Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

sicurezza informatica

Truffe cyber in azienda, come combattere lo “spear phishing”

di Gerardo Costabile, DeepCyber

03 Ott 2017

3 ottobre 2017

Sono in crescita in Italia gli attacchi di phishing mirati ai vertici aziendali. Ecco perché la sicurezza è una forma mentis e com l’H-Factor, il troppo spesso sottovalutato “fattore umano”, può vanificare molti investimenti in termini di sicurezza

Anche in Italia nell’ultimo anno, come noto tra gli addetti ai lavori, si è registrata una recrudescenza degli attacchi mirati ai vertici aziendali, per scopi principalmente di cyber spionaggio o frodi finanziarie, utilizzando tecniche di ingegneria sociale ed in particolare di cosiddetto spear phishing. L’ultimo recente caso ha riguardato un dirigente di Confindustria, che è stato spinto a fare un bonifico di mezzo milione di euro.

Tali attacchi sono i più “affascinanti”, in quanto l’ingegneria sociale è l’arte di manipolare le persone attraverso l’interazione, per ottenere accesso non autorizzato a risorse o per spingere qualcuno a fare qualcosa. Talvolta è molto più facile carpire le informazioni sfruttando approcci “social” che attraverso attacchi tecnologici diretti.

Sul piano generale, è facile notare che quando si sviluppano amicizie e fiducia, si è maggiormente propensi a rivelare e discutere informazioni, incluse informazioni sul posto di lavoro. Una piccola quantità di conoscenze involontariamente divulgate durante una conversazione, può consentire di agevolare un comportamento illecito di un terzo. Ad esempio, raccontare, in un contesto amichevole, di non usare il badge per farsi riconoscere dalla vigilanza all’ingresso con l’auto, ma di alzare semplicemente la mano, sorridere con disinvoltura e sicurezza per entrare nel parcheggio aziendale, è certamente un’informazione “rischiosa” (fermo restando il processo, inadeguato, che andrebbe modificato, come diremo successivamente). Lo stesso potrebbe avvenire anche solo osservando, per qualche ora, l’ingresso di una azienda. Si tratta spesso di rischi che possono essere noti alla maggior parte dei dipendenti, ma raramente riportati o gestiti in modo efficace, alimentando un mindset sulla sicurezza aziendale di fatto disinteressato o nella peggiore ipotesi scorretto.

Al di là degli aspetti generali di ingegneria sociale, il comportamento dei dipendenti, dei manager, dei fornitori, ha una sua veste anche digitale. I social network forniscono opportunità di relazionarsi, di migliorare la propria rete di business e quindi vengono spesso inserite informazioni precise sul tipo di lavoro, sul contesto lavorativo e talvolta anche su vicende proprie o di terzi come la sopra indicata vulnerabilità all’ingresso del parcheggio aziendale. Questa attività di cyber intelligence, da parte degli attaccanti, consente di focalizzare al meglio gli attacchi e di tentare azioni di spear phishing.

 

Phishing e spear-phishing

Il Phishing è una tecnica di attacco tipica del social engineering condotta generalmente tramite email o altri mezzi di comunicazione. Ha l’obiettivo di ingannare un utente in modo da fargli compiere un’azione che, se realmente consapevole, non compirebbe. Le tipiche email di phishing sono inviate a moltissimi destinatari, poiché l’attaccante è più confidente che, sui grandi numeri, qualcuno “abboccherà”. In Italia, i primi casi di phishing in ambito bancario e finanziario sono iniziati nel maggio 2005 e, nonostante la lingua inglese o l’italiano poco corretto, furono molte le vittime di questo tipo di frodi, con alti e bassi negli anni successivi. Negli anni, oltre che affinare le tecniche e migliorare la qualità delle email, anche gli attaccanti sono evoluti (di concerto con i livelli di sicurezza delle banche), in modo da unire tecniche di phishing con attacchi più cyber, ovvero finalizzati ad infettare i device dei clienti (computer, tablet o cellulari).

Più recentemente, come anticipato, sul piano aziendale sono numerosi i casi di spear phishing (spear = arpione), ovvero un attacco di social engineering diretto, invece, a pochissime persone (spesso una persona identificata) e costruito ad hoc per cercare di ingannare le vittime.

