NEWS

Social, phishing e data breach: un sistema che si autoalimenta

Uno dei Cyber attacchi forse più “vecchi”, il phishing, non da segno di demordere, anzi il fenomeno è in costante aumento.  Ma non si tratta più delle vecchie email dove il “famoso” principe nigeriano promette ricompense milionarie in cambio di un piccolo anticipo da depositare sul suo conto. Oggi, i Criminal hacker si sono evoluti e sempre di più prendono di mira gli utenti mobile attraverso molteplici vettori come sms, piattaforme di messaggistica istantanea, social-media e qualsiasi altra app che consente la condivisione di link.

Si evolvono costantemente le strategie degli hacker


E, grazie al fatto che gran parte delle nostre informazioni personali è ora online, gli aggressori possono personalizzare questi attacchi in modo da renderli molto più difficili da individuare e quindi con maggiori probabilità di successo.

I social media sono nati per connetterci con chi conosciamo, ma anche con quelle persone con cui condividiamo interessi, passioni o ambiti lavorativi (si veda LinkedIn). Per questo motivo i criminali informatici creano spesso falsi profili dove si fingono colleghi o conoscenti comuni per potersi connettere con voi e quindi accedere ai vostri dati personali.

Come se non bastasse, i truffatori spesso si uniscono a gruppi di social-media e pubblicano link dannosi a un sito che può essere utilizzato per raccogliere informazioni personali o credenziali di accesso.

Questi dati vengono poi utilizzati per lanciare attacchi di phishing contro un numero ancora maggiore di persone e organizzazioni.

Non sorprende quindi che il phishing sia ora responsabile di quasi un quarto di tutti i Data Breach…

Come la pandemia ha cambiato il paradigma - Anche prima delle condizioni straordinarie con cui tutti abbiamo fatto i conti qualche mese fa, lo Smart working – diffuso sempre di più anche nelle PMI – aveva messo in discussione i classici paradigmi di difesa del perimetro aziendale.

Ora, gli applicativi e i dati aziendali sono ovunque, su qualsiasi dispositivo o rete che i dipendenti utilizzano per lavoro, compresi gli endpoint personali e il Wi-Fi domestico.

La conseguenza di tutto questo è che il rischio di attacchi di phishing adesso deve essere gestito anche su dispositivi non aziendali, piattaforme social-media, applicazioni mobili.

All'inizio del lockdown, le aziende si sono concentrate principalmente sul mantenimento della produttività dei lavoratori a casa.

Pierguido Iezzi

(Nella foto: Pierguido Iezzi, Ceo e co-fondatore di Swascan)

Ma dopo lo stop estivo non c’è stato un ritorno “alla normalità”, con molti lavoratori che ancora prediligono il regime di lavoro “misto” tra ufficio e casa.

I criminali informatici di questo sono pienamente consapevoli e stanno realizzando i loro exploit di phishing di conseguenza.

Sanno che con poche informazioni su un dipendente e sulla sua azienda (che possono essere facilmente ottenute dai profili dei social-media), possono avviare una campagna di spear-phishing contro qualsiasi organizzazione.

Sappiamo, per esempio, che gli aggressori hanno utilizzato lo spear-phishing via mobile nell'attacco di Twitter del 15 luglio.

Ha contattato un dipendente di Twitter e, fingendosi un collega, è riuscito a ingannare quella persona per farle condividere le credenziali dell'utente suo bersaglio.

Il Criminal Hacker è stato poi in grado di falsificare il numero di telefono del dipendente di Twitter attraverso il Sim swap e probabilmente ha ottenuto le informazioni necessarie per impersonare il dipendente dai profili dei social-media.

Una volta che è stato in grado di reindirizzare il numero di telefono sul suo dispositivo, ha potuto intercettare le password una tantum (one time password o OTP) utilizzate per l'autenticazione multi fattore ed elevare rapidamente i suoi privilegi all'interno dell'azienda.

L'attacco di Twitter ha dimostrato che un Criminal hacker non ha bisogno di far parte di un'organizzazione criminale informatica globale per fare danni enormi.

E se questo attacco potesse avere successo contro un'azienda come Twitter, potrebbe probabilmente funzionare contro qualsiasi azienda, compresa la vostra.

Violazioni privacy sempre più complesse da parte dei cyber criminali

Non bastano le semplici misure - Affidarsi principalmente all’autenticazione multi fattore e alle OTP per fornire un accesso sicuro, non è di per sé sbagliato, me è facile capire come un Criminal hacker armato di dettagli chiave presi dagli account di social-media e di capacità di portare a termine un attacco Sim Swap possa facilmente bypassare questi i livelli di sicurezza.

Ecco perché non possiamo aspettarci che i dipendenti siano l’unica linea di difesa contro gli attacchi di phishing.

Pensateci: ogni giorno il loro lavoro consiste nell'aprire gli allegati e cliccare sui link inviati da collaboratori, clienti, partner, fornitori, e così via. Se dovessero mettere in discussione ogni link cliccabile inviato loro nel corso di una giornata di lavoro, quanto lavoro verrebbe effettivamente svolto? E quanta ansia si creerebbe nel processo?

Certo, le aziende devono assolutamente fornire training periodico per aiutare gli utenti a rimanere vigili contro gli attacchi di phishing, ma questo da solo potrebbe lasciare comunque spazio a delle debolezze. Se uniamo però il training con un approccio zero thrust alla Cyber Security vedremo sicuramente un netto miglioramento della resillience.

Questo approccio è un modello di sicurezza basato sul principio di mantenere rigidi controlli di accesso e di non fidarsi di nessuno per default, anche di quelli già all'interno del perimetro della rete.

Per esempio, le aziende devono garantire che i lavoratori in Smart Working possano accedere alle app aziendali solo da dispositivi gestiti dall'IT e non dall'iPad di famiglia o dallo smartphone del coniuge.

Questo elimina virtualmente il rischio di furto di credenziali e di intercettazione delle OTP e impedisce l'accesso ai dati aziendali da parte di dispositivi non gestiti o altrimenti compromessi.

Un approccio zero thrust può isolare la vostra azienda dalla vulnerabilità più persistente e pervasiva: l'errore umano.

Note sull'Autore

Pierguido Iezzi Pierguido Iezzi

CyberSecurity Director, Digital Innovation Manager, co-fondatore di Swascan

Prev L’Irlanda vieta a Facebook di inviare i dati personali dei suoi utenti irlandesi negli Usa
Next Dipendenti infedeli dell'agenzia delle entrate vendevano i dati dei contribuenti agli investigatori privati

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy