Qualche giorno fa ho ricevuto un comunicato stampa di Cisco che parla di Phishing, ne elenca i tipi e fornisce 5 punti chiave per evitare brutte sorprese. Sai che l’argomento mi interessa sempre e che ne ho parlato molte volte in passato (e continuo a farlo tutt’ora), quindi voglio dare un po’ di spazio al comunicato estrapolandone i pezzi più importanti e aggiungendo alcune note laddove necessarie.
Prima di andare al sodo e ai punti chiave, cerchiamo di comprendere come funziona nel dettaglio il phishing moderno. I passaggi fondamentali sono:
- Tutto inizia con una e-mail o un’altra comunicazione fraudolenta (per esempio un SMS) nella quale il mittente sembra essere affidabile, inviata allo scopo di attirare l’attenzione della vittima.
- Se l’inganno riesce, la vittima viene persuasa a fornire informazioni riservate, spesso su un sito web truffa appositamente costruito.
- Qualche volta, nel computer del malcapitato viene anche scaricato un malware.
A volte ai criminali informatici è sufficiente ottenere informazioni sulla carta di credito o dati personali della vittima di differente tipo per orientare un attacco a scopo di lucro (e in questo caso abbiamo già visto in passato come bastino i tanti, troppi, leak di database contenenti dati sensibili degli utenti iscritti a uno o più servizi su Internet). Altre volte, le e-mail di phishing vengono inviate per rubare le credenziali di accesso dei dipendenti o altre informazioni utili a sferrare un attacco più sofisticato contro un’azienda specifica. Attacchi informatici come il ransomware o minacce avanzate persistenti (APT) spesso approcciano la vittima designata proprio tramite un’azione di phishing.
Come sensibilizzare gli utenti nei confronti degli attacchi di phishing?
Un modo per proteggere la propria utenze (e anche la propria organizzazione) dal phishing è un’adeguata formazione che coinvolga la singola persona tanto quanto l’intero parco dipendenti, compresi quei dirigenti di alto livello che spesso sono l’obiettivo più appetibile. È importante insegnare loro come riconoscere un’e-mail di phishing e cosa fare quando ne ricevono una; altrettanto fondamentali sono gli esercizi di simulazione per valutare come le persone reagiscono a un attacco di phishing nelle sue diverse fasi.
I vari tipi di phishing
- Spear phishing: lo spear phishing prende di mira singoli individui e non un gruppo di persone. I criminali informatici spesso cercano le loro vittime sui social media o su altri siti, in questo modo è più semplice personalizzare le comunicazioni affinché sembrino autentiche. Lo spear phishing è spesso il primo passo per superare le difese di un’azienda e realizzare un attacco mirato.
- Whaling: si parla di whaling quando i criminali informatici prendono di mira un “pesce grosso“, per esempio il CEO di un’azienda. Spesso questi criminali trascorrono molto tempo a profilare il bersaglio per trovare il momento e i mezzi opportuni con cui sottrarre le credenziali di accesso. Il whaling è un attacco particolarmente critico, poiché i dirigenti di alto livello hanno accesso a numerose informazioni aziendali.
- Pharming: analogamente al phishing, il pharming dirotta gli utenti verso un sito web fraudolento che sembra perfettamente in regola, somigliante in tutto e per tutto a quello vero (banca, gestore dell’energia elettrica, ecc.). Tuttavia, in questo caso, le vittime non dovrebbero nemmeno fare clic su un link malevolo per accedere al sito fasullo. Gli attaccanti possono infettare il computer dell’utente e reindirizzare l’utente a una pagina web fittizia anche se è stato digitato l’URL corretto all’interno del browser, rendendo di fatto davvero difficile riconoscere di essere vittime di un attacco.
- Deceptive phishing: il deceptive phishing, letteralmente phishing ingannevole, è il tipo di phishing più comune. In questo caso un attaccante tenta di ottenere dalle vittime informazioni riservate da utilizzare per rubare denaro o lanciare altri attacchi. Un’e-mail falsa proveniente da una banca che chiede di fare clic su un collegamento per verificare i dettagli del proprio conto corrente è un esempio molto comune di deceptive phishing.
Come potersi mettere al riparo
Un paragrafo decisamente più orientato alle aziende che all’utilizzatore finale. Senza ombra di dubbio è però bene che l’utente finale sappia che ci sono metodi e tecniche per potersi mettere quanto più al riparo possibile da questo tipo di attacchi, tenendo però bene a mente che non c’è falla di sicurezza più grande di quella che si trova tra la sedia e la tastiera.
- Implementare un solido processo di autenticazione: l’autenticazione a più fattori (MFA) riduce significativamente il rischio di accesso non autorizzato ai dati, ma non tutti i metodi di autenticazione sono uguali. L’utilizzo di chiavi di sicurezza WebAuthn o FIDO2 offre il massimo livello di garanzia per un accesso sicuro. Inoltre, un ulteriore livello di sicurezza potrebbe essere la richiesta di inserire un codice univoco dal dispositivo di accesso nelle applicazioni dedicate (come Duo Mobile, Authy, Google Authenticator, 1Password).
Puoi cercare sul blog tutti gli articoli che ho scritto e pubblicato sull’autenticazione a due fattori. - Ridurre la dipendenza dalle password con il Single Sign-On (SSO): il Single sign-on consente al contempo l’accesso continuo a più applicazioni con un solo set di credenziali. Con un minor numero di credenziali da ricordare, gli utenti sono meno propensi a riutilizzare o creare password deboli che possano essere facilmente prese di mira dai criminali informatici.
- Creare e mantenere aggiornato un inventario dettagliato dei dispositivi: è difficile impedire l’accesso da dispositivi di cui non si è a conoscenza. La visibilità di tutti i dispositivi che accedono alle varie risorse è il primo passo per garantire che ogni tentativo di accesso sia legittimo.
- Applicare i criteri di accesso adattivi: è cruciale garantire che gli utenti giusti, con i dispositivi giusti, accedano alle applicazioni giuste. Perciò si rende necessaria la creazione di policy di sicurezza granulari attraverso cui è possibile applicare un modello di accesso a privilegi minimi e consentire che gli utenti e i loro dispositivi soddisfino standard rigorosi prima di poter accedere alle risorse critiche.
- Monitoraggio continuo di attività di accesso insolite: l’utilizzo dell’analisi comportamentale può rivelarsi fondamentale nel monitorare i modelli di accesso unici degli utenti. Questa pratica aiuta a individuare le attività sospette e a bloccare le violazioni prima ancora che si verifichino.
#StaySafe
Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)
