Ogni data breach di alto profilo che viene rilevato negli ultimi tempi – e ahimè non sono pochi – viene invariabilmente corredato da report o segnalazioni che ci dicono che all’origine del cyber incident, nella maggior parte dei casi, ci sia stato un attacco di phishing o una delle sue tante varianti.
Fatto confermato anche nel Verizion Data Breach Report 2020, che addita questa tecnica come il principale colpevole nella maggior parte degli incidenti rilevati. Per contestualizzare quanto ormai sia dilagante il fenomeno, l’anno scorso negli Stati Uniti più di due aziende su tre aveva ammesso di aver subito un attacco di phishing andato a “buon” fine.
Questo la dice lunga sia della sofisticazione che hanno raggiunto gli aggressori sia della necessità di una formazione altrettanto sofisticata in materia di cyber security per tutti i dipendenti.
A questo va ovviamente aggiunto il fatto che non tutti gli attacchi di phishing funzionano allo stesso modo, rendendo più difficile il compito di innalzare il livello di awareness nei confronti di queste minacce.
Ma quali sono le varianti più diffuse?
Indice degli argomenti
Il phishing e le sue varianti: lo spam generico
La forma più comune di phishing è quella generica, di tipo mass-mailed e spesso supportato da botnet, in cui qualcuno invia un’e-mail fingendo di essere qualcun altro e cerca di ingannare il destinatario intimandolo di compiere una specifica azione (di solito indirizzando la vittima a un sito web malevolo o scaricando malware).
Gli attacchi si basano spesso sullo spoofing delle e-mail, in cui l’intestazione dell’e-mail viene falsificata per far apparire il messaggio come se fosse stato inviato da un mittente affidabile.
Nella maggior parte dei casi gli attacchi di phishing di questo genere hanno l’aspetto di un’e-mail di notifica di consegna da parte di un corriere, di un messaggio di avvertimento di PayPal sulla scadenza delle password o di un’e-mail di Office 365.
Ma non tutti gli attacchi sono così generici.
Lo spear phishing
Gli attacchi di phishing prendono questo nome (non è infatti casuale l’assonanza con fishing – pescare) dall’idea che i truffatori stiano pescando vittime casuali usando come esca le e-mail fraudolente.
Gli attacchi di spear phishing (pesca con il fucile subacqueo) estendono l’analogia di pesca, poiché gli aggressori prendono di mira in modo specifico le vittime e le organizzazioni di alto valore.
Invece di cercare di ottenere le credenziali bancarie di 1.000 vittime casuali, per esempio, l’aggressore potrebbe trovare più redditizio prendere di mira una manciata di aziende.
Gli attacchi di spear phishing sono estremamente efficaci perché gli aggressori passano molto tempo a creare informazioni specifiche per il destinatario, come ad esempio il riferimento a una conferenza a cui la vittima ha appena partecipato o l’invio di un allegato malevolo in cui il nome del file fa riferimento a un argomento a cui il destinatario è interessato.
Il phishing e le sue varianti: il whaling
Un attacco di phishing che ha come bersaglio specifico i dirigenti di un’impresa si chiama whaling (caccia alle balene), poiché la vittima è considerata di alto valore e le informazioni rubate avranno un valore maggiore di quello che può offrire un dipendente regolare.
Le credenziali di un amministratore delegato apriranno più porte di quelle di un dipendente entry-level.
Questa variante di phishing richiede anche ulteriori ricerche, perché l’aggressore deve sapere con chi comunica la vittima designata e il tipo di discussioni che ha in corso (clienti importanti, processi e via dicendo).
Gli aggressori di solito iniziano con il social engineering per raccogliere informazioni sulla vittima e sull’azienda prima di creare il messaggio di phishing che verrà utilizzato nell’attacco di whaling.
La tecnica Business email compromise (BEC)
In questo caso, i criminali prendono di mira gli individui chiave nelle aree di amministrazione e contabilità delle aziende attraverso gli attacchi di business email compromise (BEC).
Impersonando CFO e CEO, questi criminali tentano di ingannare le vittime per indurle ad avviare trasferimenti di denaro su conti non autorizzati.
In genere, gli aggressori compromettono l’account di posta elettronica di un dirigente senior o di un CFO sfruttando un’infezione malware esistente o tramite un attacco di spear phishing. Fatto questo, l’aggressore si nasconde e monitora l’attività e-mail del dirigente per un periodo di tempo prolungato al fine di conoscere i processi e le procedure interne dell’azienda.
L’attacco vero e proprio assume la forma di una falsa e-mail che sembra provenire dall’account del dirigente compromesso e che viene inviata a qualcuno che è un destinatario abituale.
L’e-mail sembra essere importante e urgente e richiede che il destinatario invii un bonifico su un conto bancario esterno o sconosciuto.
Naturalmente questo finisce direttamente sul conto bancario dell’aggressore.
Il clone phishing
Il clone phishing richiede che l’aggressore crei una replica quasi identica di un messaggio legittimo per indurre la vittima a credere che sia reale.
L’e-mail viene inviata da un indirizzo che assomiglia al mittente legittimo e il corpo del messaggio è identico a quello di un messaggio precedente.
L’unica differenza è che l’allegato o il link del messaggio è stato scambiato con uno malevolo. Per rendere efficace questa tecnica, l’aggressore userà frasi del tipo “devo inviare nuovamente l’originale o una versione aggiornata” per spiegare perché la vittima stia ricevendo di nuovo lo “stesso” messaggio.
Questo attacco si basa su un messaggio legittimo già visto in precedenza, rendendo più probabile che gli utenti non sospettino di un attacco.
Il vishing: vecchia tecnica, nuova minaccia
Vishing sta per “voice phishing” e comporta l’uso del telefono. In genere, la vittima riceve una chiamata con un messaggio vocale camuffato da una comunicazione di un istituto finanziario.
Ad esempio, il messaggio può chiedere al destinatario di chiamare un numero e di inserire i dati del proprio conto o il PIN per motivi di sicurezza o per altri scopi ufficiali. Tuttavia, il numero di telefono che squilla è quello dell’aggressore che si avvale di un servizio di voice-over-IP.
Smishing: il phishing via SMS
La parola smishing nasce dall’unione di phishing e SMS. Si tratta semplicemente del classico vettore di Cyber Attack on-line traslato su piattaforma mobile, come suggerisce il nome.
Se nel caso del tradizionale phishing i criminal hacker utilizzano mail fraudolente – affidandosi ad una serie di trucchi del mestiere per ingannare le vittime – per convincere le proprie vittime a compiere azioni come cliccare su link malevoli o aprire allegati contenenti malware, nel caso dello smishing questa attività viene replicata in tutto e per tutto, ma avviene tramite SMS.
Questo mezzo può risultare, se è possibile, ancora più pericoloso, in quanto generalmente l’attenzione che l’utente medio pone a quanto riceve sul proprio device è ancora minore.
Basti pensare che un utente medio riceve e invia oltre 70 messaggi al giorno. A questo dobbiamo aggiungere il fatto che culturalmente la minaccia cyber mobile è decisamente sottovalutata.
Si tratta di un fatto ben presente ai criminal hacker, che utilizzano lo smishing per ottenere i dati personali delle vittime per poterli usare per rubare denaro, ma anche per ottenere il primo punto di accesso per attacchi successivi verso un’organizzazione.
Il phishing e tutte le sue varianti: come affrontare la minaccia
Di fronte a una vera e propria epidemia di phishing e delle sue numerose varianti che stiamo osservando nelle ultime settimane (colpa anche dell’attività frenetica generata da eventi come il Black Friday), l’importanza di affrontare il problema all’origine non è mai stata più alta.
La soluzione è semplicemente quella di intervenire sullo human factor del cyber risk, tramite formazione e corsi di awareness.
Le organizzazioni devono considerare di adottare regolari campagne di sensibilizzazione interne e assicurarsi che i dipendenti abbiano gli strumenti per riconoscere i diversi tipi di attacchi.
Servizi come il Phishing Attack Simulation e lo Smishing Attack Simulation, nascono proprio per questo motivo: per offrire, tramite simulazioni di attacco taylorizzate, i necessari fondamenti formativi per evitare che i dipendenti cadano nelle trappole dei criminal hacker.
Non abbassiamo la guardia.
