Aumentano in Italia i furti d’identità, che si configurano come la minaccia informatica più diffusa nel terzo trimestre del 2024. Lo rivelano i dati dell’ultimo report realizzato dall’Incident Response Team di Cisco Talos, secondo cui le identità digitali degli utenti continuano a essere nel mirino dei cybercriminali.
Cosa si intende per furto di identità
Volendone fornire una definizione, il furto di identità si riferisce all’atto illecito di acquisire e utilizzare informazioni personali di un individuo senza il suo consenso, allo scopo di commettere frodi o altre attività criminali. Queste informazioni possono includere dati sensibili come numeri di carte di credito, credenziali di accesso, numeri di previdenza sociale, indirizzi, e altre informazioni personali identificabili.
Gli hacker utilizzano varie tecniche per ottenere queste informazioni, tra cui phishing, malware e attacchi di ingegneria sociale. Una volta in possesso di queste informazioni, i truffatori possono impersonare la vittima per aprire conti bancari, effettuare acquisti o commettere altri crimini, causando danni economici e reputazionali significativi alla vittima.
Le campagne di password spray
Sono sempre più diffuse, infatti, le campagne di password spray; un tipo di attacco informatico in cui un aggressore tenta di accedere a un gran numero di account utilizzando una lista di password comuni.
A differenza dei tradizionali attacchi di forza bruta, che provano molte password diverse su un singolo account, nel password spraying l’attaccante prova poche password su molti account. Questo metodo riduce la probabilità di bloccare gli account a causa di ripetuti tentativi falliti di accesso.
L’idea alla base di questo attacco è l’evidenza del fatto che molte persone usano password semplici o comuni, come “password123” o “123456”, su diversi account. Nonostante i recenti progressi nell’adozione dell’autenticazione a più fattori (MFA) da parte delle aziende, i criminali informatici continuano a prendere di mira proprio gli account protetti da MFA per attaccare i sistemi aziendali.
L’accesso iniziale è la via più facile per commettere un furto di identità
Per il quarto trimestre consecutivo, l’accesso iniziale è stato ottenuto principalmente tramite l’utilizzo di account validi, divenuto la via più facile per i criminali informatici per insinuarsi nei sistemi aziendali, con miliardi di credenziali compromesse accessibili sul Dark Web.
Secondo l’IBM X-Force Threat Intelligence Index 2024, gli aggressori stanno investendo sempre di più in tattiche mirate a ottenere le identità degli utenti, con un aumento del 266% dei furti di dati progettati per sottrarre informazioni personali come e-mail, credenziali di Social Media e app di messaggistica, dati bancari o di portafogli di criptovalute. Queste modalità di attacco rappresentano un “ingresso facile” per gli aggressori e sono più difficili da rilevare, comportando costi elevati per le aziende.
Si tratta, comunque, di un fenomeno già in crescita da qualche anno: nel 2023, ad esempio, l’Osservatorio Cyber realizzato da CRIF segnalava che era cresciuto di oltre il 40% il numero di utenti che aveva ricevuto un avviso di attacco informatico contro i propri dati personali.
I settori più colpiti dai furti di identità
Le organizzazioni nei settori dell’istruzione, della manifattura e dei servizi finanziari sono state tra le più colpite in questo trimestre, rappresentando insieme oltre il 30% degli attacchi subiti. Un fenomeno che rispecchia le tendenze osservate nel primo trimestre del 2024 (gennaio-marzo), quando le aziende nell’ambito educativo e manifatturiero sono state quelle prese più di mira.
Come avviene il furto dell’identità
Nel corso dell’ultimo trimestre, è stato osservato un numero significativo di compromissioni informatiche, che avrebbero potuto essere evitate implementando alcune misure di sicurezza fondamentali come l’autenticazione a più fattori (MFA) e una corretta configurazione dei sistemi di rilevamento degli endpoint (EDR).
Tra gli interventi analizzati dal rapporto di Cisco Talos, quasi il 40% ha evidenziato debolezze nella sicurezza dovute a una configurazione errata della MFA, alla sua assenza o al suo aggiramento. Nel 100% degli attacchi in cui gli aggressori hanno utilizzato e-mail di phishing, la MFA è stata aggirata o non era completamente abilitata. Inoltre, oltre il 20% degli incidenti che hanno coinvolto ransomware si è verificato su reti VPN prive di MFA.
Altre debolezze di sicurezza comunemente osservate includono configurazioni improprie dei sistemi EDR o altre soluzioni di sicurezza. La mancanza di EDR su tutti i sistemi o una loro configurazione errata rappresentano quasi il 30% degli incidenti. Infine, quasi il 20% degli interventi ha evidenziato configurazioni di sicurezza di rete inadeguate o non completamente abilitate.
