Nell’era digitale, le interazioni umane sono state progressivamente sostituite da automazioni online. Siamo così abituati a dipendere dai computer per eseguire le nostre attività personali e professionali, che gli attaccanti stanno sfruttando sempre più questo meccanismo di fiducia implicita per ottenere guadagni in modo illecito.
Viviamo in un’era di connettività e comodità senza precedenti. La nostra vita quotidiana è permeata dalla tecnologia: la utilizziamo per lo shopping online, nella gestione delle nostre finanze, per l’elaborazione di documenti sul posto di lavoro o per la ricerca di risposte alle nostre domande. Poiché facciamo grande affidamento sulla tecnologia, ormai ci fidiamo maggiormente dei computer che delle altre persone.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Gli attaccanti prendono di mira la nostra fiducia digitale
Proviamo a pensare a questo: chi risponde più velocemente a una domanda urgente, un motore di ricerca o la persona accanto a noi? Quale risposta è più affidabile?
La fiducia digitale (all’inglese digital trust) è definita dalla confidenza che riponiamo nella tecnologia, nelle piattaforme online e nelle organizzazioni che le controllano.
Si parte dal presupposto che le informazioni siano sicure, le nostre interazioni online siano private e che i sistemi su cui facciamo affidamento funzioneranno come previsto.
La tendenza a fidarci di ciò che vediamo sui nostri schermi, e a non pensare troppo a fondo a ogni collegamento su cui clicchiamo, rappresenta proprio il punto debole che oggi gli attaccanti prendono sempre più di mira.
SEO poisoning: una nuova tecnica di attacco
L’intento di un attaccante è proprio quello di sfruttare le nostre emozioni e indurci a fare clic su link malevoli. Ecco perché il SEO poisoning, ossia lo sfruttamento malevolo dei motori di ricerca è stata una delle tecniche più utilizzate dagli attaccanti nel 2023.
Come evidenziato nel recente Cloud and Threat Report: Top Adversary Tactics and Techniques di Netskope, gli attaccanti sono in grado di creare pagine Web che appaiono come primo risultato per ricerche effettuate su motori come Bing e Google, spesso prendendo di mira specifiche fasce di utente e utilizzando parole chiave che difficilmente generano molti risultati (data void).
Inoltre, gli attaccanti possono fare in modo che i loro collegamenti malevoli appaiano nella prima pagina dei risultati di ricerca come annunci pubblicitari (malvertising) e proprio grazie alla loro posizione ben visibile nella parte alta della pagina e alla promozione da parte del motore di ricerca, gli utenti daranno per assodato che quel collegamento alla pagina web sia sicuro.
Nel primo trimestre del 2023, i motori di ricerca hanno rappresentato quasi il 10% di tutti i referrer di download di malware, con Google in testa come piattaforma più pericolosa con un ampio margine data la sua posizione dominante tra i motori di ricerca.
Come difendersi e non perdere la nostra fiducia digitale
In questo scenario, come possiamo proteggerci prima che sia troppo tardi?
Dobbiamo rivedere il nostro comportamento e frenare i nostri impulsi nel fare clic su collegamenti che ci attraggono ma che in realtà sono pericolosi.
Se una pagina web offre una versione gratuita di un prodotto, un software o un servizio che solitamente è costoso, la sicurezza della tua azienda potrebbe essere il prezzo da pagare.
Prima di fare clic su un dominio mai visto prima, per effettuare una certa attività, occorrerebbe chiedersi se esista una risorsa alternativa, consolidata, da utilizzare per completare quell’attività.
Sfortunatamente, gli attaccanti non fanno affidamento solo sul SEO poisoning (avvelenamento dell’ottimizzazione per i motori di ricerca) per sfruttare a loro vantaggio la fiducia che riponiamo verso il digitale e verso i marchi.
Per esempio, lo spear phishing, che prende di mira una vittima specifica mascherandosi da fonte attendibile, come un servizio cloud legittimo, è un’altra tecnica di attacco comunemente utilizzata. L’analisi di Netskope ha rilevato che gli utenti cliccano più frequentemente su collegamenti di phishing mascherati da applicazioni cloud: fino al 33% di questi collegamenti malevoli apparivano come prodotti Microsoft.
I principali gruppi criminali russi di tipo state sponsored, APT28 e APT29, sono noti per sfruttare ripetutamente la fiducia digitale degli utenti nei servizi cloud per violare le reti aziendali. Microsoft, ad esempio, ha identificato il gruppo APT29 come l’autore di un flusso di attacchi diretti verso Microsoft Teams all’inizio del 2023.
La forte incidenza e il tasso di successo di questi gruppi di attacco dimostrano come siano lontani i tempi in cui gli attaccanti lavoravano da soli in una stanza buia (anche se questa tipologia di attaccanti solitari esiste ancora).
Molti gruppi di criminalità informatica sono strutturati in vere e proprie organizzazioni molto sofisticate, che operano come parte di team efficienti in uffici ben illuminati. Proprio come i link di phishing che installano, sono sempre più difficili da individuare. APT29 ha anche utilizzato la fiducia in applicazioni di terze parti (OAuth app) per lanciare una campagna su scala globale alle fine del 2023 che ha coinvolto vittime di alto profilo in tutto il mondo.
Conclusioni
Agli albori di Internet, i team informatici si preoccupavano di insegnare ai dipendenti come individuare le e-mail di phishing.
Proprio come abbiamo imparato a bloccare email fasulle con messaggi che sembrano provenire da un principe nigeriano, gli attaccanti hanno compreso che avrebbero avuto più successo falsificando qualcosa di più realistico, come una ricevuta online di una consegna o un messaggio sui social media.
Gli attacchi oggi sono più diffusi, più evasivi, più sofisticati e agiscono attraverso più canali.
Allo stesso modo dobbiamo rispondere con maggiore consapevolezza delle potenziali minacce per non rischiare di diventare vittime di queste nuove forme di attacchi.