Cos'è un attacco di phishing?
Gli attacchi di phishing
In un attacco di phishing, il cybercriminale si finge una fonte affidabile che propone una richiesta o un'offerta allettante, solitamente tramite e-mail. Il malfattore inganna la vittima convincendola a consegnare le proprie informazioni personali, spesso costituite da credenziali d’identità di alto valore. Una volta acquisite tali credenziali, il cybercriminale può procedere alla compromissione dell’e-mail aziendale e all’acquisizione degli account. È qui che il cybercriminale può fare il massimo danno alla tua azienda, perché diventa difficile identificarlo e bloccarlo una volta che abbia assunto il controllo del account legittimo di un dipendente.
Gli attacchi di phishing sono uno dei metodi più diffusi per iniettare malware e ransomware nel tuo ambiente IT. In effetti, il 66% del malware viene ormai distribuito tramite allegati e-mail pericolosi. Il phishing è così diffuso perché funziona. Il 41% dei professionisti IT segnala attacchi di phishing quotidiani nel proprio ambiente. Finché dipendenti e utenti finali continueranno a comunicare via e-mail, la tua azienda sarà sempre a rischio di attacchi di phishing.
Come funziona un attacco di phishing?
Per gli attacchi di phishing i cybercriminali utilizzano l’e-mail, i social media o gli SMS, avvalendosi a volte anche del social engineering. Le campagne di phishing via e-mail sono il metodo prevalente. Questi messaggi contengono contenuti accattivanti con un link che conduce l'utente a un sito Web dannoso, che appare però legittimo a un primo sguardo. L'utente viene convinto con l’inganno a condividere le proprie informazioni personali (PII), come il numero di carta di credito o la password. Tali informazioni vengono poi utilizzate per compromettere un account, ad esempio bancario o di posta elettronica. A questo punto, il cybercriminale può sfruttare queste credenziali per un guadagno personale, ad esempio tramite addebiti fraudolenti su una carta di credito, oppure iniettare ransomware in un'e-mail aziendale per accedere all'ambiente IT della tua azienda, detto in questo caso spearphishing.
In generale, l’esecuzione di una truffa di phishing non richiede cybercriminali molto sofisticati. Nel caso del phishing-as-a-service, bastano pochi clic e la strisciata di una carta di credito per avviare una campagna di phishing.
Per i cybercriminali, gli attacchi di phishing sono una questione di volume e opportunità. I cybercriminali prendono ininterrottamente di mira singoli individui e organizzazioni con e-mail spam e attacchi di social engineering, finché non individuano una vulnerabilità nelle difese di sicurezza. Purtroppo, gli utenti finali sono un bersaglio facile e rappresentano l’anello debole della catena.
Cos'è lo spearphishing?
Secondo la definizione del National Counterintelligence and Security Center statunitense, lo spearphishing è "una tipologia di campagne di phishing rivolta a individui o gruppi specifici, che spesso include informazioni che si sanno essere interessanti per l’obiettivo, come eventi attuali o documenti finanziari". Gli attacchi avanzati di spearphishing costano alle aziende in media di $ 140.000 per incidente. I cybercriminali fanno grandi affari con lo spearphishing, perché prendono di mira la “gioielleria” delle aziende: dati finanziari, informazioni sui clienti, proprietà intellettuali, comunicazioni private e altro ancora.
Ciò che distingue lo spearphishing dagli attacchi di phishing generico o consumer è che la vittima del phishing non è l'obiettivo finale. È solo un punto di partenza dal quale ottenere accesso ai sistemi più estesi di un’organizzazione.
Che obiettivo ha un attacco di phishing?
I cybercriminali organizzano gli attacchi di phishing per rubare denaro, dati o entrambi. In alcuni casi, questo risultato viene ottenuto iniettando malware e ransomware in un ambiente dopo averlo penetrato tramite la compromissione dell’e-mail aziendale o l’acquisizione degli account. Il phishing è una delle modalità principali degli attacchi ransomware alle organizzazioni. Il ransomware è particolarmente pericoloso perché è potenzialmente in grado di bloccare completamente un'azienda, a meno che non accetti di pagare un riscatto al cybercriminale.
