Marta Bonati, Country Manager di Ebury Italia, spiega come si riconosce un attacco phishing e quali sono gli strumenti per difendersi.
Sono 2.489 gli attacchi informatici gravi registrati a livello mondiale nel 2022 (+21% rispetto al 2021), con una media di 207 attacchi mensili. In Italia, sono 188 gli attacchi andati a segno, con un +169% rispetto all’anno precedente. L’83% di questi hanno portato a conseguenze di gravità elevata o critica: questo è quanto emerge dal Rapporto Clusit 2023. Tra le tecniche di attacco utilizzate maggiormente dai cybercriminali, troviamo: malware (in Italia rappresenta il 53% degli attacchi, mentre nel resto del mondo la percentuale è molto più bassa), phishing, sfruttamento delle vulnerabilità, DDos e furto d’identità/credenziali.
In particolare, gli attacchi di phishing sono in costante aumento e il tema predominante sono le criptovalute: secondo l’analisi di Kaspersky, a livello mondiale nell’ultimo anno le truffe online a tema criptovalute sono state 5 milioni, con un aumento di oltre il 40% rispetto allo stesso periodo del 2021. Questi dati sono validati anche dall’ultimo report sul phishing redatto da Zscaler ThreatLabz che rivela che questi attacchi sono in costante crescita a causa dell’utilizzo di tecniche sempre più sofisticate da parte dei criminali informatici, che consentono di lanciare attacchi su larga scala.
Nel mondo, l’istruzione è stato il settore più colpito nel 2022, con un incremento degli attacchi del 576%, mentre quello della vendita al dettaglio e all’ingrosso ha registrato una diminuzione del 67% rispetto al 2021.
In Italia, il nuovo report State of the Phish di Proofpoint, Inc. rivela che tra le aziende italiane che hanno subito tentativi di attacchi phishing via email lo scorso anno, il 79% ne ha registrato almeno uno di successo, con il 7% che ha riportato perdite finanziarie dirette come risultato.
Ma come si riconosce un attacco phishing e quali sono gli strumenti per difendersi?
L’obiettivo degli attacchi di phishing è quello di ottenere informazioni sensibili in modo accidentale, mediante l’accesso a una rete. Inizialmente, gli attacchi di phishing erano piuttosto semplici e utilizzavano un’email con un link incorporato su cui l’individuo ignaro avrebbe cliccato. Gli attacchi di phishing di oggi, invece, possono essere molto più sofisticati e potrebbero persino includere siti web HTTPS. Ad esempio, HTTPS può prevenire il furto di dati e gli attacchi man-in-the-middle, ma può anche consentire al traffico dannoso di nascondersi dietro alla crittografia. Tuttavia, il gateway sicuro non può ispezionare i dati crittografati e potrebbe lasciar passare tutto, inclusi codici dannosi.
Un altro esempio di un attacco di phishing sofisticato dei giorni nostri è l’uso di nomi di dominio con errori di battitura. Anche se suona molto tecnico, in realtà è piuttosto semplice: i criminali creano un sito web che finge di essere Adobe, ma il loro indirizzo web utilizza il carattere latino “ḅ” invece del normale “b”, quindi avrai “adoḅe.com” – nota il punto sotto la b. Da lì, l’hacker può rendere “adoḅe.com” un sito HTTPS e creare numerosi altri sottositi. Un sito come “get.adoḅe.com” potrebbe essere creato ed inviato via email agli account target come collegamento. E, naturalmente, gli hyperlink hanno una sottolineatura che maschera il carattere falso, rendendo il collegamento apparentemente legittimo al 100%.
Questi sono solo esempi ed esistono infiniti modi mediante i quali possono avvenire gli attacchi di phishing. Tuttavia, ci sono passi pratici che le aziende dovrebbero compiere per combattere tali truffe informatiche e mitigare il rischio:
- Addestrare i dipendenti su come identificare le email malevole e su cosa fare con esse. Eseguire campagne di phishing simulate e test anti-phishing.
- Assicurarsi che i dipendenti utilizzino password sicure e uniche per i loro account di lavoro e comunicare loro le password per gli account aziendali, che devono essere diverse dalle password dei loro account di posta elettronica personali.
- Utilizzare l’autenticazione a due fattori (MFA) per ridurre il rischio di takeover non autorizzati degli account.
- Educare il personale sui rischi dell’ingegneria sociale, invitandoli a non pubblicare informazioni legate al lavoro su piattaforme di social media pubbliche che potrebbero essere utilizzate per identificare il datore di lavoro, il loro ruolo e le loro responsabilità, e quindi essere utilizzate per un attacco di phishing mirato.
- Installare un gateway di posta elettronica sicuro con anti-spam, anti-malware e filtri basati su regole. Questo potrebbe includere anche SPF (Sender Policy Framework), DMARC (Domain-Based Message Authentication, Reporting & Conformance) e DKIM (Domain Keys Identified Mail), oltre a una rilevazione delle anomalie per le email in entrata ed in uscita.
- Se si hanno dubbi su una email o sospetti di collegamenti web, bisogna segnalarlo immediatamente al proprio team di sicurezza, che può verificare l’email e aprire eventuali collegamenti o siti sospetti in un ambiente sandbox, scoprendo quindi se l’email è autentica.
- Rivedere le misure di mitigazione e assicurarsi che gli aggiornamenti di sistema avvengano periodicamente.
Proprio in questi giorni, in Italia, una recente segnalazione da parte dell’Agenzia delle Entrate assume un grande rilievo poiché ha ad oggetto i rimborsi fiscali, utilizzati dai truffatori per tentare di ingannare i cittadini che ne hanno diritto: si tratta di un esempio di smishing, ovvero il phishing attraverso l’uso di SMS. Gli attacchi di phishing possono infatti avvenire tramite messaggi, email, social media o telefonate.
Con gli attacchi di phishing che diventano sempre più frequenti, sofisticati e difficili da rilevare, è quindi fondamentale rimanere vigili e informati per prevenirli, adottando le migliori pratiche per proteggere le proprie informazioni sensibili.
