing.

Vediamo insieme come gli attaccanti informatici costruiscono una campagna di phishing e quanto può essere efficace il percorso formativo sulle possibilità che la campagna abbia successo.

Simulazione di un attacco di phishing

Esistono diverse classificazioni degli attacchi di phishing, una delle principali si basa sul grado di personalizzazione dei messaggi: distinguiamo pertanto tra attacchi “a strascico”, che prevedono l’invio di e-mail a contenuto generico verso tutto il personale dipendente, e attività mirate, volte cioè a trarre in inganno il personale appartenente a specifici reparti (ad es. risorse umane, amministrazione, gestione ordini, supporto clienti, ecc.) dell’azienda e quindi personalizzate per colpire quello specifico bersaglio.

Puoi approfondire le caratteristiche delle due tipologie di attacco nelle guide che abbiamo dedicato al phishing:

Le e-mail mirate di phishing risultano molto efficaci soprattutto nelle aziende con più di 50 dipendenti, perché le occasioni di contatto diretto tra colleghi sono rare e la comunicazione interna avviene soprattutto via e-mail, e in cui non è stata erogata formazione a tema cybersecurity awareness.

Alcuni esempi di e-mail mirate:

Molto spesso il mittente non è nemmeno riconducibile ad una persona interna all’azienda e l’e-mail proviene da mittenti con nomi molto “standard”, come, ad esempio: <amministrazione-azienda@mail.com> o <reparto-tecnico@mail.com>

Anche il portale di login a cui porta il link presente nell’e-mail spesso presenta un form di accesso molto “standard”, senza nessuna personalizzazione rispetto all’azienda specifica e i domini usati nei link sono sempre molto generici e non hanno assolutamente nessun tipo di riferimento all’azienda.

Successo di una campagna di phishing in assenza di formazione

Nessun riferimento all’azienda, indirizzi e-mail generici, dominio generico… non ci dovrebbe cascare nessuno, giusto?

E invece, nonostante tutte le premesse, i risultati ottenuti nella simulazione di una campagna di phishing con template molto simili a questi, confermano che il tasso di “successo” di queste campagne è molto elevato in assenza di una specifica formazione preventiva.

Prendiamo ad esempio i dati di una campagna realizzata per un cliente per verificare il livello di rischio prima della formazione del personale: su 54 e-mail inviate ne sono state aperte 19 ovvero il 35%, e 8 sono state cliccate, ovvero il 15%.
Le password recuperate sono state 4, il 7,4%.

Risultati di un attacco di phishing personalizzato prima e dopo la formazione in aula

Vediamo invece un caso studio di campagna di phishing personalizzata rispetto all’azienda target per verificare quanto la personalizzazione può influire sull’efficacia della campagna.

In questo caso abbiamo utilizzato e-mail costruite in modo che facessero esplicito riferimento all’azienda.

Una delle metodologie più spesso utilizzate per personalizzare le url di destinazione o gli indirizzi e-mail mittenti è il Typosquatting, ovvero domini molto simili all’originale, che contengono però un errore tipografico.

È una tecnica molto semplice da realizzare in quanto è sufficiente acquistare un dominio con il nome “scorretto” e, allo stesso tempo, è molto efficace perché è difficile da riconoscere per gli utenti base.

In questo caso confrontiamo i dati della campagna di phishing prima e dopo la formazione teorica rispetto alle tecniche di ingegneria sociale.

Prima della formazione su 62 e-mail inviate ne sono state aperte 20 e cliccate 20, il 32% del totale, e sono state ottenute 18 credenziali.
Alla luce del bottino ottenuto, questo avrebbe potuto essere l’inizio di un attacco molto più strutturato, per puntare direttamente ai sistemi informativi dell’azienda vittima.

Molto spesso è infatti attraverso l’ingegneria sociale ed il phishing che gli attaccanti ottengono credenziali ed informazioni utili a introdursi in un sistema e, progressivamente, a farsi strada per prenderne il controllo oppure impossessarsi di dati riservati.

In seguito a questa prima campagna, il personale dell’azienda ha partecipato alla formazione in aula rispetto alle minacce informatiche, prevista dal programma Linkspirit Care, in seguito alla quale abbiamo svolto un’altra campagna di addestramento.

Nella seconda campagna, realizzata in seguito alla formazione, abbiamo registrato soltanto 2 e-mail aperte e 2 collegamenti cliccati, ovvero il 90% in meno rispetto alla prima campagna, e abbiamo ottenuto 2 password rispetto alle 18 del primo tentativo, il 75% in meno.

Attacco del “finto CEO” (BEC)

Un’altra tecnica di attacco mirato che porta “ottimi” risultati è quella del “finto CEO”, o Business e-mail Compromise (BEC). Viene così definita perché consiste nell’impersonificazione di un dirigente aziendale, che invia un’email ad un dipendente per indurlo a compiere un’azione a vantaggio dell’attaccante, solitamente finanziaria come l’esecuzione di un bonifico oppure l’inserimento di credenziali per l’accesso a dati riservati.

Il caso tipico prevede il recupero delle credenziali della casella e-mail del dirigente, attraverso altre tecniche di ingegneria sociale, per utilizzarla nell’attacco e non destare sospetti.

Questa tecnica è molto efficace se è indirizzata a pochi destinatari ed in ambienti con più di 20 persone, in cui è quindi credibile ricevere una comunicazione interna importante via e-mail piuttosto che di persona.

Un esempio di messaggio dal finto CEO può essere così:

attacco-del-ceo

Anche in questo caso la vittima viene portata a scaricare qualcosa o a immettere delle credenziali cliccando sul link, nel nostro caso su 2 e-mail inviate una persona ha abboccato, inserendo, come richiesto, le sue credenziali di accesso al dominio (rete interna) aziendale.

Conclusioni

I dati che abbiamo rilevato nelle simulazioni di phishing per l’addestramento del personale presentate in questo articolo e nella maggioranza delle attività che svolgiamo per i nostri clienti confermano alcuni aspetti fondamentali per la sicurezza informatica aziendale:

1.

La percentuale di successo delle campagne di phishing realizzate verso dipendenti inconsapevoli può essere molto elevata e può mettere in pericolo l’intera azienda, ma è un livello di rischio che si può rilevare e quantificare solamente attraverso un test sul campo.

2.

Realizzare periodicamente simulazioni di attacchi di phishing volte e rilevare il livello di attenzione e consapevolezza verso i più svariati livelli e tipologie di minacce è una componente fondamentale per valutare l’esposizione al rischio informatico dell’azienda e governarla attraverso la pianificazione di una formazione mirata a risolvere i problemi evidenziati.

3.

L’erogazione di formazione teorica specifica, incentrata sulle modalità di attacco e le tecniche di ingegneria sociale, consente di abbattere considerevolmente la probabilità che le persone cadano vittima di un attacco mettendo in pericolo la sicurezza dei dati aziendali e dell’azienda stessa.

Se ancora non hai iniziato a valutare il rischio di phishing nella tua azienda, contattaci per organizzare una simulazione di phishing e valutare quanto la tua azienda è a rischio.