Gli attacchi di spear phishing diretti alle aziende si stanno moltiplicando e rappresentano ormai una delle maggiori minacce cui le imprese devono far fronte. Ma di cosa si tratta e quali sono i rischi per imprese? Il mondo della sicurezza informatica ribolle di termini che, spesso, rimangono piuttosto oscuri. Uno di questi è senza dubbio lo spear phishing. Per chi lavora in un’impresa a qualunque livello, però, il fenomeno del phishing “mirato” rappresenta un pericolo estremamente attuale. Conoscerne le caratteristiche e i rischi che comporta è fondamentale per contribuire a proteggere i sistemi aziendali.
Cosa vuol dire phishing: truffa informatica che mira alle credenziali
Il termine phishing è ormai piuttosto comune e conosciuto. Gli attacchi di phishing, in sintesi, sono truffe informatiche che puntano a sottrare le credenziali (username e password) utilizzando messaggi di posta elettronica che “attirano” in qualche modo le vittime su siti Internet controllati dai pirati. L’elemento chiave del phishing è rappresentato dal fatto che i pirati impersonano qualcun altro per attirare le loro vittime sul sito malevolo. Le tecniche possono variare a seconda degli scopi dei cyber-criminali: in alcuni casi, i più diffusi, i pirati utilizzano siti Internet in tutto e per tutto identici a quelli legittimi, con lo scopo di indurre gli utenti a inserire le loro credenziali di accesso ai servizi online. Questa strategia viene adottata normalmente per colpire i servizi di home banking. In altri casi, il messaggio mira semplicemente a dirottare la vittima su un sito internet che contiene codice malevolo e che può compromettere il computer di chi lo visita installandovi un malware. Questa seconda strategia sfrutta, di solito, messaggi di posta con contenuti allettanti, come buoni sconto od omaggi che sembrano essere proposti da aziende piuttosto conosciute.
Definizione di Spear phishing: l’attacco informatico è mirato
Nei casi citati, i truffatori si rivolgono a un pubblico ampio, utilizzando campagne di spam tramite email o social network per “colpire nel mucchio”. Nel caso dello spear phishing, invece, ci troviamo di fronte a un attacco estremamente mirato. Non è un caso che questa tecnica venga utilizzata principalmente da gruppi di cyber criminali estremamente specializzati, che colpiscono principalmente aziende e organizzazioni. Al posto di utilizzare un’esca generica (e di solito piuttosto improbabile) come sconti, promozioni o regali, gli autori di attacchi di spear phishing pianificano attentamente la loro azione, confezionando messaggi tagliati su misura per lo specifico bersaglio. La tecnica meno elaborata prevede di impersonare un soggetto che opera nel settore dell’azienda, per esempio un ente regolatore o un potenziale fornitore/cliente. Il vettore di attacco può variare: oltre a collegamenti a siti malevoli, i pirati usano file di vario formato allegati al messaggio, “camuffati” in modo da sembrare documenti amministrativi o contenenti informazioni che possono interessare alla vittima. Alcuni criminali, però, adottano anche tecniche più elaborate.
Lo spear phishing e la sfera privata
Quando vengono presi di mira bersagli di alto profilo, come i dirigenti o l’amministratore delegato dell’azienda, i pirati decidono spesso di adottare una strategia ancora più subdola, utilizzando come esca contenuti che possono interessare la vittima in relazione ai suoi hobby e interessi personali. Per farlo, di solito, utilizzano i social network e qualsiasi informazione reperibile sul Web, come interviste o interventi pubblici a firma dello stesso soggetto che vogliono colpire. Insomma: sono in grado di sfruttare qualsiasi elemento possa aiutarli a rendere più “accattivante” il messaggio e indurre la vittima a fare il fatidico clic che permette loro di comprometterne il computer e, a cascata, ottenere le credenziali che gli permettono di ottenere l’accesso ai servizi e alle risorse aziendali.
Quali conseguenze dello Spear phishing sulle aziende?
Se la tecnica di attacco è ben delineata, le conseguenze possono variare a seconda del modus operandi dei pirati informatici. In alcuni casi le informazioni sottratte possono essere utilizzate per mettere in campo elaborate truffe ai danni dell’azienda. Per esempio, possono essere richiesti bonifici su domanda di alti dirigenti, in questo caso si parla di CEO Fraud (frode del CEO), o a partire da reali fatture ma su conti correnti fraudolenti creati ad hoc dai pirati per lo specifico attacco. In altri casi, invece, le informazioni sottratte possono essere sfruttate dai cyber criminali per garantirsi un accesso ai sistemi aziendali e portare veri e propri attacchi di sabotaggio ai sistemi informatici o ancora per azioni di spionaggio industriale. In ogni caso, le conseguenze, per l’impresa, sono sempre estremamente gravi.
Come difendersi dallo spear phishing
Gli strumenti di analisi di messaggi di posta elettronica possono rappresentare un argine efficace non solo per il phishing, ma anche per la sua variante “personalizzata”.
Grazie all’uso di algoritmi di intelligenza artificiale, infatti, è possibile individuare gli elementi sospetti che possono caratterizzare un messaggio di spear phishing.
Un altro elemento che consente di individuare le email potenzialmente dannose riguarda il dominio utilizzato dal mittente.
Le tecniche di spear phishing, infatti, prevedono spesso l’uso di indirizzi di posta elettronica che utilizzano un dominio molto simile a quello di soggetti legittimi, per esempio aggiungendo qualche lettera all’interno del dominio: amministrazione@impresalegittima.com può essere imitato inserendo una semplice “i” e diventare amministrazione@impresalegiittima.com.
Utilizzando sistemi di threat intelligence è possibile individuare tempestivamente la presenza di questo tipo di dominii e bloccare i messaggi di spear phishing.
