In Italia è allarme cybersecurity: si registra un’impennata del 40% degli incidenti, in controtendenza con l’andamento a livello globale degli ultimi cinque anni. E il phishing continua ad essere una delle minacce che preoccupano di più.
Se si considera il periodo dal 2018 al primo semestre del 2023, gli attacchi informatici sono aumentati del 61,5% a livello globale, mentre nel nostro Paese la crescita totale è addirittura del 300%. Sono questi i dati evidenziati dal Clusit che ha rilevato 1.382 incidenti gravi nel solo primo semestre del 2023, segnando un incremento dell’11% rispetto allo stesso periodo del 2022.
Cosa si intende per phishing
Il phishing, letteralmente “pesca a strascico”, è una frode informatica (scam, in inglese) ideata con il preciso obiettivo di rubare informazioni rilevanti come le credenziali di accesso a conti correnti bancari oppure dati sensibili relativi a brevetti e proprietà intellettuali protette. Si tratta di un attacco che rientra nell’ambito del cosiddetto Social Engineering: attività perpetrate da criminali che, attraverso raggiri psicologici, riescono a far compiere alla vittima una determinata azione come condividere informazioni sensibili.
Differenza tra spearing phishing e spray phishing
Quando questo attacco è mirato e ha come bersaglio uno specifico individuo si parla di spear phishing, mentre nel caso in cui cerca di coinvolgere il maggior numero possibile di vittime si parla di spray phishing. In pratica, il malintenzionato utilizza un messaggio e-mail, un SMS o un banner pubblicitario che compare all’interno di un’applicazione in uso all’utente-target per inviare link a siti web fasulli, ma dall’aspetto molto simile a quello di pagine web ufficiali e sicure. Le strategie sono le più diverse: dalle finte e-mail che annunciano il licenziamento del destinatario del messaggio alle finte notifiche di consegna di un corriere.
Il messaggio è all’apparenza vero, perché proveniente da una fonte considerata attendibile come un amico (di cui il criminale ha rubato l’identità) oppure una banca. Solitamente, il mittente si assicura l’attenzione del malcapitato inserendo un appello urgente a cambiare o aggiornare le credenziali d’accesso a un servizio online, pena l’esclusione dal servizio stesso.
Lo scopo è, ovviamente, quello di sollecitare l’utente a compiere in fretta e furia l’azione che innesca l’attacco cyber, senza riflettere e soprattutto senza verificare in modo attento la provenienza e la veridicità del messaggio. Il link punta a un sito web fasullo con una grafica molto simile a quella di una pagina ufficiale e solitamente contiene un form da compilare inserendo informazioni personali come username e password di accesso a un conto corrente oppure codici di sicurezza (CVV) della carta di credito. Una volta acquisite, queste informazioni possono essere utilizzate per eseguire diverse attività illecite come l’esfiltrazione e la compromissione di reti aziendali oppure la sottrazione di denaro.
Spesso, infatti, il phishing rappresenta il primo passo per avviare un’attività criminale più complessa, come veicolare un programma (dropper) che instilla malware nei sistemi informativi dell’utente e in quelli dell’organizzazione di cui fa parte. Il passo successivo è l’esfiltrazione di dati o la compromissione dell’operatività di server ed endpoint aziendali attuata, per esempio, tramite ransomware, malware da riscatto che criptano i dati rendendone impossibile la consultazione.
Il phishing in numeri
Un recente studio condotto da NordVPN ha gettato luce sulla preoccupante situazione del phishing in Italia, rivelando che circa 7 milioni di italiani, ossia il 14% della popolazione, sono stati vittime di attacchi di questo tipo, con un allarmante 7% che riceve messaggi di phishing quotidianamente. L’analisi demografica delle vittime mostra che, nonostante gli uomini siano leggermente più informati sul phishing rispetto alle donne (77% contro 63%), entrambi i sessi risultano comunque vulnerabili.
