Continua a crescere senza sosta il numero di cyber attacchi, che negli ultimi tre anni hanno avuto un incremento di 17 punti percentuali (dal 62% del 2014 al 79% del 2017). Una cifra, purtroppo, destinata ad aumentare ancora. Considerando che il 91% di questi attacchi utilizza la tecnica dello spear phishing, per sottrarre dati o per installare malware sul computer preso di mira, e del social engineering, che spinge l’utente a lanciare un file infetto o ad aprire un collegamento a un sito web infetto, tutti gli esperti concordano nell’attribuire al fattore umano (un errore, una distrazione, un clic su un link di phishing ecc.) il principale fattore abilitante (90%) dei cyber attacchi.
Indice degli argomenti
Attacchi mirati in aumento: i consigli degli analisti
Sono questi i numeri, preoccupanti, di cui si parla durante la seconda edizione di Hermeneut (Enterprises intangible Risk Management via Economic models based on simulation of modern cyber attacks), il progetto di ricerca europeo Horizon 2020 di cui Cefriel è partner, che propone un approccio innovativo alla sicurezza informatica e integra l’analisi tra costi e benefici alla valutazione delle vulnerabilità e probabilità di attacchi informatici e degli impatti economici sui beni immateriali aziendali. Il sistema stima chi potrebbe attaccare l’azienda, con quali tecniche e identifica quali asset sono a rischio e con che conseguenze economiche, per poi aiutare a identificare la soluzione più adatta al singolo caso. Il progetto è rivolto principalmente alle PMI, per aiutarle a comprendere e gestire i rischi cibernetici, i loro costi e pianificare le misure di contrasto, in modo facile. Secondo gli analisti, i criminal hacker puntano ormai sempre più spesso su attacchi altamente targettizzati, che ormai rappresentano il 60% del totale di tutte le violazioni informatiche rivolte verso aziende ed organizzazioni grandi e piccole. Stiamo parlano di quegli attacchi che agiscono a colpo sicuro in un’azienda e che minacciano non solo le infrastrutture critiche, ma anche e soprattutto gli asset intangibili o i beni immateriali come la reputazione del marchio e dell’azienda, la fidelizzazione dei clienti, i loro dati e la proprietà intellettuale, che rappresentano tra il 60% e l’80% del valore aziendale globale. Per ottenere una buona percentuale di successo, i criminal hacker scelgono quindi in maniera molto accurata le loro “vittime”, che di solito vengono selezionate per una elevata esposizione sui social (30%) a causa della loro suscettibilità al phishing. Nell’ottica criminosa degli attaccanti, i dipendenti rappresentano la categoria più esposta agli attacchi (23%) che vengono portati a compimento utilizzando le classiche email ingannevoli: un dato confermato dall’aumento del 36% in un anno del numero di messaggi di phishing. “Nel contesto degli attacchi che impiegano forme d’ingegneria sociale al fine di trarre in inganno le vittime, è inoltre importante menzionare anche la Business Email Compromise (BEC)“, ci dice Giorgio Di Grazia, Solution Sales Engineer F-Secure Italia. “La truffa prevede la compromissione degli account di posta elettronica di funzionari o dirigenti, oppure la contraffazione delle e-mail (attraverso tecniche di spoofing), allo scopo d’indurre i sottoposti ad effettuare trasferimenti di fondi”. “L’attacco implica da parte del truffatore un’approfondita analisi delle dinamiche della comunicazione aziendale”, prosegue l’analista, “per poi riprodurle in modo credibile. Un recente rapporto del FBI sulla BEC (“Business E-mail Compromise – The 12 Billion Dollar Scam”, luglio 2018) stima che le truffe perpetrate con questa modalità abbiamo comportato perdite per oltre 12 miliardi di dollari negli ultimi 5 anni”. Ecco, quindi, il suo consiglio: “in questi casi, la sola protezione del perimetro aziendale non è più sufficiente. Un attacco di spear phishing mirato può arrivare anche via social network, sfruttando l’assenza di strumenti di prevenzione. È necessario modificare la percezione del rischio dei dipendenti al fine di aumentarne la soglia d’attenzione. Il personale deve comprendere che la difesa non spetta solo ai colleghi dell’IT. Le campagne di sensibilizzazione devono giocoforza andare in questa direzione”.
Agire in tempo per contenere i danni
Il progetto di ricerca europeo Horizon 2020 ha inoltre messo in evidenza che tutti gli attacchi denunciati ed identificati hanno avuto un tempo medio di individuazione dell’infrazione informatica pari a 146 giorni a livello globale e pari a 469 giorni a livello EMEA. Questo vuol dire che i criminal hacker rimangono mediamente nascosti e liberi di agire per almeno 15 mesi. Mentre le stime sull’aumento di cyber minacce e sul numero di attacchi varia, le previsioni indicano che i danni per attacchi globali ammonteranno a circa 6 trilioni di dollari entro il 2021, rendendo il crimine informatico economicamente più dannoso del traffico di droga mondiale. “Il tasso di incremento degli attacchi, che vengono portati a compimento, mostra il raggiungimento di un elevato grado di automazione e sofisticazione raggiunto dagli stessi e solitamente basato su una combinazione ben architettata di spear phishing e social engineering. Gli attacchi moderni sono in generale decisamente elusivi e difficili da identificare, ma allo stesso tempo in grado di produrre profitto per chi li compie”, afferma Enrico Frumento, senior domain expert di Cefriel.
Difendersi dallo spear phishing e dal social engineering
Il progetto di ricerca europeo Horizon 2020 conferma dunque che un metodo di attacco “vecchio” come il phishing (e lo spear phishing in particolare) rappresenti ancora un vettore di diffusione del malware molto usato e apprezzato dai criminal hacker: e non potrebbe essere diversamente visti i profitti miliardari che le campagne malevoli di social engineering possono garantire a fronte di investimenti economici bassissimi. In questi casi, la regola principale per difendersi è che nessuno può tutelare le nostre informazioni (in questo caso quelle aziendali) meglio di noi stessi. Per questo è necessario creare dati con cura, gestirli con cura e diffonderli il meno possibile. Ecco quindi una breve guida pratica per non cadere nella trappola del phishing:
- controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser;
- prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso;
- usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i wi-fi pubblici, senza una password di protezione. Se vogliamo una maggiore sicurezza, abbiamo l’opportunità di installare VPN che possono cifrare il traffico. Perché va ricordato sempre che in caso di utilizzo di una connessione non sicura, i cybercriminali possono reindirizzarci, senza essere visti, a pagine di phishing;
- controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo;
- non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email.
Vista la particolare tipologia di attacco è importante, inoltre, mantenere alto il livello di consapevolezza dei propri dipendenti attuando azioni di mitigazione e informative, avvisandoli periodicamente delle minacce in corso. Utile, infine, utilizzare un team di esperti in grado di salvaguardare la sicurezza del perimetro “cyber” dell’azienda.
