Spear phishing e sicurezza informatica in azienda

In questo articolo

Lo spear phishing è un attacco molto più mirato e preciso rispetto al semplice phishing. Le e-mail vengono scritte a regola d’arte, su misura per ogni vittima. Il contenuto è spesso personalizzato in modo da sembrare provenire da un mittente attendibile e affidabile agli occhi del destinatario.

Lo spear phishing si basa su una conoscenza approfondita della persona attaccata, proveniente da un’accurata ricerca sulle informazioni personali e aziendali. Gli attaccanti utilizzano i dati per predisporre messaggi di posta elettronica convincenti, che indirizzano le vittime a fornire informazioni riservate, come ad esempio password o numeri di carte di credito. Gli attacchi di spear phishing possono essere condotti da singoli criminali o da gruppi organizzati, e possono arrivare da provider di posta elettronica noti o meno noti.

Il phishing inizia con una e-mail o un’altra forma di comunicazione fraudolenta inviata allo scopo di attirare una vittima. Il messaggio sembra provenire da un mittente affidabile e il testo del messaggio contiene un invito a cliccare su un link, spesso con la richiesta di aggiornare informazioni personali e in alcuni casi con un testo che infonde un senso di urgenza al destinatario.

A quale scopo? Il fine ultimo del phishing è quello di indurre la vittima a rivelare informazioni sensibili, come password o dati bancari. Nella sua versione più sofisticata, il phishing è noto come spear phishing, in cui l’attaccante rivolge una comunicazione mirata a un singolo obiettivo.

Phishing e spear phishing hanno entrambi come obiettivo quello di spingere le vittime a divulgare informazioni sensibili. Tuttavia, lo spear phishing richiede uno sforzo diverso per i truffatori, in quanto, per poter creare un’e-mail che contenga elementi in grado di renderla credibile agli occhi del bersaglio è necessaria un’accurata ricerca sulla vittima.

Lo spear phishing inoltre è una forma più mirata e diretta del phishing, che tende a colpire un bersaglio specifico o un gruppo di persone, piuttosto che una vasta gamma di destinatari. Le informazioni raccolte dai truffatori vengono utilizzate per creare messaggi ad hoc, contenenti dettagli personali o organizzativi, sempre con l’obiettivo di far apparire l’e-mail più veritiera.

Come riconoscere un’e-mail di spear phishing? Le mail di spear phishing sono spesso più lunghe e coinvolgenti rispetto alle comuni e-mail di phishing, in quanto offrono maggiori informazioni sull’oggetto e maggiori dettagli sulla vittima. Alcune e-mail possono anche contenere collegamenti a siti web in grado di sfruttare vulnerabilità conosciute nei browser web e nei sistemi operativi.

Lo spear phishing può essere più difficile da rilevare rispetto al phishing tradizionale, poiché il messaggio sembra essere diretto ad un mittente specifico e quindi può passare inosservato tra le e-mail quotidiane di posta elettronica.

In conclusione, la principale differenza tra il phishing e lo spear phishing è che quest’ultimo è molto più sofisticato, grazie alle numerose informazioni personali precedentemente raccolte dai truffatori.

Per aumentare le probabilità di successo, chi sferra attacchi spear phishing usa spesso il nome di brand ben noti e riconosciuti come, ad esempio, PayPal, Amazon, Google e Microsoft.

Un esempio di attacco di spear phishing è un’e-mail che imita un messaggio PayPal, in cui si comunica all’utente di aggiornare le informazioni della propria carta di credito per evitare l’interruzione dei servizi. Il messaggio contiene un link fraudolento che porta a un sito web creato ad hoc per rubare le informazioni bancarie dei destinatari.

Un altro esempio tipico è un’e-mail che sembra provenire da Amazon e richiede all’utente di effettuare il login per confermare l’account. Il link punta in realtà ad un sito web creato appositamente per rubare le credenziali dell’utente.

Un altro esempio analogo è una mail che sembra provenire da Microsoft e chiede all’utente di aggiornare i propri dati di accesso per evitare che il proprio account venga disabilitato. Il link fornito nell’e-mail indirizzerà l’utente ad un sito web che richiederà alcune informazioni personali, tra cui numero di carta di credito, data di nascita e così via.

Gli attacchi spear phishing si rivelano spesso efficaci proprio perchè utilizzano i nomi delle aziende più famose per acquisire credibilità agli occhi degli utenti e rubarne le informazioni personali.

Tra gennaio e dicembre 2021, un team di ricercatori in campo cyber security ha analizzato milioni di e-mail di migliaia di aziende italiane.

Tra i risultati più significativi è emerso che il dipendente medio di un’azienda con circa 100 dipendenti riceve una quantità di attacchi di 3,5 volte più alta rispetto al dipendente di una grande impresa.

Questo studio ha anche dimostrato che lo spear phishing è l’attacco di social engineering più diffuso in Italia. In particolare, nel corso di un anno, gli italiani hanno subito oltre 1 milione di attacchi di spear phishing. Di questi, circa il 20% ha portato a conseguenze significative per le aziende coinvolte.

