Argomenti
Servizi
Home > Contro il phishing: ...
IT
IT DE FR EN

Contro il phishing: come le aziende possono sensibilizzare i loro team

Le aziende, le autorità e le istituzioni sono sempre più confrontate con gli attacchi informatici. Un gateway sono le e-mail di phishing che fingono una relazione di fiducia con il destinatario. Si clicca velocemente su un link, si scarica inconsapevolmente un ransomware o un altro malware - il danno può essere immenso.

Leon Hormel e Tobias Messinger - 24 Gennaio 2022
Come possono le aziende prevenire se stesse e i loro dipendenti dal cadere vittime di attacchi phishing e ransomware? (Immagine: Pixabay.com)

Il numero di attacchi informatici è in aumento: Sono interessate aziende, autorità e comuni, ma anche strutture sanitarie come gli ospedali. E le notizie di attacchi riusciti aumentano in Svizzera: solo recentemente il CICR è stato colpito da un attacco informatico, e aziende come Stadler Rail, Comparis, Griesser Storen o anche il comune di Rolle nel Vaud sono già state attaccate. In Germania, la catena di vendita al dettaglio di elettronica MediaMarkt è stata colpita da un tentativo di estorsione con ransomware nel novembre 2021; server e sistemi sono stati compromessi, il che ha significativamente interrotto le operazioni nelle filiali. Secondo un portavoce dell'azienda, l'attacco era mirato. Nel 2020, l'Uniklinik Düsseldorf e il Funke Mediengruppe sono stati vittime: in quest'ultimo caso, una e-mail di phishing è servita come porta d'ingresso per un attacco ransomware. In un tale attacco, il ransomware agisce come un "Trojan di crittografia", codificando i dati in modo indissolubile per l'utente e rilasciandoli di nuovo solo dietro pagamento di un riscatto. Poiché il phishing sfrutta le debolezze umane, è molto difficile da prevenire con soluzioni tecniche. 

Una forma di ingegneria sociale

Il phishing è un cosiddetto attacco di ingegneria sociale: sfrutta le debolezze e l'incoscienza delle persone. Le e-mail di phishing fanno credere al destinatario di avere un certo livello di riservatezza o lo mettono sotto pressione. Questo li induce a cliccare su un link, avviare un processo o rivelare informazioni riservate. Si possono distinguere tre tipi di phishing:

  • Nel caso della cosiddetta frode CEO, gli aggressori fingono di avere una posizione elevata all'interno dell'azienda attaccata al fine di ispirare fiducia da un lato, e dall'altro di utilizzare l'autorità del divario gerarchico e le conseguenze minacciate per invogliare la loro vittima a trasferire una grande quantità di denaro, per esempio. Gli aggressori hanno spesso un approccio mirato e investono molto tempo nella selezione dell'azienda e dei destinatari appropriati. Spesso hanno un piede nella porta e sanno come funziona la comunicazione nell'azienda di destinazione.
  • Lo stesso vale per la variante spear phishing: queste mail sono specificamente fatte su misura per la vittima o per un certo gruppo di vittime. L'individualizzazione rende molto difficile riconoscere una mail del genere come phishing. Lo spear phishing è spesso il vettore di attacco iniziale per introdurre malware in un'azienda.
  • Il phishing classico spesso mira a ottenere i dati di accesso delle vittime a sistemi e servizi. Tuttavia, queste e-mail non sono fatte su misura per individui o gruppi di persone, ma sono inviate a una vasta massa. Può anche succedere che un destinatario non usi il servizio indirizzato nell'e-mail.

Il phishing è una minaccia costante

Il pericolo non deve essere sottovalutato, poiché le e-mail di phishing sono scritte con sofisticazione. Non hanno più di per sé indirizzi e-mail strani e dubbi del mittente o errori di ortografia e grammatica. Inoltre, la gamma dei destinatari è estremamente ampia: Tutti gli impiegati che comunicano con parti esterne via e-mail sono potenziali vittime. Le aziende sono solitamente colpite dalle frodi dei CEO o dallo spear phishing e quindi da campagne mirate. Si scopre che i tentativi di phishing sono particolarmente frequenti tra i destinatari i cui nomi e indirizzi e-mail sono elencati pubblicamente sul sito web della società, per esempio - di solito, hanno un know-how meno pronunciato in materia di malware rispetto ai membri dei dipartimenti IT. Di conseguenza, spesso sono proprio i dipendenti meno sensibili al malware ad essere presi di mira dagli aggressori. Questo rende più probabile che clicchino su un link o scarichino un allegato contaminato.

Il pericolo per i privati è che i dati personali e sensibili possono essere intercettati. Il malware può anche essere introdotto di nascosto tramite e-mail di phishing, in modo che l'attaccante si assicuri un accesso permanente al sistema senza essere notato. Si muove invisibilmente nella rete e ottiene così l'accesso ai dati sensibili..