La fascia di età più colpita è quella tra i 25 e i 34 anni, con il 74% che dichiara di aver ricevuto messaggi di phishing, mentre sorprendentemente anche gli over 65 non sono esenti, con un tasso di rischio del 70%. Inoltre, è emerso che le persone con redditi più elevati sono generalmente più consapevoli dei rischi di phishing (79%) rispetto a coloro che hanno redditi più bassi (58%), evidenziando così come il livello di informazione sulle minacce informatiche possa variare significativamente in base a vari fattori demografici.
Il report IBM X-Force Cloud Threat Landscape Report 2024 lancia l’allarme sul furto di credenziali del Cloud da parte criminali informatici, molto ricercate nel dark web. Tra le tecniche più utilizzate c’è il phishing, che negli ultimi due anni, ha rappresentato il 33% degli incidenti legati alla nuvola.
Tipologie di phishing
Quando si pensa al phishing l’immagine che viene in mente è quella della classica e-mail fasulla proveniente da un fornitore di servizi molto conosciuto o da un grande gruppo bancario. Tuttavia, non esiste solo la posta elettronica come vettore d’attacco.
Mobile phishing ovvero smishing (SMS phishing) e app phishing
Oltre che nella tradizionale variante dell’e-mail fraudolenta, gli attacker colpiscono anche attraverso SMS fasulli, che simulano comunicazioni inviate da service provider, gestori di circuiti di pagamento e banche. In questo caso, si parla di smishing (SMS+phishing). Lo scopo è sempre e comunque acquisire informazioni personali e finanziarie. Il messaggio generalmente chiede al malcapitato di cliccare un link e accedere a una pagina web digitando PIN, username e password, oppure fare una telefonata per verificare, aggiornare o riattivare un account, di fatto fornendo informazioni confidenziali ai malintenzionati, che potranno usarle per esfiltrare dati aziendali sensibili o svuotare conti correnti. Negli smartphone, poi, sono in aumento le finestre di phishing che si sovrappongono all’interfaccia legittima di un’App mobile di gestione delle password per carpire chiavi d’accesso a diversi servizi online.
Vishing (voice phishing)
Il vishing, ovvero il voice phishing, è una tecnica che consiste nell’utilizzare le chiamate telefoniche per attuare truffe informatiche. Attraverso tecniche di ingegneria sociale, l’attacker induce le vittime a condividere informazioni finanziarie o personali oppure a compiere un’azione specifica come, per esempio, cercare di accedere al proprio conto corrente online. Solitamente nel vishing l’attaccante impersona un funzionario della banca o della società che gestisce i circuiti della carta di credito, che gli segnala la compromissione del conto corrente oppure addebiti fraudolenti sollecitando una risposta immediata dell’interlocutore.
Whaling (caccia alla balena)
Nel caso in cui la vittima designata sia un top manager aziendale, un C-level per esempio, il phishing si trasforma in una vera e propria “caccia alla balena” (whaling). L’obiettivo dei cyber criminali in questo caso è manipolare e ingannare il CxO per convincerlo a condividere informazioni aziendali sensibili in suo possesso, per esempio quelle relative a un brevetto, oppure indurlo a compiere azioni dannose come autorizzare bonifici e giroconti.
Zombie phishing
Una variante molto diffusa della “pesca a strascico” è lo zombie phishing in cui i criminali subentrano in un account ufficiale (tipicamente un indirizzo di posta elettronica aziendale) e rispondono a una vecchia e-mail con un link malevolo. Siccome l’oggetto della mail e il mittente sono noti al destinatario, risulta ancora più difficile non cadere in trappola.
Phishing Adversary-in-the-middle (AITM)
Il phishing AITM è una forma sofisticata e particolarmente pericolosa di attacco di phishing in cui i cybercriminali si pongono nel mezzo tra la vittima e un’entità legittima allo scopo di intercettare o manipolare le comunicazioni. Può dunque portare alla compromissione della posta elettronica aziendale e all’acquisizione delle credenziali.
Una volta entrati nell’account della vittima, i criminali cercano di portare a termine i loro obiettivi con attacchi BEC (Business Email Compromise) nel 39% dei casi: falsificano gli account di posta elettronica spacciandosi per qualcuno dell’organizzazione vittima o di un’altra organizzazione fidata. Dopo aver compromesso la piattaforma di posta elettronica in cloud, gli attaccanti possono eseguire diverse operazioni, come impossessarsi di comunicazioni sensibili, manipolare transazioni finanziarie o utilizzare gli account di posta elettronica compromessi per condurre ulteriori attacchi.
Per prevenire questo rischio, sono fondamentali i programmi di formazione per tutti i dipendenti, che devono essere preparati a riconoscere e a segnalare alla persona preposta alla sicurezza le tecniche di phishing, le e-mail spoofed e i link sospetti.
La tecnologia può aiutare: oggi sono disponibili strumenti avanzati di filtraggio e protezione delle e-mail che utilizzano l’intelligenza artificiale per rilevare e bloccare i tentativi di phishing, i link e gli allegati dannosi prima che possano raggiungere le caselle degli utenti. Infine, possono contribuire a proteggere dagli attacchi di phishing AITM le opzioni di autenticazione senza password, come il codice QR o l’autenticazione FIDO2.
Phishing sui Social Media
Sfruttando la vasta base di utenti e la fiducia riposta nelle piattaforme social per perpetrare attacchi mirati e diffusi, questa forma di phishing si avvale delle caratteristiche intrinseche dei social media: interazione rapida, ampie reti di contatti e un elevato volume di scambi di informazioni, per ingannare gli utenti e indurli a rivelare dati sensibili o ad accedere a link dannosi.
Caratteristiche del phishing sui Social Media
- Profili falsi e impersonificazione: Gli aggressori creano account che imitano quelli di persone reali, aziende note o persino entità governative. Utilizzando questi profili, possono guadagnare la fiducia delle vittime, rendendole più inclini a condividere informazioni personali o ad accedere a link che portano a pagine di phishing.
- Messaggi diretti (DM) fraudolenti: Tramite messaggistica diretta, gli utenti ricevono comunicazioni che sembrano provenire da amici o marchi affidabili, contenenti spesso link che conducono a siti di phishing progettati per rubare credenziali di accesso o dati finanziari.
- Post e annunci ingannevoli: Gli attaccanti spesso pubblicano post o creano annunci pubblicitari che promuovono offerte irresistibili, concorsi o regali. Questi post sono progettati per attirare clic verso siti esterni fraudolenti.
- Hashtag e trending topics: Utilizzando hashtag popolari o inserendosi in discussioni di tendenza, i cybercriminali diffondono link malevoli o richieste di informazioni, mascherati da contributi legittimi alla conversazione.
Proteggere i remote worker (e non solo): una strategia anti-phishing in 7 mosse
Solitamente, nel caso di attacchi perpetrati ai danni di utenti aziendali, il tentativo di carpire informazioni personali e sensibili rappresenta solo il viatico per guadagnarsi l’accesso alla rete aziendale, che rappresenta il vero obiettivo dei cyber criminali. Una e-mail malevola o un SMS ben scritti, combinati con una scaltra attività di ingegneria sociale, per esempio un oggetto molto accattivante, nella maggior parte dei casi riescono a centrare l’obiettivo di persuadere almeno uno dei malcapitati destinatari a leggere, cliccare, inserire informazioni sensibili. E a quel punto il dado è tratto.
Ecco, dunque, quali sono i suggerimenti degli esperti per proteggere in modo efficace gli utenti dai pericoli del phishing.
- Assicurarsi che i dipendenti si sottopongano a una o più sessioni di formazione sui principali pericoli: Obiettivo di questa attività dovrà essere insegnare a riconoscere e smascherare i tentativi di phishing, reagire prontamente a un eventuale incidente, fornire indicazioni chiare sui referenti aziendali cui segnalare il sospetto di una minaccia cyber o di un’attività fraudolenta.
- Sottoscrivere un servizio di assessment, awareness e anti-phishing per comprendere il grado di preparazione dei dipendenti e la tenuta dei sistemi IT rispetto all’avanzata delle nuove minacce. La sensibilizzazione sui pericoli di questi attacchi permette in molti casi di stroncare i tentativi di phishing sul nascere. Se possibile, completare la formazione con esercitazioni in cui i dipendenti ricevono false e-mail di phishing, per testare la loro consapevolezza e la loro preparazione in merito a questa minaccia. In molti casi, la reazione dei dipendenti a una campagna di phishing è ciò che fa la differenza tra un tentativo fallito di penetrare la rete aziendale e una catastrofe.
- Adottare l’autenticazione a più fattori per proteggere al massimo i dati più sensibili relativi, per esempio, a transazioni finanziarie o accessi ai conti correnti bancari. Questo può essere fatto con un sistema di identificazione biometrica o una One-Time-Password (OTP) inviata al telefono del dipendente.
- Aggiornare regolarmente i software: Le vulnerabilità delle applicazioni possono rendere molto più facile per l’attaccante infiltrarsi nel network attraverso un tentativo di phishing.
- Abbonarsi a un servizio di intelligence sulle minacce informatiche: Questi servizi permettono al team del CISO di essere sempre informato sulle minacce emergenti nel settore e nella regione di riferimento. L’azienda sarà in grado di analizzare la propria posizione di difesa e valutare la capacità di risposta alle minacce avanzate sulla base di dati reali, piuttosto che su semplici supposizioni.
- Creare un team di risposta agli incidenti (incident response team): Questi esperti possono aiutare l’organizzazione a riprendere più velocemente l’operatività quotidiana in caso di incidente, riducendo l’impatto sulla reputazione dei marchi dell’azienda e contenendo le spese relative.
- Stipulare un’assicurazione contro i rischi cyber: Si tratta di una buona prassi per cautelarsi contro il pericolo di enormi perdite finanziarie in caso di attacco informatico.
Il vero investimento in cybersecurity parte dalla formazione
L’importanza della formazione e della sensibilizzazione dei dipendenti nell’ambito della cybersecurity emerge chiaramente come una delle principali priorità per il 71% delle grandi aziende, stando ai risultati della ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano.
La promozione di una cultura cyber è identificata come l’aspetto che necessita maggiormente di attenzione, evidenziando l’impegno quasi unanime delle grandi organizzazioni nel predisporre iniziative volte a incrementare la consapevolezza sui rischi cyber, con il 77% che attua piani di formazione destinati a una vasta gamma di dipendenti. Nel contempo, si assiste a un rafforzamento dei team dedicati alla cybersecurity, sia attraverso l’incremento degli specialisti interni, riscontrato nel 51% delle aziende, sia mediante il ricorso a consulenti esterni, presente nel 45% dei casi.
«Il continuo aumento degli attacchi informatici e l’evoluzione del contesto hanno generato una progressiva presa di coscienza sulla necessità di investire in sicurezza informatica da parte delle organizzazioni, specialmente quelle più strutturate – spiega Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Cybersecurity & Data Protection -. Per ridurre il divario ancora presente tra l’Italia e gli altri Paesi, però, è necessario un corretto bilanciamento tra investimenti tecnologici e capitale umano. Da un lato, è essenziale cogliere il potenziale delle tecnologie, in primis quelle più innovative come l’Intelligenza Artificiale. Dall’altro, non va sottovalutata la componente umana, insistendo sulla formazione e sensibilizzazione dei lavoratori, con l’obiettivo di creare una mentalità security first che rappresenti la prima forma di difesa anziché l’elemento più debole della catena».