Che cos'è il phishing?

Il phishing è l'atto con il quale si tenta di ingannare il destinatario di un messaggio e-mail dannoso, facendo sì che lo apra e ne esegua le istruzioni. Il "mittente" del messaggio inganna la vittima facendole credere che l'e-mail sia stata inviata da una fonte affidabile, come un ufficio governativo, un fornitore o un cliente dell'azienda.

L'e-mail di phishing può includere un allegato dannoso, come un documento PDF o Word, che, una volta aperto, danneggerà il computer dell'utente mediante l'installazione di malware. Oppure l'e-mail phishing può contenere nel testo un link a un URL dannoso. Quando l'utente fa clic su questo link, potrebbe essere indirizzato a un sito apparentemente legittimo, ma che in realtà è utilizzato per raccogliere informazioni riservate quali nomi utente e password o per installare malware sul dispositivo.

Com'è possibile?

Per raggiungere questo obiettivo, i criminali informatici utilizzano semplicemente account e-mail compromessi o eseguono lo spoofing dell'indirizzo e-mail del destinatario, offuscando il mittente malintenzionato reale. Questa è un'attività relativamente semplice, che implica poco più di un'alterazione dell'intestazione di un messaggio, in modo tale che quando arriva nella cartella della posta in arrivo di un utente sembra che sia stato inviato da info@bancaqualsiasi.it piuttosto che da mariorossi@esempio.it.

I criminali informatici utilizzano semplicemente account e-mail compromessi o eseguono lo spoofing dell'indirizzo e-mail del destinatario.

Purtroppo, per impostazione predefinita il server di posta elettronica responsabile della ricezione dell'e-mail non esegue alcuna verifica per confermare che esempio.it sia autorizzato a inviare messaggi e-mail a nome di bancaqualsiasi.it. Ci sono state numerose soluzioni tecniche proposte e implementate per eliminare questa debolezza nell'autenticazione di un messaggio e-mail, ma la loro applicazione è stata lenta.1 Parte della sfida è che sia i server di invio sia quelli di ricezione di messaggi e-mail devono essere configurati correttamente affinché l'autenticazione funzioni correttamente.

Gli attacchi di e-mail di phishing di norma rientrano nei messaggi spam più ampi e vengono solitamente distribuiti in grandi volumi da botnet di computer compromessi. Nel 2016, il volume dello spam nella posta elettronica è aumentato del 400%, con quasi la metà di tutti i messaggi e-mail inviati a livello mondiale considerati spam.2 Tuttavia, con la rimozione del botnet Necurs, i volumi di spam sono diminuiti del 50% nel 2017.3 Nonostante questa traiettoria positiva, l'e-mail rimane il veicolo preferito per la distribuzione di malware.4

Tipi di phishing

Phishing ingannevole: Questo è il tipo di phishing più comune, in cui i criminali informatici fingono di essere una società o un dominio legittimo e tentano di rubare le IIP (Informazioni di Identificazione Personale) o le credenziali di accesso. Questa modalità di phishing spesso manca di personalizzazione ed è diffusa in modo aggressivo. La speranza è che se il volume di messaggi e-mail è molto elevato, questi vengano aperti da un numero sufficiente di utenti.

Tra gli esempi di questo tipo di truffa, vi sono messaggi di phishing che vengono inviati a un'audience più ampia, con la speranza che alcuni dei destinatari siano clienti di una qualsiasi banca che sia stata oggetto di spoofing. Di solito l'oggetto del messaggio e-mail è creato in modo da sembrare urgente: "Il suo conto corrente è stato compromesso. La preghiamo di aggiornare immediatamente la password" oppure "In allegato una fattura scaduta. La preghiamo di provvedere al pagamento per evitare azioni legali". Come descritto in precedenza, una volta che si fa clic sul link e vengono inviati i dati o se l'allegato viene aperto, il danno è fatto.

"Il suo conto corrrente è stato compromesso. La preghiamo di aggiornare immediatamente la password"

Spear phishing: A differenza di messaggi generici di phishing, i messaggi di spear phishing sono molto personalizzati. Mentre l'obiettivo finale è lo stesso, indurre il destinatario a fare clic su un URL o un allegato dannoso, il mittente personalizza il messaggio di attacco affinché contenga il nome, l'azienda o il titolo di destinazione o la menzione dei colleghi del destinatario o dei collegamenti aziendali. Questi dati personali rendono molto più probabile l'engagement con il contenuto dannoso. E data la proliferazione di siti di networking di lavoro e di social media, è relativamente semplice per i criminali informatici raccogliere le informazioni personali necessarie per creare un messaggio e-mail convincente.

