Ricerca: l'efficacia delle campagne di phishing

Secondo l'ultimo rapporto Clusit (ottobre 2020) i fenomeni del social engineering e del phishing sono in continua crescita. Il social engineering, anziché sfruttare vulnerabilità nei sistemi per penetrare in una rete aziendale o sottrarre informazioni, sfrutta "le vulnerabilità" umane e l'innata fiducia delle persone verso il prossimo. Il phishing declina questa tipologia di attacco sulla posta elettronica.

In particolare, per quanto riguarda il phishing, ormai da tempo è preponderante il fenomeno dello "spare phishing" ovvero l'utilizzo di e-mail il cui contenuto è personalizzato per il bersagli da attaccare.

Le e-mail quindi si potrebbero presentare come una comunicazione interna con indirizzo e nomi simili a quelli reali, oppure potrebbero essere legate agli strumenti di collaborazione aziendali come Microsoft Teams, Zoom, OneDrive for Business o Dropbox.

Gli attaccanti solitamente fanno leva sui temi dell'urgenza (necessità di effettuare operazioni urgenti) o sull'ottenimento di una ricompensa (buoni sconto come premio per le attività svolte), ecc.

Nel 2020 questi attacchi hanno trovato terreno ancora più fertile a causa della pandemia, principalmente per due motivi: innanzitutto il passaggio massivo al lavoro da remoto ha comportato una sorta di abbandono dell'utente, che si trova senza un riferimento tecnico a cui chiedere consiglio. In secondo luogo il continuo cambiamento delle regole e le varie novità nell'evoluzione dell'emergenza hanno comportato un aumento esponenziale delle comunicazioni da parte delle istituzioni, rendendo più semplice per gli attaccanti "nascondere" una mail fraudolenta nella massa delle email legittime.

Per sensibilizzare le organizzazioni e allo stesso tempo analizzare la situazione italiana abbiamo deciso di promuovere per il mese di ottobre e novembre all'interno dell'iniziativa europea del "Cybersecurity Month" la possibilità di accedere a delle simulazioni di phishing gratuite. 

Le campagne di phishing erogate sono state a tema Covid-19 e collaboration. Nel primo caso il corpo della mail invitava a prendere visione delle nuove direttive aziendali in tema di sicurezza sul posto di lavoro introdotte dopo un nuovo DPCM. La mail chiedeva di aprire l'allegato presente nella mail. Per questa campagna, abbiamo deciso di non richiedere all'utente l'inserimento delle credenziali per accedere al file (attività comunque fattibile dalla nostra piattaforma di awareness).

Il tema della seconda campagna era rivolto invece all'utilizzo degli strumenti aziendali, la mail riprendeva il layout utilizzato da Microsoft per la notifica di una nuova condivisione OneDrive. La mail chiedeva quindi di accedere al link per visualizzare il documento condiviso.

In tutti i casi le mail sono state personalizzate in funzione dell'organizzazione da testare, esattamente come farebbero gli attaccanti, utilizzando domini e mittenti simili a quelli reali.

I risultati sono stati sorprendenti: a fronte di un migliaio di utenti quasi il 50% non solo ha aperto la mail ma ha anche aperto l'allegato o cliccato sul link presente nella mail.

Questo significa che, se fosse stato un attacco reale, la probabilità di danno per l'organizzazione sarebbe stata estremamente elevata se non certa. Le conseguenze sarebbero potute essere la cifratura dei dati aziendali, qualora l'allegato fosse stato un ransomware non riconosciuto dai sistemi di endpoint security, il furto di identità e la conseguente possibilità di accedere ai sistemi informatici, se seguendo il link presente nella mail fossero state richieste le credenziali oppure l'esecuzione di bonifici verso conti offshore (Tecnimont truffata, la mail del capo era falsa: persi 17 milioni di dollari - Corriere.it), qualora il tema della mail fosse stato la richiesta di pagamento da parte di un fornitore.

Ma quindi come possiamo proteggerci? Esistono delle soluzioni per scongiurare questi attacchi?

La risposta è ovviamente sì, ma non attraverso la tecnologia e gli strumenti tradizionali.

Gli attacchi di phishing e social engineering dovrebbero essere considerati alla stregua del malware, applicando quindi le adeguate contromisure. In questo caso l'unica arma veramente efficace per combattere gli attacchi di social engineering è la formazione e l'accrescimento della consapevolezza negli utenti.

È necessario definire un piano formativo e garantire una formazione costante agli utenti, formazione che vada oltre la semplice teoria, includendo anche simulazioni pratiche come quelle descritte in questo articolo.

Fragma da questo punto di vista propone una soluzione completa e gestita, che richiede un impatto minimo all'organizzazione: i nostri security analyst infatti non si occupano solamente di preparare le campagne di phishing, ma di gestire a tutto tondo la formazione cyber degli utenti.

Erogazione e monitoraggio dell'avanzamento della formazione teorica
Preparazione ed erogazione delle campagne di phishing basate sulla realtà del cliente e sulle principali minacce del momento
Condivisione di report periodici contenenti informazioni sull'avanzamento della formazione e delle simulazioni comprensive di executive summary dedicato al management