Gli attacchi di phishing possono essere rilevati?
Nonostante i vettori degli attacchi di phishing siano in continua evoluzione, i dipendenti possono rilevarne alcuni dei indicatori più significativi. Alcuni dei segnali d'allarme più comuni che indicano che si è stati presi di mira da un attacco di phishing includono:
- L’e-mail contiene un linguaggio o contenuti che appaiono imprevisti o insoliti. Il nome, l'azienda o l'indirizzo e-mail del mittente sembrano a prima vista normali, ma in fase di lettura c’è qualcosa che “non torna” nell'e-mail, nei saluti o nel linguaggio adottato. Magari il tono dell'e-mail è eccessivamente urgente o minaccioso. Ricorda, le reali emergenze non vengono risolte via e-mail o SMS.
- Richieste di informazioni personali. Ne sono un esempio la presenza di link con istruzioni per aggiornare la password o le richieste di informazioni bancarie. Quando l’oggetto dell’email è del tipo "Dobbiamo verificare le tue informazioni” il segnale è inequivocabile.
- Offerte non richieste e vincite di premi. “Congratulazioni! Sei stato selezionato…” è un’apertura che deve mette in guardia fin da subito.
- Siti Web con URL insoliti. Una delle prime cose da fare se hai dubbi su un sito Web è leggere l'URL completo. Ci sono parole con errori ortografici o nomi di dominio non proprio corretti? Molte vittime vengono invitate a fare clic su un link in un messaggio e-mail o SMS che pare legittimo, ma che reindirizza a un sito falso.
Puoi fare in modo che i dipendenti della tua organizzazione sappiano identificare questi e molti altri segnali tramite attacchi di phishing simulati e programmi di formazione anti-phishing. Questi strumenti contribuiscono alla formazione degli utenti finali e a ridurre la possibilità che facciano clic su tali link malevoli invitando gli hacker a entrare.
Cos’è la compromissione dell’e-mail aziendale?
Gli attacchi Business Email Compromise (BEC) sono una tipologia di phishing che sfrutta le e-mail contraffatte per portare la vittima a compiere azioni specifiche, come pagare una fattura o condividere una password. In queste e-mail vengono utilizzati nomi e addirittura indirizzi e-mail di dipendenti esistenti di un’azienda. In buona sostanza, i cybercriminali si fingono un conoscente della vittima. In caso di successo, il cybercriminale riesce a ottenere illegalmente denaro o ad accedere a informazioni sensibili sulla tua azienda, che possono poi essere utilizzate per attività dannose.
Cos'è l’acquisizione di un account?
L'acquisizione di un account è correlata alla compromissione della posta elettronica aziendale, poiché le credenziali dell'account e-mail aziendale diventano obiettivo di un inganno. In questo tipo di attacco di phishing, i cybercriminali possono utilizzare e-mail, telefonate o SMS dove si presentano come persone conosciute e affidabili. L'obiettivo è ottenere le credenziali e-mail della vittima e poi passare a un account più potente tramite un movimento laterale. Può trattarsi dell'e-mail di un altro dipendente, ad esempio il tuo CEO o CFO, oppure delle proverbiali "chiavi del regno", come l'accesso ad applicazioni e sistemi business-critical. Una volta riuscita l’acquisizione di un account, per i professionisti della sicurezza diventa difficile scoprire i cybercriminali, perché appaiono come utenti legittimi.
Nelle acquisizioni di account, i cybercriminali può possono avvalersi di attacchi più sofisticati su più livelli, dove fingono tra l’altro di essere una persona o di un'azienda. Ad esempio, il Voice phishing, o "Vishing", inganna le vittime utilizzando persone reali che noleggiano un sistema vocale per creare call center dal quale telefonare alla vittima fingendosi rappresentanti legittimi di un'azienda.
