Quanto impatta un tentativo di phishing sulla sicurezza aziendale? Stando a una ricerca di Verizon, il 22% dei furti di dati passa proprio per qualche tecnica di phishing. Per Broadcom, invece, il 65% degli attacchi mirati ad aziende si basa sullo spear pishing come vettore d’attacco primario. Riconoscere e bloccare un tentativo di phishing, dunque, è una delle più efficaci forme di difesa nel campo della cyber security. Ma per riconoscere, occorre prima di tutto conoscere.
Cos’è il phishing
Prosaicamente, il phishing è una tecnica con la quale si spaccia un contenuto digitale fraudolento come autentico. Di solito, il contenuto in questione è una e-mail. Il tentativo di phishing, dunque, parte con una e-mail che all’apparenza proviene da un mittente conosciuto, in modo da indurre la vittima a credere a quanto è riportato. A volte si tratta di cliccare su un link e compilare un modulo online con le proprie credenziali, altre di aprire un allegato: è la variabilità di situazioni possibili a rendere micidiale un tentativo di phishing. E l’impatto è devastante: le cronache parlano di attacchi di phishing che hanno portato al furto di più di 40 milioni di dollari in un colpo solo (il caso Ubiquiti Networks), ma soprattutto di e-mail di phishing utilizzate per diffondere i pericolosi ransomware.
La tecnica
Dal punto di vista tecnico, creare una trappola di phishing è molto semplice e questo spiega l’ampia diffusione di questo tipo di minaccia. Esistono, infatti, numerosi siti che consentono di creare e-mail e inviarle utilizzando finti mittenti. Se il tentativo di phishing riguarda, invece, qualche sito, si utilizzano clonatori di siti web: il sito legittimo viene copiato pari pari, e modificato solo in quelle istruzioni che inviano i dati al server, in modo da direzionarli verso quelli dei criminali informatici. Questo modus operandi, del resto, permette di raccogliere indirizzi e-mail e siti di phishing sulla base delle segnalazioni di utenti, browser, provider e ricercatori, per creare delle “black list” che sono continuamente aggiornate.
Riconoscere un tentativo di phishing
Black list a parte, riconoscere un tentativo di phishing è un’arte spesso incerta, ma è l’unione di più fattori a migliorare la mira. E siccome il phishing mira al singolo dipendente, è l’awareness sul tema la migliore arma per contrastarlo. Di base sono cinque i trucchi che, combinati, consentono di individuare un tentativo di phishing con precisione. Per prima cosa, diffidare di email ricevute da mittenti sconosciuti che utilizzano indirizzi generici, basati su provider gratuiti come Gmail, Yahoo o Hotmail. Secondo, verificare che l’indirizzo e-mail sia quello effettivamente mostrato, senza limitarsi al nome del mittente mostrato nella webmail o nel cliente di posta elettronica. Terzo, nel caso di siti web, fare attenzione all’indirizzo URL, cioè quello che compare sulla barra del browser. I siti di phishing utilizzano piccoli artifizi sui nomi originali, magari sostituendo una “o” con uno zero, raddoppiando alcuni caratteri, aggiungendone altri.
Un tentativo di phishing a cui prestare particolare attenzione è quello che induce ad aprire link e allegati. Quindi, in presenza di questi elementi, occorre essere ancora più scrupolosi. Coi primi, si deve cercare di mettere in chiaro l’indirizzo di destinazione, spesso nascosto da qualche pulsante o da uno “URL shortener”, come bit.ly. In questo modo si evita di finire in siti trappola o di scaricare dei malware. Nel secondo caso, il rischio è di infettare un endpoint e, di conseguenza, tutta la rete di cui fa parte, specie con un ransomware. Diventa, quindi, mandatorio il controllo di tutti gli allegati ricevuti nel mail server, bloccando al contempo quelli scaricabili da caselle personali o istituendo delle precise policy in materia. Infine, per individuare un tentativo di phishing è molto utile fare attenzione a come sono scritti i testi. Tanti e ripetuti errori, specie grammaticali, che si tratti di italiano o di un’altra lingua ben conosciuta, sono il chiaro segnale di un contenuto di phishing.
Cosa fare
Individuata la trappola, a quel punto, cosa si deve fare? Dipende dalle situazioni. Il phishing proviene in larga parte da territori nei quali è difficile far valere denunce legali, tuttavia si può contribuire alla mitigazione del problema con delle segnalazioni. Dato che il tentativo di phishing viene di solito rilevato dal singolo utente, occorre una policy che tracci una linea di gestione specifica per segnalare il tentativo di phishing e questa dovrebbe partire sempre da una comunicazione al responsabile IT. Il quale, a questo punto, può valutare se è il caso di ignorare la segnalazione, se affinare i filtri anti-phishing e anti-spam del mail server oppure se installare o potenziare appositi software per la gestione automatizzata di queste problematiche.
Il problema degli indirizzi
I criminali informatici, infatti, per gli attacchi di phishing più massivi utilizzano vere e proprie banche dati, formate da indirizzi raccolti da domini e servizi pubblici, specie forum e social network. Per questo è necessario accertarsi che gli indirizzi aziendali siano utilizzati solo per motivi lavorativi e verso un bacino ridotto e verificato di contatti. Ma sempre tenendo alta la soglia di attenzione: lo spear phishing è una tecnica che prende di mira figure specifiche di un’azienda, in modo da confezionare trappole ad hoc. Per questo è possibile che anche il più discreto indirizzo e-mail professionale diventi un obiettivo sensibile. E non si cada mai nell’errore di considerare un ruolo troppo marginale per essere preso di mira: agli occhi del criminale informatico basta che un allegato sia aperto da qualsiasi utente di una rete aziendale, per arrivare allo scopo. Le conseguenze, a quel punto, possono essere molto gravi.
L’importanza della security awareness
Sulla base di tutto questo, è chiaro che l’arma più efficace contro il phishing, che batte anche le tecnologie più sofisticate, è la security awareness. Ossia un programma formativo strutturato e pianificato sul medio-lungo termine, capace di istruire il personale su nozioni di vario livello che consentano di identificare e contrastare le trappole di phishing.
La security awareness, in particolare, è importante nelle trappole più raffinate e mirate a individui specifici. Perché solo delle valutazioni umane e ragionate possono smascherarle.
È per questo che diventa importante affidarsi a professionisti della formazione e a piattaforme in grado di erogare lezioni su più livelli, simulazioni degli attacchi e test di valutazione su quanto appreso.
Perché la tecnologia arriva sempre e comunque fino a un certo punto: il resto sta alla preparazione del professionista.
