Rispetto al phishing a strascico che colpisce il mucchio, di cui abbiamo parlato in precedenza, negli attacchi mirati di phishing l’attaccante punta ad un bersaglio definito (target), che può essere una specifica azienda o tipologia di aziende.

L’obiettivo possono essere informazioni, dati, know-how di una specifica azienda o settore, oppure semplicemente mettersi nelle condizioni di ricattare una categoria di aziende a cui è possibile estorcere un ingente riscatto.

Gli attacchi mirati sono più insidiosi, in quanto disegnati “su misura” per il target prescelto e per questo risultano molto più efficaci. Gli attaccanti studiano il bersaglio raccogliendo informazioni su clienti, dipendenti e fornitori.

Ecco quindi che una mail può essere diretta verso una persona specifica oppure fare riferimento ad uno specifico progetto, cliente o fornitore, con cui l’azienda ha realmente o verosimilmente rapporti.

Grazie all’attento studio preliminare, le comunicazioni esca sono molto più realistiche e difficili da riconoscere per il personale operativo, aumentando la probabilità che l’azienda cada vittima dell’attacco.

Principali settori colpiti da attacchi mirati di phishing

I settori che devono preoccuparsi di questo tipo di attacchi sono fra i più disparati

  • Educazione (università, centri di ricerca)
  • Finanza (banche, assicurazioni, consulenti)
  • Energia (industrie, centrali)
  • Trasporti
  • Tecnologia
  • Salute
  • Telecomunicazioni
  • Aziende manifatturiere
  • Agricoltura

Caratteristiche e finalità degli attaccanti

Gli attaccanti che impiegano strategie di attacco mirato sono fondamentalmente di due tipi:

  • Crimine organizzato, con la finalità di profitto,
  • Intelligence (nazioni), con la finalità di effettuare spionaggio industriale, per avvantaggiarsi tecnologicamente, politicamente e militarmente.

Nell’ultimo biennio, gli attacchi con finalità di profitto sono in crescita, anche grazie all’evoluzione e all’industrializzazione della criminalità organizzata.

finalità-phishing-mirato
fonte: https://www.verizon.com/business/resources/reports/dbir/

Profilazione del target

La profilazione del target viene normalmente svolta tramite ricerche da fonti pubbliche, impiegando tecniche di OSINT (Open Source INTelligence), raccogliendo gli indirizzi e-mail delle persone che lavorano in azienda e le informazioni principali per identificarle.

Viene “mappata” la rete dell’azienda e rilevate le macchine (server, router, firewalls etc) “visibili” dall’esterno della rete.

È possibile che durante questa fase gli attaccanti utilizzino attacchi di ingegneria sociale con lo scopo di mappare l’azienda, ovvero per ottenere informazioni su persone, dipartimenti, strutture etc, e non per inviare qualcosa di malevolo.

Vettori di attacco

Il mezzo principale è quello dello spear-phishing, che letteralmente significa pesca con la fiocina e si realizza attraverso: allegati o link malevoli tramite e-mail.

Altri vettori possono essere:

  • Account compromessi
  • Attacchi di tipo zero-day
  • Attacchi alla supply chain
  • Ransomware
  • Attacchi dall’interno
  • Software non legittimi

Come si realizza un attacco mirato di phishing

Una volta selezionato il target e congegnata la trappola le fasi di un attacco mirato di phishing generalmente sono:

  • Compromissione iniziale: normalmente avviene attraverso attività di ingegneria sociale (phishing), ma può essere realizzata anche sfruttando vulnerabilità degli asset tecnologici (server, workstation, router, firewall, switch, NAS, etc).
  • Elevazione dei privilegi: una volta ottenuto l’accesso ai sistemi, l’attaccante si mette nelle condizioni di controllare l’infrastruttura informatica della vittima, al pari dell’Amministratore di Sistema.
  • Esfiltrazione dei dati: l’attaccante copia i dati reperiti all’interno dell’azienda.
    I motivi possono essere:

      1. Venderli – il suo obiettivo finale è il furto di dati (know-how, informazioni sensibili, segreti industriali, etc) ed è stato ingaggiato per questo
      2. Analizzarli – il suo obiettivo è individuarne il valore e quindi ricattare la vittima ed i suoi clienti e fornitori per non divulgarli
      3. Estorcere un riscatto – si tratta del caso “tradizionale” in cui i dati all’interno del perimetro aziendale vengono cifrati e l’operatività interrotta fino al pagamento di un riscatto.

 

Advanced Persistent Threat

Si parla di Advanced Persistent Threat (APT) nei casi in cui l’attaccante è preparato per mantenere l’accesso all’interno dell’infrastruttura informatica per un tempo indeterminato, senza ripetere l’attacco iniziale.

Ad esempio, questo può avvenire per l’intercettazione di comunicazioni o l’attesa di transazioni importanti.

Un APT è una tipologia minaccia posta in essere da un attaccante, o un gruppo organizzato, dotato di ottime capacità tecniche e risorse sufficienti per attivare attacchi mirati, anche su larga scala, utilizzando moltissimi vettori d’attacco in un arco di tempo anche molto esteso, con il fine di mantenere accesso e controllo su una o più infrastrutture informatiche.

COSA PUÒ FARE L’AZIENDA PER DIFENDERSI DA UN ATTACCO MIRATO DI PHISHING?

Uno dei principali problemi di sicurezza che riguardano gli attacchi mirati di phishing è la sofisticazione.

La preparazione è una parte iniziale fondamentale di questi attacchi e ogni dettaglio viene tenuto in considerazione.

Si tratta di attacchi molto complicati da rilevare, soprattutto durante la prima infezione e, nella maggior parte dei casi, un sistema di sicurezza basilare come l’antivirus viene bypassato senza alcuna difficoltà.

La maggior parte delle aziende non ha sistemi di sicurezza adeguati.

Per il primo accesso, l’attaccante fa il più delle volte leva sulla mancanza di consapevolezza delle persone e sulla loro poca capacità di gestire questi rischi nell’ambito dell’ordinaria operatività.

Per questo formazione e addestramento contro il phishing giocano un ruolo cruciale per la prevenzione di questo genere di attacchi.

Visto inoltre il trend in crescita di attacchi basati su vulnerabilità delle componenti tecnologiche (firewall, router, DVR, software, servizi esterni, etc) è inoltre importante implementare una buona strategia di patch management, ovvero la gestione pianificata degli aggiornamenti di software e servizi.

A livello tecnologico, è necessario valutare l’adozione di soluzioni di sicurezza quali:

  • Firewall e antivirus
  • Soluzioni EDR – Endpoint Detection and Response
  • IPS/IDS – Incident Prevention System / Incident Detection System
  • SIEM – Security Information and Event Management

In base alla complessità della rete aziendale, è anche importante valutare l’opportunità di effettuare attività di Vulnerability Assessment periodiche sull’intera infrastruttura.

Nell’ultimo anno gli attacchi mirati di phishing verso aziende e organizzazioni sono stati utilizzati sempre più spesso per veicolare ransomware, che saranno i protagonisti del nostro prossimo approfondimento.