Che cos'è il ransomware e che relazione ha con il phishing?
Il phishing è il meccanismo di distribuzione del ransomware più diffuso. Il ransomware sta al ladro come il phishing sta all'auto che lo porta a casa tua. Il ransomware è un malware che crittografa i dati o blocca i sistemi per tenerli in ostaggio finché la vittima non paga un riscatto per recuperarli.
La mia organizzazione è a rischio di attacchi di phishing?
Chiunque abbia dipendenti e utenti finali è a rischio. Per questo il phishing è diventato un problema critico per il management aziendale. Se da un lato una solida igiene di cybersecurity con strumenti di sicurezza adeguati può contribuire al contrasto del phishing e alla riduzione significativa dei rischi, dall'altro esiste sempre la possibilità che un attacco di phishing abbia successo.
Come posso impedire ai dipendenti di fare clic sui link dannosi?
Innanzitutto, sappi che il 30% delle e-mail di phishing inviate dai cybercriminali viene aperto dai destinatari. Nella lotta contro il phishing, sono gli utenti l'anello più debole. A un utente finale bastano in media 16 minuti per fare clic su un'e-mail di phishing. Investire nella formazione anti-phishing è uno dei modi migliori per evitare che i dipendenti caschino nel tranello. Con una formazione continua, gli utenti finali possono riconoscere le e-mail di phishing.
Accrescere la consapevolezza degli utenti finali sull’importanza della sicurezza anche tramite la formazione con attacchi di phishing simulati consente di renderli partecipi in prima persona su questo fronte. Con il programma giusto, bastano quattro sessioni di formazione con phishing simulato per ridurre del 31% la possibilità dei dipendenti di caderne vittima. Tre sono fasi fondamentali per una simulazione di phishing efficace:
1. Prova: Invio agli utenti di e-mail di phishing simulate basate su attacchi realmente esistenti.
2. Formazione: Addestramento degli utenti in base a come hanno reagito alla simulazione, per verificare che la prossima volta siano in grado di riconoscere un caso reale.
3. Misura: Tracciamento dei progressi e dei miglioramenti ripetendo le prime due fasi in combinazione con altri corsi di formazione guidata, in base alle necessità.
Come può Managed Detection and Response (MDR) contribuire all’identificazione e al blocco degli attacchi di phishing?
Con il continuo aumento degli attacchi di phishing e la loro evoluzione in termini di complessità, molte sono le organizzazioni che si sono rese conto di come combattere questa minaccia da sole non sia più possibile. Il volume di attacchi che richiedono una reazione immediata è ben superiore a quanto possa essere gestito internamente da un'organizzazione. Costi e risorse per la creazione del proprio team di prevenzione del phishing, per la formazione con phishing simulato e per l’identificazione e risposta senza soluzioni di continuità sono semplicemente troppo elevate.
Ecco perché MDR è l'approccio più efficace per identificare e bloccare gli attacchi di phishing con rapidità ed efficacia, 24 ore su 24. Questo è possibile grazie alla protezione gestita degli endpoint, alla sicurezza per le e-mail aziendali e alla formazione continua con phishing simulato. Collaborare con un provider esterno di servizi di sicurezza gestiti significa poter contare su un team di esperti professionisti della sicurezza e su un Security Operations Center di prim'ordine per proteggere la tua organizzazione dal phishing.
MDR è cybersecurity-as-a-service. I migliori provider di servizi MDR offrono:
- Un Security Operations Center (SOC) dedicato e di primissima categoria
- Managed Detection and Response 24/7
- Threat Hunting guidato dai nostri esperti
- Servizi di Incident Response a 360 gradi
Contatta Sophos oggi stesso per ulteriori informazioni su come MDR possa aiutarti a rafforzare le difese della tua organizzazione contro gli attacchi di phishing.
Argomento di sicurezza correlato: Cos'è lo spearphishing?