Nelle aziende, le e-mail di phishing sono frequenti gateway per malware come il ransomware. Gli aggressori possono ottenere il controllo dei computer, rubare le identità delle vittime e quindi effettuare ulteriori attacchi. La vittima può anche essere estorta per un riscatto con dati sensibili. Questi attacchi sono molto costosi per le aziende: provocano lunghe interruzioni IT, ostacolano o impediscono il business e danneggiano la reputazione. Se il malware è infiltrato, lo spionaggio industriale può avvenire anche attraverso il phishing.

Prevenire il phishing con le simulazioni

Dato che il phishing è un'arma psicologica e prende di mira il comportamento umano, è difficile evitarlo a livello tecnologico: I filtri antispam riconoscono le e-mail solo in modo insufficiente e quindi di solito raggiungono il destinatario previsto. Usando l'esempio di un dipartimento di risorse umane, è possibile per loro accettare le domande tramite un portale e quindi bypassare i gateway via e-mail.

Pertanto, un metodo efficace di difesa dal phishing consiste nell'addestramento e nella sensibilizzazione dei dipendenti. Simulazioni e campagne regolari possono essere utilizzate per aumentare la consapevolezza, ad esempio per quanto riguarda i possibili punti di ingresso, e quindi ridurre al minimo il rischio di un attacco.

I dipendenti sono specificamente confrontati con il pericolo del phishing in condizioni reali ma controllate. Le simulazioni di spear phishing, per esempio, li fanno familiarizzare con i trucchi degli attaccanti senza causare alcun danno. In una campagna di questo tipo, le e-mail di phishing sono inviate in un'azienda per diverse ore o giorni, a tutte o a singole persone, gruppi di persone o dipartimenti. L'azienda decide se i dipendenti sono informati o meno di questo o della durata.

Se ora un destinatario apre una delle mail della campagna o addirittura clicca sul link, il suo comportamento viene memorizzato in modo anonimo in un database. Questo è reso possibile dai link specifici dell'utente nelle mail. Una valutazione permanente viene effettuata durante il periodo concordato della campagna, e i risultati vengono riassunti ed elaborati alla fine. Questo permette di vedere quali aree o dipartimenti sono particolarmente suscettibili alle e-mail di phishing. Le contromisure possono poi essere prese con la formazione e l'educazione.

La comunicazione è la chiave qui: non si tratta di assegnare colpe, ma deve essere chiaro che le simulazioni sono utilizzate per costruire il know-how e che si tratta di uno scenario di apprendimento. È anche possibile educare i dipendenti sulla simulazione di phishing direttamente dopo che hanno cliccato su un link o tenerli all'oscuro all'inizio. Quest'ultima è una buona idea, perché altrimenti è facile che nelle aziende si sparga la voce che è in corso una simulazione, il che può falsificare i risultati.

Promuovere lo scetticismo e la consapevolezza con la formazione

Nei corsi di formazione successivi, si possono stabilire processi per aumentare la consapevolezza e mantenere lo scetticismo. A volte il nome del capo in un'e-mail è sufficiente per sollecitare un'azione immediata - anche senza pensare. I dipendenti sono quindi dotati di funzioni che rendono più facile riconoscere se una mail è valida, per esempio se il nome del mittente e il provider corrispondono. Ma è anche importante stabilire una cultura dello scetticismo, cioè fare domande, anche se una e-mail di un presunto superiore è accompagnata da una richiesta immediata di azione.

Ha senso che i dipendenti prendano parte a una simulazione di phishing a intervalli regolari, per esempio una volta al trimestre o ogni sei mesi, a seconda dell'azienda, al fine di ottenere il massimo effetto, mantenere alto il livello di formazione e sviluppare un sesto senso per le e-mail di phishing. Così facendo, l'ampiezza dello spread può variare e i gateway possono essere addestrati di nuovo direttamente con campagne personalizzate.

Conclusione

Gli scenari di minaccia attraverso gli attacchi informatici si stanno espandendo, sempre più aziende sono colpite da attacchi ransomware che ostacolano le operazioni aziendali e causano costi immensi. La porta d'ingresso è spesso costituita da email di phishing, attraverso le quali gli attaccanti ottengono l'accesso ai sistemi e ai dati sensibili e possono così ricattare le aziende. Questo scenario peggiore può essere prevenuto sensibilizzando i dipendenti attraverso simulazioni di phishing mirate e formazione.

Autori:
Leon Hormel è un consulente di difesa cibernetica alla SECUINFRA Falcon Team di Berlino, Tobias Messinger è un consulente senior di difesa cibernetica. https://www.secuinfra.com/de/news/digitale-bedrohung-phishing/

(Visitato 532 volte, 1 visite oggi)

Altri articoli sull'argomento

Bug Bounty Switzerland lancia uno scudo protettivo per rafforzare la resilienza informatica

Le crisi permanenti mettono alla prova le aziende svizzere

Giornate svizzere della sicurezza informatica 2025: cambio al vertice del Comitato esecutivo