TRUFFE ONLINE

Spear phishing: cos’è, come funziona l’attacco e come difendersi

Negli anni si è passati da un phishing generalista a uno cucito su misura della vittima, il cosiddetto spear phishing che è diventato una minaccia sempre più subdola da cui è difficile proteggersi efficacemente. Analizziamone le caratteristiche per mitigarne i rischi

06 Dic 2021
M
Andrea Filippo Marini

Chief Business Officer di Ermes - Intelligent Web Protection

Il phishing è una delle minacce più attuali e temute assieme al ransomware e, come evidenziato anche dall’ultimo report “Cyber security threat trends” di Cisco Umbrella, è responsabile del 90% dei data breach, con tanto di specifica che non si tratta di un errore di digitazione. Il phishing negli ultimi anni si è rapidamente evoluto nello spear phishing, cioè mirato sulla vittima, e la pandemia ne ha ulteriormente accelerato la pericolosità: per questo è una minaccia sempre più subdola da cui è più difficile proteggersi efficacemente.

Evoluzione del phishing: lo spear phishing

Si è quindi passati da un phishing generalista, che ha nel suo cavallo di battaglia la fantomatica email del presidente del Burundi, ad un phishing cucito su misura della vittima.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Negli anni, infatti, il tasso di successo del phishing generalista è progressivamente diminuito, ma al contempo l’evoluzione delle tecnologie ha permesso ai cyber criminali un facile accesso ad una serie di dati importante, utili per costruire informazioni accurate da utilizzare per costruire un attacco di misura di sicuro successo, cosa prima molto complessa ed onerosa.

Il social engineering è il metodo con cui gli attaccanti reperiscono le informazioni per sferrare gli attacchi mirati e si è evoluto di pari passo alla tecnologia: da uno studio fisico della persona ad uno studio digitale tramite social media per arrivare alla perfetta profilazione dell’utente; questa permette di ridurre sensibilmente sia il tempo impiegato per reperire le informazioni che il relativo costo.

D’altronde, è oramai famosa la frase “quando qualcosa è gratuito, il prodotto sei tu”: questo è il principio su cui si basa il revenue model di Internet, ovvero pensiamo di accedere ai contenuti gratuitamente ma in realtà paghiamo con i nostri dati, merce preziosa che ha un valore ben più elevato dei contenuti che riceviamo.

La tematica dei servizi di tracciamento è estremamente attuale e molto spesso viene vista solo come un problema di privacy, ma in realtà è una falla di sicurezza.

Come gli attaccanti “sfruttano” il marketing

Ma come si può facilmente accedere a queste informazioni? Semplicemente sfruttando il lavoro degli altri.

Il marketing è diventato sempre più pervasivo e il valore dei dati sta crescendo esponenzialmente: Facebook nel 2013 otteneva 19 dollari l’anno per utente americano in vendite pubblicitarie, nel 2020 ben 164 dollari.

Per questo i servizi globali di profilazione (web tracker e session replay script) sono svariate decine di migliaia e, quotidianamente, ne nascono di nuovi. Gli attaccanti lo sanno bene, tant’è che ogni due anni il 29,6% di questi servizi subisce un data breach secondo una ricerca del Ponemon Institute.

I servizi di tracciamento raccolgono una enorme mole di dati che, presi singolarmente, non hanno alcuna rilevanza, ma combinati correttamente forniscono informazioni molto precise creando una perfetta identità digitale.

Tutti quanti siamo più o meno consci dei dati raccolti sui nostri interessi (pagine visitate, cronologia di navigazione, frequenza ed orari di visita, lingua utilizzata), ma spesso si sottovaluta l’enorme mole di dati “accessori” raccolti come carica della batteria, geolocalizzazione, Internet Service Provider, Timezone, Browser utilizzato con relativa versione installata.

Come preparare un attacco di spear phishing di successo

L’identità digitale sarà così sfruttata dall’attaccante per avere dettagli precisi:

  • chi attaccare, ovvero su quali interessi far leva:
  1. ricerche effettuate;
  2. pagine visitate con relativa frequenza;
  3. lingua utilizzata;
  4. ISP utilizzato;
  5. servizi utilizzati per ragioni personali;
  6. servizi utilizzati per uso professionale;
  7. profilo e ruolo lavorativo;

