Mentre le cyber minacce diventano più subdole e capaci di eludere le difese, occorre educare alla navigazione web sicura.
“Dal rapporto di Proofpoint emergono due aspetti preoccupanti”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “il crescente livello di sofisticazione degli attacchi e la tendenza degli utenti a sottovalutare le minacce pur essendone consapevoli“.
Dunque, la consapevolezza non manca, ma serve maggiore formazione.
Indice degli argomenti
Navigazione web sicura: le lacune dei lavoratori
Secondo il report State of the Phish 2023 condotto da Proofpoint, che mette sotto la lente lo scenario delle minacce del 2022, è altissima la percentuale dei lavoratori ha compiuto almeno un’azione a rischio.
Investi nel futuro: scopri perché la formazione è cruciale per le PMI. Scarica il whitepaper!
“Preoccupa infatti l’impatto soprattutto nel contesto aziendale, con oltre un terzo dei lavoratori che ha compiuto almeno un’azione rischiosa, come cliccare su un link malevolo“, avverte Paganini: “Questi comportamenti sono la causa della quasi totalità del successo degli attacchi di cui abbiamo notizia. Aprire un allegato apparentemente innocuo o cliccare su un link in una mail sono azioni che possono dare il via ad un processo di infezione e conseguentemente compromissione dei nostri sistemi”.
Inoltre, “dal rapporto emerge che ancora troppi lavoratori non conoscono i fondamentali di cyber security né le metodiche di attacco. Oltre il 60% dei lavoratori non sa che il testo del link di una mail potrebbe non corrispondere al sito web su cui atterra, e questo è decisamente imbarazzante quanto pericoloso”.
“Proprio le operazioni di routine“, mette in guardia l’esperto di cyber sicurezza, “quelle che quotidianamente si compiono al lavoro o a casa, sono quelle prese di mira dagli attaccanti“.
Il phishing mina la navigazione web sicura
Alcune lacune di conoscenza risultano allarmanti. La ricerca dimostra che l’84% delle aziende ha subito un attacco di phishing nel 2022, nella maggior parte dei casi in seguito a click avventati su elementi pericolosi, da parte di utenti distratti o inconsapevoli.
“Nel compiere tali operazioni online”, continua Paganini, “la maggior parte di utenti abbassa la guardia a causa di un errato senso di sicurezza dovuto alla ripetitività di operazioni come pagamenti o accessi a servizi online. Nel compiere tali operazioni online, la maggior parte di utenti abbassa la guardia a causa di un errato senso di sicurezza dovuto alla ripetitività di operazioni come pagamenti o accessi a servizi online”.
Le persone rappresentano la prima linea di cyber difesa aziendale, proprio perché passano molto tempo sul web. Ma le minacce sono sempre più sofisticate: si spazia dai chatbot alimentati dalla IA come ChatGPT al phishing Multi-Factor Authentication (MFA), fino ad attacchi Browser-in-the-Browser (BitB).
Ecco i pericoli più insidiosi.
Chatbot AI
Le chatbot basate su intelligenza artificiale (AI) sono popolari, da ChatGPT a Microsoft Bing, fino a Google Bard. Gli utenti potrebbero digitare informazioni personali nel browser, per rispondere a una chatbot AI. Ma, come con le iniezioni bancarie, ogni trasmissione di dati sensibili potrebbe finire nel mirino di attaccanti. Le chatbot raccolgono i dati per migliorare le loro prestazioni e personalizzare le interazioni, sollevando anche problemi di privacy riguardo alle informazioni di identificazione personale (PII). Se l’archiviazione dei dati non avviene in modo sicuro o crittografata adeguatamente, accessi non autorizzati potrebbero causare furti di identità o violazioni.
Le tecniche di phishing MFA
Inoltre le tecniche di phishing MFA “man-in-the- middle” stanno evolvendo per rubare i token MFA. Una volta indotta ad accedere a pagine contraffatte con reverse proxy per visualizzare l’interfaccia di login di un servizio legittimo, la vittima crede che l’accesso sia normale, ma il reverse proxy intercetta e ruba il token appena l’utente digita il codice MFA e le altre credenziali. A questo punto l’aggressore è in grado di aggirare il livello di sicurezza MFA, entrando nell’account con la possibilità di accedere a dati sensibili, informazioni personali e finanziarie, rubare l’identità o utilizzare l’account per accedere ad altri sistemi e dati privati.
Attacchi browser-in-the-browser (BitB)
Gli attacchi browser-in-the-browser (BitB) infine sono una subdola forma avanzata di phishing delle credenziali. La tecnica coinvolge una pagina di phishing convincente e una finta finestra pop-up di Single Sign On (SSO), che appare quando la vittima desidera di accedere a un servizio con le credenziali di siti affidabili come Google, Apple o Twitter. Il falso login SSO sfrutta una modifican del codice del sito web di phishing per introdurre un’altra pagina web separata e incorporata in quella malevola. Se l’utente immette le proprie credenziali per il sito legittimo, l’aggressore le raccoglie, guadagnando l’accesso a un componente chiave dell’identità digitale della vittima.
Come mitigare i rischi cyber
Per proteggere la propria navigazione web sicura, bisogna prestare attenzione ad elementi insoliti:
- popup che si travestono da messaggi del browser, ma chiedono di installare o aggiornare un software;
- download gratuiti (film, musica o video) che celano software malevolo;
- offerte allettanti gratuite con richiesta di informazioni personali in cambio di un omaggio;
- la presenza di brand noti che creano le’effetto di un falso senso di sicurezza: il nome è riconoscibile, ma se le immagini non sembrano legittime, è meglio diffidare;
- il nome del dominio principale del sito appare corretto (ad esempio “microsoft.com”), ma il resto dell’URL presenta parole o ortografia insolite;
- URL che si trovano nei risultati di ricerca ma non sono link legittimi;
- altri URL abbreviati da servizi come Bitly e TinyURL in grado di mascherare la vera identità di un link;
- messaggi di avviso del browser che segnalano che un sito è insicuro o non può essere autenticato;
- opzioni del browser sospette dove è assente il certificato di sicurezza;
- un sito che chiede di inserire informazioni sensibili o finanziarie.
Il Cybersecurity Awareness Month, che ogni anno cade ad ottobre, è una buona iniziativa. Ma non basta.
“È cruciale investire in formazione per innalzare il livello di sicurezza e resilienza delle nostre imprese”, conclude Paganini: “Grazie alla formazione possiamo essere preparati a rispondere ai crescenti attacchi di ingegneria sociale, seppur concepiti con il supporto di una intelligenza artificiale generativa”.