Le strategie degli Hacker si evolvono e traggono nuova linfa dall’aumento degli strumenti utilizzati: sms, piattaforme di messaggistica istantanea, social-media e tutte le app che consentono di condividere dei link.
E’ passato molto tempo dai primi, rudimentali attacchi di phishing, ma questo sistema non da segni di cedimento. Anzi, continua ad autoalimentarsi traendo vantaggio dal moltiplicarsi dei vettori di comunicazione e condivisione: sms, piattaforme di messaggistica istantanea, social, applicazioni mobile.
La conseguenza: gli attacchi di phishing adesso devono essere gestiti anche su applicazioni mobile. E per definizione sono più difficili da rilevare perché la distrazione e gli automatismi con cui li utilizziamo li rende, semmai ce ne fosse stato bisogno, ancora più efficaci.
Tutti questi sistemi consentono di connetterci con chi conosciamo e condividere facilmente esperienze, interessi, informazioni: cosa che i criminali informatici sanno sfruttare al meglio.
Questi dati vengono poi utilizzati per lanciare attacchi di phishing contro un numero ancora maggiore di persone e organizzazioni: i criminali possono inoltre personalizzare gli attacchi, proprio grazie al fatto che reperiscono facilmente informazioni personali on line, rendendoli molto più difficili da riconoscere.
Non sorprende quindi che il phishing sia ora responsabile di oltre un quarto di tutte le violazioni e sottrazioni di dati.
Quanto è semplice un attacco: il caso di Twitter!
Bastano poche informazioni su un dipendente che possono essere reperite facilmente sui social (ce le abbiamo messe noi) e su un’azienda (ancora più facile), competenze informatiche di base (basta essere un utente un po’ evoluto), ed un kit acquistato sul deep web per portare a termine, con successo, un attacco informatico.
Per esempio, nel caso dell’attacco subito da Twitter il 15 luglio di quest’anno, il criminale ha contattato un dipendente fingendo di essere un suo collega – Spear Phishing. Facilmente è riuscito a farsi dare le credenziali di un altro, che era il suo vero bersaglio.
Falsificando in un sms il numero di telefono del dipendente di cui aveva ottenuto le credenziali – Sim Swap -, probabilmente prendendo le informazioni necessarie dai profili social, è riuscito a sostituirsi alla vittima, e ricevere la password OTP per l’autenticazione: un questo modo ha avuto accesso ai dati che gli interessavano.
Questo dimostra che non è necessario far parte di chissà quale “organizzazione criminale informatica globale” per portare a termine un attacco informatico e fare enormi danni.
Quanto siamo vulnerabili?
Visto che un attacco del genere riesce ad avere successo contro Twtter, perché non può portare allo stesso risultato contro altre aziende ed organizzazioni, compresa la tua!
Con il lavoro da casa, o “Smart Working”, sono stati cancellati, o almeno sono cambiati, tutti i paradigmi classici legati al concetto di difesa del perimetro aziendale; tutto ciò semplicemente perché questo perimetro non è più definibile o identificabile.
Oggi i dati aziendali sono ovunque, ancor più di prima della pandemia, compresi i device personali (notebook e laptop, smartphone, wifi domestici, ecc,) utilizzati come strumenti di lavoro.
Il crimine informatico lo sa benissimo e realizza di conseguenza i propri exploit kit di phishing.
Affidarci alle solite misure di sicurezza non è più sufficiente (non lo era neanche prima!) e sperare che gli utenti/dipendenti siano in grado di elevare sistemi di difesa equivale ad un suicidio.
Conclusioni
Se ci pensate bene, il lavoro quotidiano consiste, per gran parte, nell’aprire gli allegati e cliccare sui link inviati da collaboratori, clienti, partner, fornitori, e così via.
Elevare il livello di attenzione, seguire il consiglio di non aprire allegati da mail sospette o non cliccare sui link contenuti nelle comunicazioni che ci arrivano, è sicuramente una buona pratica, ma mettendo in discussione ogni link cliccabile quanto lavoro verrebbe effettivamente svolto? E di quanto, realmente, potremmo elevare il livello della sicurezza?
Anche la formazione, anche se necessaria, da sola non basta più.
Ricordando che tali sistemi sono composti di persone oltre che da macchine, unire la formazione con un approccio “zero thrust” alla Cyber Security porterebbe, sicuramente un netto miglioramento della sicurezza e della resilienza dei sistemi stessi.
Se questo articolo ti è piaciuto o pensi che possa esserti utile, condividilo sui tuoi social preferiti ed iscriviti alla nostra newsletter: è gratis e puoi cancellarti quando vuoi!