Whale phishing/Truffa del CEO/Compromissione della corrispondenza digitale di un'azienda (BEC): Questo tipo di phishing mira al team dei responsabili di un'azienda con l'obiettivo di colpire con uno spear phishing un "pesce grosso" o un dirigente, e acquisire le sue credenziali di accesso. Una volta che questi dettagli sono stati rubati, i criminali informatici possono impersonare questo dirigente, mettendo in atto quella che è nota come "truffa del CEO", tramite compromissione della corrispondenza digitale di un'azienda (BEC), e autorizzare trasferimenti bancari o altre azioni significative. Ad esempio, possono inviare un'e-mail urgente "da" un CEO al team finanziario, autorizzando un trasferimento di fondi perché si trova in Cina per motivi di lavoro e ha urgente bisogno di pagare una fattura in sospeso a un fornitore locale. Tra il 2014 e il 2016, la truffa del CEO ha colpito 12.000 aziende ed è costata 2 miliardi di dollari.5

Tra il 2014 e il 2016, la truffa del CEO ha colpito 12.000 aziende ed è costata 2 miliardi di dollari.

Ridurre il rischio che il phishing danneggi la vostra azienda

Istruite l'anello più debole della catena. Il phishing richiede a un utente di aprire o fare clic su qualcosa di pericoloso. Pertanto, è essenziale istruire i dipendenti a riconoscere, evitare e segnalare i vari tipi di attacchi phishing. Esercitazioni in cui al personale dell'azienda vengono inviate finte e-mail di phishing sono efficaci per abituare gli utenti a distinguere le comunicazioni ufficiali dei fornitori dalle e-mail di phishing con oggetto "Urgente: fattura allegata - si prega di aprire e pagare adesso". Le aziende devono impegnarsi in un programma di formazione continua e di consapevolezza in tutta l'organizzazione.

Non dimenticate di istruire anche i business leader. I dirigenti sono fallibili quanto i loro dipendenti, ma un passo falso nell’ambito della sicurezza da parte di un business leader provoca conseguenze più gravi. Dato che il whale phishing, la truffa del CEO e la compromissione della corrispondenza digitale di un'azienda (BEC) continuano ad aumentare, così come aumenta l'abilità dei criminali informatici, è bene garantire che i business leader siano inclusi nel programma di istruzione e sensibilizzazione.

Non dimenticate di istruire anche i business leader.

Verificate i processi finanziari. Il costo operativo continua ad aumentare nel mondo iperconnesso ed esigente di oggi. Di conseguenza, è necessario trasferire in tutto il mondo frequentemente e urgentemente grandi somme di denaro, con vari gradi di rigore applicati e/o accettati. Scoprite i processi di implementazione che convalidano l'autenticità di questi trasferimenti di denaro. Nonostante a nessuno piaccia ostacolare, interrogare o disturbare un dirigente, è sicuramente meglio agire in modo cauto piuttosto che farsi rubare grandi somme di denaro dalle casse della società.

Implementate più livelli di difese di sicurezza. La migliore pratica è avere una strategia di sicurezza basata su una difesa approfondita, lavorando sul principio che i malintenzionati faranno del loro meglio per ignorare la vostra sicurezza e modificheranno continuamente le loro tattiche. Iniziate con un filtro e-mail che esegue la scansione di tutti i messaggi e-mail in arrivo all'azienda; questo bloccherà una discreta parte di tentativi di phishing. Quindi, procuratevi un prodotto antivirus endpoint che includa anche la protezione dal phishing. Infine, implementate una soluzione che guardi alle richieste web in uscita nel caso in cui un utente faccia clic su un collegamento dannoso. Questa può essere una soluzione basata su DNS o su proxy.

La migliore pratica è avere una strategia di sicurezza basata su una difesa approfondita.

Attivate l'autenticazione multi-fattore. Anche se si prendono tutte le precauzioni sopra indicate, c'è ancora una possibilità che un attacco di phishing abbia successo e che porti al furto di nome utente e password di un dipendente. Per attenuare questo rischio, implementate l'autenticazione a più fattori per garantire che, anche in caso di furto delle credenziali, i pirati informatici non siano in grado di accedere alle vostre applicazioni, servizi e dati sensibili.


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017