  • come attaccare, ovvero quali vulnerabilità andare a sfruttare:
  1. IP privati esposti, che danno all’esterno una mappa dell’azienda e possono essere sfruttati per architettare eventuali movimenti laterali una volta che il primo attacco è atterrato a destinazione;
  2. sistemi operativi;
  3. browser utilizzati e relative versioni, che danno visibilità su quelle che sono le vulnerabilità da sfruttare come ad esempio un dispositivo con Windows 7, che non è più supportato e non riceve più fix di sicurezza od una versione di Chrome non aggiornata;
  • quando attaccare, ovvero qual è il momento più propizio per mettere a terra l’attacco:
  1. incrociando dati come carica della batteria, geolocalizzazione e timezone è possibile risalire alle abitudini degli utenti. Questo perché solitamente la batteria è in fase di scarica quando una persona è in viaggio, mentre è in carica o al 100% quando una persona è a casa o a lavoro; seguendo una persona per più tempo, si riesce a capire quali siano le sedi di casa e di lavoro, e, incrociando questo dato con l’IP pubblico e l’ISP esposto, si riesce a capire quando solitamente una persona utilizza il PC di lavoro da casa senza entrare in VPN, quindi senza passare dal muro di protezione aziendale.

Il fenomeno è altamente pervasivo: dai dati aggregati di Ermes Research Lab emerge che la maggioranza dei siti contatta svariate decine di servizi di tracciamento, con picchi di oltre 300 richieste per sito ed oltre il 90% degli utenti di un’azienda viene costantemente profilato.

Esempio di attacco di spear phishing “natalizio”

Pensiamo ad un genitore che ha avuto una giornata impegnativa ed ha appena messo a nanna i bambini, trovando così finalmente l’unico momento in cui può cercare i regali che i suoi figli hanno inserito nella letterina a Babbo Natale.

Avendo un PC a uso promiscuo lo apre per informarsi su Internet su prezzi e caratteristiche dei regali, soffermandosi in particolare su alcuni titoli di libri ed una particolare macchina radiocomandata.

Se non tutti, molti di noi immaginano che durante la ricerca questi interessi vengano esposti ai servizi di tracciamento, ma pochi sanno o collegano che le informazioni raccolte non sono solo gli interessi commerciali, ma anche informazioni relative al software installato (come, ad esempio, Windows 7 con Chrome non aggiornato) e alle abitudini (come, ad esempio, venerdì sera come momento in cui solitamente l’utente utilizza il PC di lavoro da casa senza entrare in VPN).

Entrando in possesso di queste informazioni, quindi, un cybercriminale potrebbe decidere di attaccare lo sventurato genitore il venerdì sera, ad esempio utilizzando il meccanismo delle micro-aste online per far comparire su una pagina legittima un banner con una falsa offerta relativa ai libri per bambini cercati.

Cliccando sull’offerta si aprirà una pagina che, sfruttando le vulnerabilità del browser non aggiornato, potrà uscire dalla sandbox ed installare un ransomware sul sistema operativo: questa tipologia di attacco si chiama malvertising ed è il secondo veicolo di diffusione di ransomware.

Oppure potrebbe arrivare un’e-mail da un falso Amazon che, facendo leva sul senso di urgenza, chiederà all’utente di ordinare la macchina radiocomandata prima che scadano le scorte: ci saranno alte probabilità che il genitore abbocchi e clicchi così il famigerato link, che lo farà atterrare su una falsa pagina di Amazon, portando quest’ultimo a cedere inconsapevolmente informazioni sensibili come password e numero di carta di credito.

Da recenti studi, inoltre, emerge come oltre due utenti su tre utilizzino il medesimo pattern per tutte le password: nella maggioranza dei casi, quindi, cedendo ad entità malevole credenziali di servizi consumer si compromettono anche le credenziali professionali.

Rendersi trasparenti e invisibili ai servizi di tracciamento

L’unica maniera per mitigare i rischi e la crescita dello spear phishing è quello di rendere l’utente trasparente a questi servizi durante la navigazione, evitando l’effetto Pollicino, ovvero che lasci briciole sul suo percorso durante la navigazione.

Il totale anonimato passa dalla protezione dell’utente durante la navigazione, sia da PC che da dispositivi mobili, mediante soluzioni in grado di analizzare i comportamenti delle singole connessioni, sia via browser che via app, per evitare che dal dispositivo fuoriesca qualsiasi informazione verso servizi web esterni all’azienda, se non solo quelle che l’azienda decide di far fuoriuscire: ad esempio, solo le richieste di connessione verso le CDN (Content Delivery Network), bloccando invece tutte quelle rivolte a servizi terzi di tracciamento.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr