Usare le comunicazioni elettroniche per sottrarre dati sensibili o installare malware non è cosa nuova. Lo spear phishing non guarda davvero in faccia a nessuno e usa anche argomenti poco ortodossi per irretire le vittime designate.
Capire come funziona e come si propaga è utile per farsi trovare preparati perché, come vedremo, nonostante la bassa incidenza rispetto ad altri attacchi, riesce a causare danni da non sottovalutare. Per dare un’idea più chiara della natura e della portata dello spear phishing ci siamo rivolti a Kasperksy.
Attacchi informatici via e-mail: le soluzioni per ridurre rischi e danni
Indice degli argomenti
Cos’è lo spear phishing
È una truffa perpetrata mediante comunicazioni elettroniche indirizzate a un’azienda o anche a una persona e ha due obiettivi diversi, ossia sottrarre dati sensibili da riutilizzare in modo fraudolento oppure diffondere malware e le due cose, in molti casi, possono coincidere.
Nel caso più classico, il destinatario riceve un’email inviata apparentemente da una fonte attendibile, di norma una persona o un’azienda che conosce e che non ha modo di ritenere pericolosa. Seguendo i link contenuti nel testo dell’email, la vittima si ritrova a navigare su un sito web che diffonde malware. Una tecnica che mette a rischio chiunque e in qualsiasi contesto, possono cadere nel tranello anche esponenti governativi o persone ai vertici di imprese di qualsiasi grandezza.
Come detto, non è una minaccia nuova e chi vi ricorre non esclude le tecniche di diffusione più subdole. Nel 2013 una campagna spear phishing ha catturato l’attenzione delle potenziali vittime inviando email che sembravano veramente provenire dal National Center for Missing and Exploited Children, ente no profit che si occupa della protezione dell’infanzia.
Sono attacchi di norma sferrati da hacktivisti e da cyber criminali, questi ultimi più interessati a rivendere i dati riservati di cui riescono a entrare in possesso o di impadronirsi di dati utili a penetrare le reti aziendali.
Il rapporto Barracuda
L’azienda di sicurezza Barracuda ha fotografato il fenomeno durante il 2022: il 50% delle aziende del campione esaminato è stato oggetto di un attacco spear phishing e, la metà di queste, ha subito la compromissione di almeno un account email.
Al di là dei numeri, il contorno è evocativo, tant’è che molte aziende fanno fatica a difendersi da questi attacchi proprio a causa della loro natura. Non si tratta di offensive fatte a una rete aziendale, a un database o a uno o più server, è un’offensiva estremamente personalizzabile, che può raggiungere qualsiasi dipendente di un’organizzazione.
Il report ha, prima di ogni altra cosa, fatto emergere una certa e inedita diffusione dello spear phishing, sostenendo che il 50% delle 1.350 aziende del campione preso in esame ne è stato oggetto ricevendo in media cinque email al giorno.
Attacchi che hanno un elevato tasso di successo tant’è che lo spear phishing rappresenta una piccola parte degli attacchi sferrati via email ma causano due terzi delle violazioni.
L’impatto, sempre secondo il rapporto, causa principalmente:
- macchine infettate con virus o malware (55%),
- furto di dati sensibili (49%),
- furto di credenziali di accesso (48%),
- danni economici diretti (39%).
Le aziende impiegano in media quasi 100 ore per rimediare allo spear phishing, sempre secondo il report, dedicandone 43 all’individuazione e 56 per la risposta e la remediation. Inoltre, le organizzazioni nelle quali si pratica lo Smart working denunciano un numero mediamente più alto di email sospette, fino a 12 al giorno.
Capire come proteggersi dallo spear phishing
Poiché si tratta di un attacco personalizzato, cioè che si indirizza molto spesso a singoli individui, la difesa può diventare più macchinosa. Fabio Sammartino, Head of Pre-Sales di Kaspersky spiega nel dettaglio che: “Lo spear phishing rientra nella categoria degli attacchi mirati e si caratterizza per l’attenta profilazione del soggetto da attaccare, che è stato oggetto di uno studio in termini di area lavorativa, contesto, tipologia di email solitamente ricevute e fornitori con cui è in contatto. A differenza degli attacchi di phishing generici, ormai facilmente riconoscibili per la qualità del testo delle comunicazioni veicolate o per alcuni caratteri distintivi, gli attacchi di spear phishing sono estremamente verticalizzati e per questo motivo più difficili da identificare”.
“L’utilizzo di approcci personalizzati e di tecniche di social engineering”, continua Sammartino, “sono i principali fattori di complessità. Inoltre, in molte occasioni si accompagnano all’attacco doppio canale che prevede l’utilizzo di un canale secondario, come ad esempio LinkedIn ma molto spesso il telefono, per instaurare un secondo contatto con la potenziale vittima. Inizialmente l’attaccante manda un’email con un testo personalizzato per indurre l’utente ad aprire un documento o collegarsi a un sito web da cui partono una serie di azioni. Grazie al secondo contatto, viene poi ulteriormente rafforzata la credibilità della prima comunicazione e gli utenti con poche competenze in materia di cyber security difficilmente riusciranno a riconoscere questa tipologia di attacchi, anche i dirigenti aziendali possono così trovarsi ad aprire email che pensavano fossero sicure”.
C’è un errore di fondo da evitare, ossia credere che proteggere i server di posta elettronica sia sufficiente a scongiurare lo spear phishing che usa le email come veicolo principale: “Nella strategia generale di difesa non bisogna tralasciare nulla perché non si sa da dove arriverà l’attacco e quale sarà il punto vulnerabile. Nel caso dello spear phishing difficilmente l’analisi tradizionale sarà in grado di rilevare un messaggio mirato, perché l’attaccante ha progettato un attacco volto a evadere i sistemi di sicurezza tradizionali che generalmente chiede all’utente di compiere qualche azione per attivarlo. Il server di posta elettronica è un primo elemento di difesa e permette di controllare direttamente il testo del messaggio, gli allegati, i link inseriti. Inoltre, si possono collegare diverse tecnologie di analisi del traffico di posta elettronica, come le sandbox o gli strumenti avanzati di rilevamento spam e phishing, ma non sono sufficienti”, spiega Sammartino.
Tutto il perimetro va protetto, sottolinea Sammartino: “Sicuramente anche la protezione degli endpoint è importante e nel caso dello spear phishing gioca un ruolo ancora più rilevante rispetto alla posta elettronica. Quando l’utente esegue un file, clicca un link o attiva uno script involontariamente sull’endpoint, gli elementi dei sistemi di protezione del device dovrebbero subentrare. In alcuni casi questi attacchi sono così ben congegnati che, anche l’endpoint può essere evaso o aggirato, non sono rari i casi in cui durante la telefonata l’attaccante chiede alla vittima di spegnere l’antivirus”.
“È importante utilizzare una soluzione di protezione per gli endpoint e i server di posta elettronica con funzionalità anti-phishing per ridurre le possibilità di infezione attraverso un’email. Inoltre, se si utilizza il servizio cloud Microsoft 365, anch’esso deve essere protetto. Il consiglio è di implementare una soluzione che abbia un antispam e un anti-phishing dedicati, oltre alla protezione per le app SharePoint, Teams e OneDrive per comunicazioni aziendali sicure”, è il consiglio dell’analista di Kaspersky.
Spear phishing: le armi di difesa più affilate
In conclusione, occorre proteggere ogni singolo dispositivo aziendale, fisso o mobile che sia. Tuttavia, le tecniche di difesa tradizionali possono essere insufficienti. Allora, quale approccio adottare?
“In termini di prevenzione l’azione più efficace è la cyber security awareness sugli utenti finali. La sicurezza tradizionale spesso non riesce a fermare gli attacchi di spear phishing perché l’elevata personalizzazione li rende difficili da individuare. L’errore di un dipendente può però avere gravi conseguenze per le aziende. Con i dati rubati, i truffatori possono rivelare informazioni sensibili dal punto di vista commerciale, manipolare i prezzi delle azioni o commettere azioni di spionaggio“.
Inoltre, continua ancora Sammartino, “gli attacchi di spear phishing possono distribuire malware per dirottare i computer, organizzandoli in botnet che possono essere utilizzate per attacchi di denial of service. Per questo motivo, le aziende dovrebbero investire in sessioni di formazione per insegnare a riconoscere questi attacchi, caratterizzati da pattern ben precisi e sofisticati, ma che solitamente chiedono di eseguire sempre le stesse azioni”.
“Oltre alla formazione, è necessaria una tecnologia che si concentri sulla sicurezza delle email. Ad esempio, un’azienda può organizzare training di cyber security hygiene e condurre un attacco di phishing simulato per assicurarsi che i dipendenti sappiano distinguere email di phishing da quelle legittime”, conclude Fabio Sammartino.
