Più education in ambito cyber: la formazione rende sicura la navigazione web

Mentre le cyber minacce diventano più subdole e capaci di eludere le difese, occorre educare alla navigazione web sicura.

“Dal rapporto di Proofpoint emergono due aspetti preoccupanti”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “il crescente livello di sofisticazione degli attacchi e la tendenza degli utenti a sottovalutare le minacce pur essendone consapevoli“.

Dunque, la consapevolezza non manca, ma serve maggiore formazione.

Navigazione web sicura: le lacune dei lavoratori

Secondo il report State of the Phish 2023 condotto da Proofpoint, che mette sotto la lente lo scenario delle minacce del 2022, è altissima la percentuale dei lavoratori ha compiuto almeno un’azione a rischio.

“Preoccupa infatti l’impatto soprattutto nel contesto aziendale, con oltre un terzo dei lavoratori che ha compiuto almeno un’azione rischiosa, come cliccare su un link malevolo“, avverte Paganini: “Questi comportamenti sono la causa della quasi totalità del successo degli attacchi di cui abbiamo notizia. Aprire un allegato apparentemente innocuo o cliccare su un link in una mail sono azioni che possono dare il via ad un processo di infezione e conseguentemente compromissione dei nostri sistemi”.

Inoltre, “dal rapporto emerge che ancora troppi lavoratori non conoscono i fondamentali di cyber security né le metodiche di attacco. Oltre il 60% dei lavoratori non sa che il testo del link di una mail potrebbe non corrispondere al sito web su cui atterra, e questo è decisamente imbarazzante quanto pericoloso”.

“Proprio le operazioni di routine“, mette in guardia l’esperto di cyber sicurezza, “quelle che quotidianamente si compiono al lavoro o a casa, sono quelle prese di mira dagli attaccanti“.

Il phishing mina la navigazione web sicura

Alcune lacune di conoscenza risultano allarmanti. La ricerca dimostra che l’84% delle aziende ha subito un attacco di phishing nel 2022, nella maggior parte dei casi in seguito a click avventati su elementi pericolosi, da parte di utenti distratti o inconsapevoli.

“Nel compiere tali operazioni online”, continua Paganini, “la maggior parte di utenti abbassa la guardia a causa di un errato senso di sicurezza dovuto alla ripetitività di operazioni come pagamenti o accessi a servizi online. Nel compiere tali operazioni online, la maggior parte di utenti abbassa la guardia a causa di un errato senso di sicurezza dovuto alla ripetitività di operazioni come pagamenti o accessi a servizi online”.

Le persone rappresentano la prima linea di cyber difesa aziendale, proprio perché passano molto tempo sul web. Ma le minacce sono sempre più sofisticate: si spazia dai chatbot alimentati dalla IA come ChatGPT al phishing Multi-Factor Authentication (MFA), fino ad attacchi Browser-in-the-Browser (BitB).

Ecco i pericoli più insidiosi.

Chatbot AI

Le chatbot basate su intelligenza artificiale (AI) sono popolari, da ChatGPT a Microsoft Bing, fino a Google Bard. Gli utenti potrebbero digitare informazioni personali nel browser, per rispondere a una chatbot AI. Ma, come con le iniezioni bancarie, ogni trasmissione di dati sensibili potrebbe finire nel mirino di attaccanti. Le chatbot raccolgono i dati per migliorare le loro prestazioni e personalizzare le interazioni, sollevando anche problemi di privacy riguardo alle informazioni di identificazione personale (PII). Se l’archiviazione dei dati non avviene in modo sicuro o crittografata adeguatamente, accessi non autorizzati potrebbero causare furti di identità o violazioni.

Le tecniche di phishing MFA

Inoltre le tecniche di phishing MFA “man-in-the- middle” stanno evolvendo per rubare i token MFA. Una volta indotta ad accedere a pagine contraffatte con reverse proxy per visualizzare l’interfaccia di login di un servizio legittimo, la vittima crede che l’accesso sia normale, ma il reverse proxy intercetta e ruba il token appena l’utente digita il codice MFA e le altre credenziali. A questo punto l’aggressore è in grado di aggirare il livello di sicurezza MFA, entrando nell’account con la possibilità di accedere a dati sensibili, informazioni personali e finanziarie, rubare l’identità o utilizzare l’account per accedere ad altri sistemi e dati privati.

Attacchi browser-in-the-browser (BitB)

Gli attacchi browser-in-the-browser (BitB) infine sono una subdola forma avanzata di phishing delle credenziali. La tecnica coinvolge una pagina di phishing convincente e una finta finestra pop-up di Single Sign On (SSO), che appare quando la vittima desidera di accedere a un servizio con le credenziali di siti affidabili come Google, Apple o Twitter. Il falso login SSO sfrutta una modifican del codice del sito web di phishing per introdurre un’altra pagina web separata e incorporata in quella malevola. Se l’utente immette le proprie credenziali per il sito legittimo, l’aggressore le raccoglie, guadagnando l’accesso a un componente chiave dell’identità digitale della vittima.

Come mitigare i rischi cyber

Per proteggere la propria navigazione web sicura, bisogna prestare attenzione ad elementi insoliti:

1. popup che si travestono da messaggi del browser, ma chiedono di installare o aggiornare un software;
2. download gratuiti (film, musica o video) che celano software malevolo;
3. offerte allettanti gratuite con richiesta di informazioni personali in cambio di un omaggio;
4. la presenza di brand noti che creano le’effetto di un falso senso di sicurezza: il nome è riconoscibile, ma se le immagini non sembrano legittime, è meglio diffidare;
5. il nome del dominio principale del sito appare corretto (ad esempio “microsoft.com”), ma il resto dell’URL presenta parole o ortografia insolite;
6. URL che si trovano nei risultati di ricerca ma non sono link legittimi;
7. altri URL abbreviati da servizi come Bitly e TinyURL in grado di mascherare la vera identità di un link;
8. messaggi di avviso del browser che segnalano che un sito è insicuro o non può essere autenticato;
9. opzioni del browser sospette dove è assente il certificato di sicurezza;
10. un sito che chiede di inserire informazioni sensibili o finanziarie.

Il Cybersecurity Awareness Month, che ogni anno cade ad ottobre, è una buona iniziativa. Ma non basta.

“È cruciale investire in formazione per innalzare il livello di sicurezza e resilienza delle nostre imprese”, conclude Paganini: “Grazie alla formazione possiamo essere preparati a rispondere ai crescenti attacchi di ingegneria sociale, seppur concepiti con il supporto di una intelligenza artificiale generativa”.