Sommario:
Video: What is spear phishing? (Settembre 2024)
Quando il capo del Comitato Democratico Nazionale (DNC) John Podesta, aiutante, gli ha inoltrato una e-mail in cui affermava che l'account Gmail di Podesta era stato violato, Podesta ha fatto ciò che la maggior parte di noi avrebbe fatto: ha fatto clic sul collegamento all'interno dell'e-mail ed è stato indirizzato a un sito Web dove gli è stato richiesto per inserire una nuova password. Lo ha fatto e poi ha fatto i suoi affari quotidiani. Sfortunatamente per Podesta, il Partito Democratico e la campagna presidenziale di Hillary Clinton, l'e-mail inviata a Podesta non proveniva da Google. Piuttosto, è stato un attacco di spear-phish da parte di un gruppo di hacker russo chiamato "Fancy Bear".
Anche se non hai mai sentito parlare del termine "spear-phishing", senza dubbio hai sentito parlare di questo tipo di attacchi. Probabilmente sei stato anche un bersaglio di loro. Questi attacchi in genere assumono la forma di e-mail di assistenza clienti che richiedono di modificare le credenziali oppure possono essere inviate tramite indirizzi di posta elettronica falsi a aziende che richiedono dati personali o relativi ai dipendenti. Ad esempio, nel 2015, i dipendenti di Ubiquiti Networks hanno trasferito 46, 7 milioni di dollari a conti esteri su richiesta di e-mail inviate dai dirigenti di Ubiquiti. In realtà, gli hacker hanno creato degli account di posta elettronica falsi che somigliavano agli attuali account esecutivi di Ubiquiti e hanno ingannato i dipendenti.
Sulla base dei dati di un recente studio condotto dalla società di sicurezza e-mail IronScales, il 77 percento degli attacchi è focalizzato sul laser, colpendo 10 account o meno, con un terzo degli attacchi indirizzati a un solo account. Gli attacchi sono brevi, con il 47 percento che dura meno di 24 ore e il 65 percento che dura meno di 30 giorni. I filtri antispam tradizionali e gli strumenti di protezione degli endpoint non stanno rilevando gli attacchi. Per ogni cinque attacchi identificati dai filtri antispam, 20 attacchi sono arrivati alla posta in arrivo di un utente.
(Immagine via: IronScales)
"Vediamo che gli aggressori passano molto più tempo a studiare i loro obiettivi che negli anni passati, eseguendo un processo di ricognizione molto completo", ha affermato Eyal Benishti, CEO di IronScales. "Di conseguenza, le e-mail di phishing sono diventate altamente mirate e personalizzate per l'azienda di destinazione, in quanto gli aggressori sono in grado di raccogliere informazioni attraverso la ricognizione che li aiuta a creare e-mail in modo da sembrare una comunicazione interna legittima. Ad esempio, abbiamo visto alcuni attacchi utilizzare gergo e firme delle organizzazioni, e il contenuto è molto nel contesto di ciò che è attualmente in esecuzione all'interno dell'azienda e tra parti fidate ".
Jeff Pollard, Principal Analyst presso Forrester Research, ha aggiunto che anche questi attacchi stanno diventando sempre più sofisticati. "Gli attacchi stanno diventando sempre più sofisticati sia in termini di esche utilizzate per indurre le persone a fare clic che in termini di malware utilizzato per accedere ai sistemi", ha affermato Pollard. "Ma è quello che ci aspettiamo dato che la sicurezza informatica è una battaglia costante tra difensori e aggressori".
La soluzione
Per combattere questi attacchi, le aziende si rivolgono a software anti-phishing per rilevare e contrassegnare gli attacchi in arrivo. Gli strumenti anti-spam e anti-malware non sono un problema per qualsiasi azienda che spera di proteggere i dati aziendali. Ma aziende come IronScales stanno facendo un ulteriore passo avanti stratificando gli strumenti di machine learning (ML) per scansionare in modo proattivo e contrassegnare e-mail di phishing imprecise. Inoltre, poiché ML consente agli strumenti di compilare o ricordare i dati delle truffe, il software apprende e migliora ad ogni scansione.
"La tecnologia rende più difficile per l'attaccante ingannare il difensore con piccole modifiche che normalmente aggirano una soluzione basata sulla firma", ha detto Benishti. "Con ML, possiamo raggruppare rapidamente diverse varianti dello stesso attacco e combattere in modo più efficace contro il phishing. In effetti, dalla nostra analisi, ML è il modo migliore per addestrare un sistema a distinguere le email legittime provenienti da un partner di fiducia o collega contro uno non legittimo ".
La tecnologia non è l'unica protezione contro queste forme di attacchi. L'istruzione e la cautela sono forse le difese più importanti contro gli attacchi di spear-phishing. "Alcune aziende sono consapevoli delle minacce, sebbene altre credano erroneamente che la loro soluzione attuale sia la protezione da attacchi mirati", ha affermato Benishti. "È molto importante capire che usare gli stessi meccanismi di difesa e aspettarsi risultati diversi negli attacchi futuri semplicemente non funzionerà. L'uso della sola tecnologia contro gli attacchi avanzati, che pongono le persone come obiettivi, fallirà sempre, così come facendo affidamento esclusivamente sulla consapevolezza dei dipendenti e formazione… Le persone e le macchine che lavorano a stretto contatto per colmare questa lacuna di attacchi sconosciuti è l'unico modo per ridurre il rischio."
(Immagine via: IronScales)
Come stare al sicuro
Ecco alcuni modi molto semplici per garantire che tu e la tua azienda non vengano truffati:
- Assicurati che le e-mail dell'azienda siano etichettate "INTERNO" o "ESTERNO" nella riga dell'oggetto.
- Verifica le richieste sospette o rischiose per telefono. Ad esempio, se l'amministratore delegato ti invia un'email e ti chiede di inviare i dati personali sulla salute di qualcuno, chiamalo o invia un messaggio di chat per verificare la richiesta.
- Se un'azienda ti chiede di cambiare la password, non utilizzare il collegamento nella notifica e-mail; vai direttamente al sito Web dell'azienda e cambia la tua password da lì.
- Mai, in nessun caso, è necessario inviare la password, il numero di previdenza sociale o le informazioni della carta di credito a qualcuno nel corpo di un'e-mail.
- Non fare clic sui collegamenti nelle e-mail che non contengono altro testo o informazioni.
"Man mano che le difese migliorano, aumentano anche gli attacchi", ha affermato Pollard. "Penso che vedremo campagne di spear phishing e di caccia alle balene più mirate. Vedremo anche un aumento del phishing e della truffa sui social media, che è un'area che non è matura dal punto di vista della sicurezza come la sicurezza della posta elettronica."
Sfortunatamente, indipendentemente dalla tua attenzione, gli attacchi si intensificheranno e diventeranno più intelligenti. Puoi fare tutto ciò che è in tuo potere per educare te stesso e i tuoi dipendenti, puoi costruire una difesa anti-phishing supportata da nuove tecnologie e puoi prendere tutte le precauzioni possibili. Ma, come ha osservato Pollard, "ci vuole solo una brutta giornata, un clic sbagliato o un utente affrettato che cerca di ripulire una casella di posta, per portare alla catastrofe".