L’attaccante si procura le informazioni che riguardano la vita o l’attività lavorativa della vittima (ad esempio tramite i social media come Facebook e Linkedin) e della propria cerchia professionale, predisponendo un’email generalmente più curata, sia nella forma che nel contenuto e inviando il messaggio falsificando l’indirizzo mittente (ad esempio può utilizzare l’indirizzo email di un capo ufficio, o dell’amministratore delegato di una società con cui si hanno rapporti commerciali o di un fornitore noto). Queste email possono contenere link fasulli o allegati infettati da virus (anche un “semplice” curriculum finto, evidentemente infetto). Tuttavia, gli attaccanti possono anche richiedere operazioni apparentemente legittime nello stesso testo dell’email come, ad esempio, l’esecuzione di un bonifico, sfruttando la posizione di CEO nei confronti di un dirigente dell’Amministrazione, o il pagamento di una fornitura su un conto corrente diverso da quello registrato nell’anagrafica aziendale.

Gli attacchi di spear phishing, se non filtrati dai sistemi di sicurezza aziendali, sono utilizzati anche come tecnica di infezione di ransomware, la famiglia di noti malware progettati per chiedere un riscatto (ransom). Questi malware, dopo essersi installati sul computer, iniziano a cifrare con algoritmi di crittografia molto robusti tutti i documenti presenti sull’hard disk (e anche quelli presenti su eventuali cartelle di rete a cui il PC può accedere). Al termine di questa operazione, mostrano un messaggio che invita l’utente a pagare un riscatto (ad esempio in euro, dollari o bitcoin) per ottenere la chiave necessaria a decifrare i propri file.

Questo che segue è un esempio reale di una email di spear phishing ricevuta da chi vi scrive, con un malware per cyberspionaggio nell’allegato di word (sfruttando una recente vulnerabilità di office).

Al di là delle esperienze personali, sul fronte statistico, i dati delle analisi relative all’ultimo anno, forniti da PhishLabs, indicano un aumento in Europa e negli Stati Uniti degli attacchi di phishing, rispetto al periodo precedente. In realtà, al di là del numero generale che può portare l’analista su considerazioni non corrette, si sta solo cambiando il target e country di riferimento. Non più invii indiscriminati a grandi quantità di utenti ma email mirate a specifici servizi e persone.

2017 PHISHING TRENDS & INTELLIGENCE REPORT (Phishlabs)

 

L’Italia, in ogni caso, risulta essere uno dei target principali delle campagne di Phishing. Sul piano aziendale, i più moderni modelli organizzativi prevedono una cosiddetta “segregation of duty”, ovvero un insieme di processi e di profili tecnici sulle applicazioni che possano ridurre sia il rischio di frodi interne sia, al contempo, eventuali frodi esterne con la complicità inconsapevole di dipendenti.

Nonostante questo, si registrano diversi casi di frode in Italia con questa tipologia di approccio e, senza destare molto rumore, negli ultimi mesi alcuni dirigenti sono stati anche licenziati per aver effettuato bonifici a Dubai o a Singapore in quanto i (falsi) fornitori avevano comunicato (con lo spear phishing), un cambio di conto corrente oppure per fare una “cortesia” al proprio Amministratore delegato (sempre falso, ovviamente), che li pressava per una fattura che allegava all’email.

 

I punti critici che impattano sul fattore umano

Questo tipo di attacchi, per sua natura, sfrutta alcuni punti critici che impattano sul fattore umano. Nonostante gli elevati livelli teorici che alcune aziende pensano di raggiungere in termini di protezione da queste minacce, l’H-Factor (Human Factor, spesso sottovalutato) può rendere fallaci molti investimenti in termini di sicurezza.

Gli elementi afferenti al fattore umano sono principalmente legati a questi aspetti:

  1. Inadeguata conoscenza delle tecnologie ed in particolare della cybersecurity, che porta alla presenza di grandi quantità di vulnerabilità. Sebbene la sicurezza informatica si basi su alcuni principi tradizionali di sicurezza, la velocità con cui le tecnologie emergenti vengono adottate in modo continuo crea più potenziali vulnerabilità nella cybersecurity.
  2. Inefficace identificazione e comunicazione sui rischi, che portano a ripetuti fallimenti della sicurezza;
  3. Cultura e debolezze nelle relazioni, sia nell’impresa stessa che in relazione ai fornitori chiave, “agevolando” la crescita di personale disinteressato e disattento;
  4. Inadeguatezza degli investimenti in formazione sulla sicurezza, che comporta di fatto un basso livello sulla consapevolezza dei rischi di sicurezza che dobbiamo gestire (al di là del team di esperti di cyber security interno, che sovente per passione segue canali di apprendimento paralleli a quelli aziendali);
  5. Utilizzare la fiducia in luogo delle procedure e dei processi aziendali, in particolare per l’accesso a informazioni, sistemi o dispositivi. È prassi, anche in ambito sicurezza, di utilizzare l’errore come un meccanismo di apprendimento. Solo dopo un incidente, un furto, un evento, riteniamo necessario attivare un progetto che possa prevedere tutti gli aspetti di prevenzione dell’evento, laddove dovesse ripetersi. Analogamente, in molte organizzazioni e specialmente in quelle che stanno crescendo, alcuni collaboratori sono considerati completamente affidabili. Sono sempre stati lì, hanno sempre fatto la cosa giusta e pensare a processi e procedure che si “allontanino” dal sistema di fiducia può sembrare un approccio costoso ed inutile.
  6. Assenza di un unico punto di responsabilità: quando più di una persona è responsabile, nessuno lo è realmente. Uno dei principi spesso sottovalutati, in ambito organizzativo, è quello che tutti i requisiti, i processi e le azioni critiche debbano avere una chiara “ownership” e tracciabilità ad una persona nell’organizzazione ben identificata (in questa direzione sta andando il regolamento privacy, con la figura del DPO).

