Qualche giorno fa ho ricevuto un comunicato stampa di Cisco che parla di Phishing, ne elenca i tipi e fornisce 5 punti chiave per evitare brutte sorprese. Sai che l’argomento mi interessa sempre e che ne ho parlato molte volte in passato (e continuo a farlo tutt’ora), quindi voglio dare un po’ di spazio al comunicato estrapolandone i pezzi più importanti e aggiungendo alcune note laddove necessarie.

Prima di andare al sodo e ai punti chiave, cerchiamo di comprendere come funziona nel dettaglio il phishing moderno. I passaggi fondamentali sono:

Tutto inizia con una e-mail o un’altra comunicazione fraudolenta (per esempio un SMS) nella quale il mittente sembra essere affidabile, inviata allo scopo di attirare l’attenzione della vittima.
Se l’inganno riesce, la vittima viene persuasa a fornire informazioni riservate, spesso su un sito web truffa appositamente costruito.
Qualche volta, nel computer del malcapitato viene anche scaricato un malware.

A volte ai criminali informatici è sufficiente ottenere informazioni sulla carta di credito o dati personali della vittima di differente tipo per orientare un attacco a scopo di lucro (e in questo caso abbiamo già visto in passato come bastino i tanti, troppi, leak di database contenenti dati sensibili degli utenti iscritti a uno o più servizi su Internet). Altre volte, le e-mail di phishing vengono inviate per rubare le credenziali di accesso dei dipendenti o altre informazioni utili a sferrare un attacco più sofisticato contro un’azienda specifica. Attacchi informatici come il ransomware o minacce avanzate persistenti (APT) spesso approcciano la vittima designata proprio tramite un’azione di phishing.

Come sensibilizzare gli utenti nei confronti degli attacchi di phishing?

Un modo per proteggere la propria utenze (e anche la propria organizzazione) dal phishing è un’adeguata formazione che coinvolga la singola persona tanto quanto l’intero parco dipendenti, compresi quei dirigenti di alto livello che spesso sono l’obiettivo più appetibile. È importante insegnare loro come riconoscere un’e-mail di phishing e cosa fare quando ne ricevono una; altrettanto fondamentali sono gli esercizi di simulazione per valutare come le persone reagiscono a un attacco di phishing nelle sue diverse fasi.

I vari tipi di phishing

Cisco: informazioni pratiche contro il phishing — Il fumetto è farina del sacco di Sio, manco a dirlo.

Spear phishing: lo spear phishing prende di mira singoli individui e non un gruppo di persone. I criminali informatici spesso cercano le loro vittime sui social media o su altri siti, in questo modo è più semplice personalizzare le comunicazioni affinché sembrino autentiche. Lo spear phishing è spesso il primo passo per superare le difese di un’azienda e realizzare un attacco mirato.
Whaling: si parla di whaling quando i criminali informatici prendono di mira un “pesce grosso“, per esempio il CEO di un’azienda. Spesso questi criminali trascorrono molto tempo a profilare il bersaglio per trovare il momento e i mezzi opportuni con cui sottrarre le credenziali di accesso. Il whaling è un attacco particolarmente critico, poiché i dirigenti di alto livello hanno accesso a numerose informazioni aziendali.
Pharming: analogamente al phishing, il pharming dirotta gli utenti verso un sito web fraudolento che sembra perfettamente in regola, somigliante in tutto e per tutto a quello vero (banca, gestore dell’energia elettrica, ecc.). Tuttavia, in questo caso, le vittime non dovrebbero nemmeno fare clic su un link malevolo per accedere al sito fasullo. Gli attaccanti possono infettare il computer dell’utente e reindirizzare l’utente a una pagina web fittizia anche se è stato digitato l’URL corretto all’interno del browser, rendendo di fatto davvero difficile riconoscere di essere vittime di un attacco.
Deceptive phishing: il deceptive phishing, letteralmente phishing ingannevole, è il tipo di phishing più comune. In questo caso un attaccante tenta di ottenere dalle vittime informazioni riservate da utilizzare per rubare denaro o lanciare altri attacchi. Un’e-mail falsa proveniente da una banca che chiede di fare clic su un collegamento per verificare i dettagli del proprio conto corrente è un esempio molto comune di deceptive phishing.

Come potersi mettere al riparo

Un paragrafo decisamente più orientato alle aziende che all’utilizzatore finale. Senza ombra di dubbio è però bene che l’utente finale sappia che ci sono metodi e tecniche per potersi mettere quanto più al riparo possibile da questo tipo di attacchi, tenendo però bene a mente che non c’è falla di sicurezza più grande di quella che si trova tra la sedia e la tastiera.

