ECSM-full-colour-IT-png

Ottobre è il Mese Europeo della Cybersecurity (ECSM), un’iniziativa dell’Unione Europea per promuovere la consapevolezza relativa ai rischi cibernetici.

In Linkspirit viviamo la sicurezza informatica come una missione, prima che un lavoro, e supportiamo con entusiasmo questa iniziativa con un percorso formativo sulla cybersecurity awareness.

Poiché nell’ultimo anno abbiamo assistito a numerosi attacchi informatici verso aziende ed enti pubblici, che sono scaturiti da un inconsapevole azione umana, in questo primo approfondimento dedichiamo la nostra attenzione agli attacchi di phishing.

COS’È IL PHISHING

Il phishing è una tecnica di attacco informatico molto diffusa già da diversi anni, la cui diffusione è sempre in crescita. Secondo il Verizon 2021 Data Breach Investigation Report, il phishing è stato utilizzato nel 36% dei data breach a livello mondiale, con una crescita del 25% rispetto all’anno scorso.

È una truffa realizzata tramite messaggi – e-mail, SMS, social network e, più di recente, WhatsApp – in cui viene utilizzata una falsa identità per portare a termine l’attacco, facendo leva sulla curiosità della vittima o simulando una situazione di urgenza.

La tecnica si basa su attività di ingegneria sociale, o social engineering, un’attività di manipolazione delle persone in cui l’attaccante sfrutta il comportamento che queste hanno in reazione agli stimoli mirati cui questo li sottopone.

L’obiettivo è quello di ingannare la vittima portandola a fornire informazioni, dati personali, finanziari o codici di accesso, fingendosi un ente o un interlocutore di cui la vittima si fida.

Secondo il report ENISA 2020, l’84% degli attacchi informatici si basa su attività di ingegneria sociale.

In questa prima guida al phishing andremo a vedere insieme:

ATTACCHI A STRASCICO

Il phishing a strascico è una delle modalità più frequenti di attacco ed è una tecnica molto simile alla pesca a strascico e punta sui grandi numeri.
L’attaccante invia migliaia di messaggi a destinatari diversi, con l’obiettivo che più persone possibili caschino nella sua truffa.

L’attacco non è mirato ad un bersaglio definito, non fa leva cioè su peculiarità di una specifica azienda, come rapporti commerciali esistenti, o di una specifica persona che vi lavora all’interno, sfruttando ad esempio i suoi interessi personali, paure, opinioni politiche, etc.

Un attacco di phishing ha comunque sempre un obiettivo specifico, come rubare credenziali di accesso, rubare dati, richiedere un riscatto, etc.

La tecnica dello spoofing

Tramite la tecnica dello spoofing, il mittente del messaggio (e-mail, SMS, WhatsApp o anche su social network) è contraffatto per simulare una provenienza “fidata” o verosimilmente affidabile.
In questo modo l’attaccante maschera la propria identità dietro a quella di un’entità nota, spesso conosciuta dalla vittima, per garantirsi un maggior livello di fiducia, che porta il destinatario a cadere con più facilità vittima della trappola.

PHISHING E MALWARE

La stragrande maggioranza delle e-mail di phishing contiene allegati o collegamenti malevoli (virus, malware, etc).

Il malware può essere diffuso:

  • attraverso un file allegato all’e-mail stessa, in questo caso aprendo il file infetto viene attivato il software nel dispositivo
  • attraverso un sito in cui la vittima viene portata tramite il click su un link all’interno del corpo del messaggio.

E ricordiamo che in caso di infezione di un dispositivo connesso alla rete aziendale, è probabile che il malware si propaghi dal singolo dispositivo all’intera rete. Nel 2020 ben il 74% delle organizzazioni ha riscontrato la diffusione di malware da un dipendente all’altro.

ALCUNI ESEMPI DI MESSAGGI DI PHISHING A CUI FARE ATTENZIONE

  • offerte di prodotti o servizi a prezzi fuori mercato
  • comunicazioni da corrieri per organizzare la consegna di pacchi
  • comunicazioni da operatori di energia o telecomunicazioni per il pagamento di fatture o distacco dei servizi per mancati pagamenti;
  • comunicazioni dagli istituti bancari per la verifica di operazioni sospette sul conto corrente o carta di credito.
esempi-di-messaggi-di-phishing1-3
esempi di messaggi di phishing3
esempi di messaggi di phishing4
esempi-di-messaggi-di-phishing2-3

COME DIFENDERSI DAGLI ATTACCHI DI PHISHING?

  • Imparare a riconoscere i messaggi pericolosi, acquisendo consapevolezza delle tecniche utilizzate dagli attaccanti
  • Non operare in urgenza, non agire d’istinto, non cedere alla curiosità
  • Riflettere prima di cliccare sui link presenti nelle e-mail o scaricare i file allegati
  • Controllare l’indirizzo del mittente ed assicurarsi che il contenuto sia pertinente a quanto si attenderebbe
  • Qualunque urgenza reale può essere gestita al di fuori del contesto di un’e-mail o di un sito web
  • In caso di dubbi contattare un referente tecnico oppure il (presunto) mittente del messaggio tramite un canale alternativo (e.g. telefono)

COSA PUÒ FARE L’AZIENDA PER DIFENDERSI DAL PHISHING?

  • Mantenere alto il livello di guardia sensibilizzando gli utenti sulla problematica
  • Prevedere per il personale operativo percorsi di formazione in materia di cybersecurity awareness, preferibilmente attivando anche simulazioni di campagne di phishing a supporto della formazione teorica, per rafforzare la capacità di valutazione di fronte alla minaccia reale.

 

Il phishing può anche essere diretto ad un obiettivo specifico, in questo caso parliamo di attacchi mirati, per conoscere le caratteristiche e le principali tecniche di difesa, prosegui a questo articolo.