Inoltre, gli esperti hanno rilevato che il tasso di successo degli attacchi di spear phishing è in media del 16% e cresce in modo costante. Il tasso di successo varia a seconda del settore: le aziende del settore finanziario (banche, assicurazioni, ecc.) sono più esposte all’attacco rispetto ad altri settori.

I ricercatori hanno poi evidenziato un maggior tasso di successo degli attacchi di spear phishing in caso di utilizzo di una tecnica di ingegneria sociale chiamata “pretexting”.

È emerso inoltre che la maggior parte degli attacchi avviene tramite campagne mirate a obiettivi specifici, come ad esempio i dipendenti chiave. Queste campagne sono veicolate grazie ad e-mail molto ben fatte e convincenti che promettono grandi vantaggi finanziari a fronte dell’apertura di un allegato o del clic su un link.

In conclusione, questa ricerca ha dimostrato che sono necessarie misure adeguate e una corretta cultura in materia di sicurezza informatica per prevenire gli attacchi di spear phishing in Italia. Le aziende devono investire sulla formazione dei dipendenti per trasmettere le competenze necessarie al riconoscimento degli attacchi di social engineering ed evitare conseguenze che potrebbero avere ripercussioni gravi sull’operatività dell’intera azienda.

L’ultima linea di difesa? Il fattore umano. Per prevenire un attacco di spear phishing, infatti, è necessario che tutti i dipendenti, a qualsiasi livello aziendale, siano in grado di identificare e-mail sospette e tecniche di phishing diffuse.

Una formazione adeguata deve fornire informazioni su come, ad esempio, riconoscere gli indirizzi e-mail mittenti sospetti, controllare link dannosi e prendere precauzioni quando si condividono le informazioni personali.

È inoltre importante che i dipendenti sappiano come segnalare eventuali tentativi di phishing sia all’interno che all’esterno dell’azienda.

Per proteggere l’azienda e i collaboratori è necessario investire non solo in formazione ma anche in tecnologie capaci di bloccare gli attacchi.

Le aziende devono quindi implementare strumenti di protezione come filtri antimalware e antivirus per prevenire l’accesso a siti web dannosi o l’invio di file infetti. Utilizzando queste misure preventive, le aziende sono in grado di proteggersi maggiormente da tentativi di attacco di spear phishing.

Il primo consiglio è investire sulla formazione dei dipendenti, affinché siano in grado di individuare e segnalare prontamente e-mail sospette. Una formazione continuativa, accompagnata da simulazioni di attacchi di phishing, è in grado di fermare molti attacchi reali e aiuta a identificare le aree maggiormente vulnerabili in azienda.

Inoltre, è fondamentale assicurarsi che tutti abbiano una chiara comprensione delle politiche di sicurezza informatica aziendale relative alle comunicazioni via e-mail. Le minacce di phishing possono essere neutralizzate se i dipendenti hanno disposizioni chiare sulle informazioni che non devono mai condividere o che non dovrebbero mai ricevere via e-mail.

È importante essere al corrente di eventuali tentativi di attacchi spear phishing diretti a specifiche persone. Gli attacchi spear phishing sono solitamente indirizzati a individui con informazioni particolari, come amministratori IT, responsabili finanziari o dirigenti di alto profilo.

La prima regola per proteggersi contro questo tipo di attacco? Conoscere gli elementi per identificare un’e-mail sospetta.

Alcuni degli indizi più comuni:

• utilizzo di domini sconosciuti
• invio di messaggi da indirizzi e-mail non ufficiali
• inserimento di link sospetti nella mail
• utilizzo di nome utente e password simili a quelle utilizzate per accedere alla rete aziendale
• invio di messaggi che contengono informazioni riservate

Saper riconoscere le minacce e proteggere le informazioni sono le basi di partenza per costruire un’ottima strategia anti spear phishing.

Pianificare controlli periodici sulle reti aziendali alla ricerca di vulnerabilità e aggiornare periodicamente i software antivirus e anti-malware presenti sui sistemi operativi costituiscono un altro tassello fondamentale nella costruzione di un’ottima barriera anti-phishing.

Inoltre, implementare soluzioni tecnologiche avanzate contro gli attacchi spear phishing come l’autenticazione a due fattori, lo screening degli allegati in ingresso e in uscita e il rilevamento di oggetti nascosti all’interno dei software di posta elettronica aumenta ulteriormente il livello di sicurezza del perimetro aziendale.

Il whaling è la forma di phishing che rientra tra gli attacchi informatici più temuti a livello aziendale e ha come vittime i C-Level. La principale variante di questa tipologia di phishing ha come obiettivo principale quello di sottrarre dati ai vertici aziendali, informazioni che generalmente hanno un grado di sensibilità ancora più alto.

Il whale phishing, a differenza del phishing tradizionale, non si rivolge quindi a una vasta platea di possibili vittime: si tratta infatti di un attacco ancora più mirato, che viene indirizzato alle figure chiave dell’azienda.

Le informazioni più ambite dagli hacker? Password, dati bancari e documenti riservati.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Vuoi capire come difenderti al meglio dallo spear phishing? Contattaci per una consulenza ad hoc.

Una mail al mese sui temi più caldi della cybersecurity. Join us!

Compila il form per iscriverti alle nostre Cybernews