E’ opportuno soffermarsi su alcuni punti, precedentemente indicati, per approfondire le dinamiche comportamentali o le azioni da intraprendere in ambito aziendale.

  • Inefficace identificazione e comunicazione sui rischi

I dipendenti spesso sono teoricamente consapevoli che esistono dei rischi che possono causare danni sostanziali ad un’organizzazione, ma di contro le segnalazioni provenienti dalle persone sono rare.

Ciò avviene di solito per uno dei seguenti tre motivi:

  1. il rischio non influisce direttamente sulla posizione, sulla dimensione o sugli obiettivi della persona. Questo è un esempio di pensiero “a silos”.
  2. Al contrario, il rischio può influire negativamente sul dipendente per conseguenze personali o di carriera, in quanto si possono mettere in discussione progetti, competenze, relazioni personali con colleghi e management.
  3. Se il processo di “risk escalation” non è adeguato, il destinatario di qualsiasi informazione sul rischio può essere più incline a sottostimarlo o rallentare il processo, piuttosto che comunicarlo e gestirlo.

In generale, ogni organizzazione che incoraggi attivamente il proprio personale ad identificare e segnalare i rischi in un quadro strutturato e formale di gestione dei rischi, creerà un’impresa più informata e meno vulnerabile. In particolare, un approccio che premi i principianti in questo processo di segnalazione evidenzia, da parte dell’azienda, un desiderio di miglioramento ed una cultura positiva in termini postura nella cybersecurity. Un’organizzazione chiusa, di contro, faciliterà nel silenzio un innalzamento delle vulnerabilità, attraverso il disinteresse generale dei propri dipendenti.

  • Inadeguatezza degli investimenti in formazione sulla sicurezza

Sul piano statistico, un esperto di cybersecurity investe circa il 30% del suo tempo professionale a leggere e conoscere nuove tecnologie e minacce. Si tratta di un investimento personale continuo e sostanziale per restare aggiornati, per non parlare delle certificazioni professionali rilasciate da enti terzi. Non si può certo pretendere, al contempo, uno sforzo così oneroso per gli altri soggetti all’interno dell’azienda o per i fornitori, ma è importante che un processo di aggiornamento continuo, di misurazione dei punti di forza e di debolezza del fattore umano abbia la giusta dignità ed importanza aziendale, in quanto non si tratta di un mero obbligo normativo, bensì può influire sulla tenuta generale della sicurezza.

I dipendenti, i fornitori ed anche i clienti devono essere consapevoli di come le loro azioni possono creare, mitigare o individuare un incidente di sicurezza. Chiunque abbia accesso ai sistemi digitali dell’azienda ha bisogno di formazione pratica e regolare su quali sono le minacce potenziali, come evitarle e come segnalare eventuali sospetti di attacco o violazione. I programmi di awareness sulla sicurezza devono includere contenuti specifici e pratici sulle minacce alla sicurezza per qualsiasi informazione o sistema digitale pertinente a cui una persona possa avere accesso.

Negli ultimi mesi, per far fronte a queste esigenze, sono evoluti gli approcci formativi sulla materia.

A tal fine, sono sempre più frequenti gli utilizzi di “simulatori”, di “gaming” per insegnare sia a meno tecnici che a specialisti i comportamenti negli scenari “reali” (piattaforme di importazione generalmente israeliana e statunitense). È possibile altresì simulare delle campagne di phishing e spear phishing interne, per verificare il livello di security awareness dei dipendenti.

La sicurezza è una forma mentis o, come si dice in forma più moderna, un “mindset”, quindi non è solo un insieme di nozioni o di formazione “classica”, bensì un processo continuo culturale che aiuta le persone (a prescindere se sono dentro l’azienda oppure a casa con la famiglia) ad avere una corretta “postura” della security.

 

Articoli correlati