Implementare un solido processo di autenticazione: l’autenticazione a più fattori (MFA) riduce significativamente il rischio di accesso non autorizzato ai dati, ma non tutti i metodi di autenticazione sono uguali. L’utilizzo di chiavi di sicurezza WebAuthn o FIDO2 offre il massimo livello di garanzia per un accesso sicuro. Inoltre, un ulteriore livello di sicurezza potrebbe essere la richiesta di inserire un codice univoco dal dispositivo di accesso nelle applicazioni dedicate (come Duo Mobile, Authy, Google Authenticator, 1Password).
Puoi cercare sul blog tutti gli articoli che ho scritto e pubblicato sull’autenticazione a due fattori.
Ridurre la dipendenza dalle password con il Single Sign-On (SSO): il Single sign-on consente al contempo l’accesso continuo a più applicazioni con un solo set di credenziali. Con un minor numero di credenziali da ricordare, gli utenti sono meno propensi a riutilizzare o creare password deboli che possano essere facilmente prese di mira dai criminali informatici.
Creare e mantenere aggiornato un inventario dettagliato dei dispositivi: è difficile impedire l’accesso da dispositivi di cui non si è a conoscenza. La visibilità di tutti i dispositivi che accedono alle varie risorse è il primo passo per garantire che ogni tentativo di accesso sia legittimo.
Applicare i criteri di accesso adattivi: è cruciale garantire che gli utenti giusti, con i dispositivi giusti, accedano alle applicazioni giuste. Perciò si rende necessaria la creazione di policy di sicurezza granulari attraverso cui è possibile applicare un modello di accesso a privilegi minimi e consentire che gli utenti e i loro dispositivi soddisfino standard rigorosi prima di poter accedere alle risorse critiche.
Monitoraggio continuo di attività di accesso insolite: l’utilizzo dell’analisi comportamentale può rivelarsi fondamentale nel monitorare i modelli di accesso unici degli utenti. Questa pratica aiuta a individuare le attività sospette e a bloccare le violazioni prima ancora che si verifichino.

#StaySafe

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Commenti

Inline Feedbacks

View all comments

Gioxx on Acronis True Image 2020: scaricare l’immagine ISO: “Demo non credo, magari limitata nelle funzioni perché liberamente scaricabile e utilizzabile per scopri privati e commerciali, quello forse sì!…”

Giovanni P. on Acronis True Image 2020: scaricare l’immagine ISO: “Ciao, ma è una demo? Grazie”

Gioxx on Icone di caricamento o di stato di Dropbox sparite? Ecco come risolvere (Icon Overlays Fix): “Ciao Christian, lieto tu abbia risolto. Spero tu abbia comunque fatto un backup di quella chiave di registro prima di…”

Christian on Icone di caricamento o di stato di Dropbox sparite? Ecco come risolvere (Icon Overlays Fix): “Ho cancellato qualche chiave e ho risolto! Non ho verificato se ora le altre applicazioni che uso hanno problemi”

Gioxx on PowerShell: installazione di GoSign Desktop per tutti gli utenti (Aggiornato): “Sfortunatamente in questo caso è un pelo più schizzinoso e la vuole maiuscola, ma l’importante è risolvere 😄👍”

Em Me on PowerShell: installazione di GoSign Desktop per tutti gli utenti (Aggiornato): “settimane che ci litigo… l’ho sempre scritta minuscola! ARGH!!!”

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
server_session_id	session	This cookie is set by Twitch to help in load balancing and optimizing the visitor experience.
unique_id	1 year 1 month 1 day	Twitch TV sets this cookie for its online service used for watching or broadcasting live or prerecorded videos across topics such as cooking, travel, art, sports, and video games.

Cookie	Duration	Description
api_token	1 year 1 month 1 day	This cookie is set by Twitch to display the embedded video and the services required to function the same.
sp_landing	1 day	The sp_landing is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content.
sp_t	1 year	The sp_t cookie is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content.

Cookie	Duration	Description
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
CONSENT	2 years	YouTube sets this cookie via embedded YouTube videos and registers anonymous statistical data.
referrer_url	30 minutes	This cookie is used to detect how the user reached the website by registering their last URL-address.

Cookie	Duration	Description
edgebucket	session	Reddit sets this cookie to save the information about a log-on Reddit user, for the purpose of advertisement recommendations and updating the content.
experiment_overrides	1 year 1 month 1 day	Twitch TV sets this cookie to collect data on the user across websites. This information is used to tailor advertisements.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
_octo	1 year	No description available.
csv	1 year 1 month 4 days	No description available.
ga__12_abel	1 day	Description is currently not available.
ga__12_abel-ssn	1 day	Description is currently not available.
KP_UIDz	1 day	No description available.
KP_UIDz-ssn	1 day	Description is currently not available.
logged_in	1 year	No description available.
loglevel	never	No description available.

Cisco: informazioni pratiche contro il phishing

Come sensibilizzare gli utenti nei confronti degli attacchi di phishing?

I vari tipi di phishing

Come potersi mettere al riparo

Related

Consenso all'utilizzo dei cookie