Il phishing sull'oro dei nostri dati è in aumento

Nel 2018, il Centro di segnalazione e analisi Melani ha ricevuto ripetute segnalazioni di attacchi di phishing. In effetti, questo metodo di attacco (vedi riquadro a destra) sta circolando in tutta la Svizzera. Piattaforme di phishing come PDF condivisi, link, loghi e simili imitano gli indirizzi dei mittenti e ottengono così dati personali.

Per esempio, i siti web di Microsoft Office 365 o OneDrive sono spesso copiati. La qualità e la natura delle e-mail variano molto. In alcune e-mail, al destinatario viene chiesto di identificarsi, forse per risolvere un problema con il suo conto bancario, o per visualizzare un documento condiviso con lui.

In tutti i casi, il destinatario viene reindirizzato a una pagina di phishing che imita il sito del provider, dove si suppone che arrivino il nome utente e la password.

"Stanno imitando il sito del fornitore".

Tentativo di frode su misura
Una volta che i criminali hanno accesso all'account, possono fondamentalmente fare le stesse impostazioni del titolare dell'account:
- Impostare l'inoltro della posta elettronica in modo che abbiano accesso a tutta la corrispondenza della persona ferita.

L'inoltro avviene spesso per mezzo di una copia, in modo che questa non sia riconoscibile per il titolare del conto.
- Se l'account email della piattaforma è usato come indirizzo email di reset per servizi aggiuntivi, un attaccante potrebbe far resettare le password corrispondenti e ottenere l'accesso a servizi aggiuntivi.
- Gli attaccanti possono ottenere l'accesso a documenti aggiuntivi fino a quando i diritti dell'utente lo permettono. Tuttavia, possono anche prendere di mira altri utenti per conto della loro vittima per il rilascio di documenti.

Dato che suppongono anche che questo sia stato ordinato da un collega, spesso si conformano a questo "desiderio".

Per i criminali informatici, tali dati, specialmente le credenziali, valgono oro. I dati permettono loro di leggere informazioni rilevanti come le relazioni commerciali, i casi da trattare, la struttura e gli organigrammi dell'azienda per un tentativo di frode su misura.

Allo stesso modo, non si può escludere che tali informazioni siano utilizzate per lo spionaggio industriale o vendute.

Centro di segnalazione e analisi allertato
Una volta che un account è compromesso, tutti i contatti della persona compromessa possono essere colpiti. Spesso rischiano di ricevere un'email con malware che sembra provenire dall'account di un collega o di un partner commerciale. Con questo metodo, gli aggressori possono ottenere un ulteriore accesso alla rete aziendale.

L'Agenzia Federale Melani fa le seguenti raccomandazioni:

Misure tecniche:
Utilizzare l'autenticazione a due fattori ovunque sia disponibile.

• Si raccomanda di scegliere un servizio che fornisca sufficienti funzionalità di registrazione e che metta i log a disposizione dei clienti in una forma adeguata.
• Si consiglia alle aziende di cercare azioni anomale sui conti dei dipendenti: Accesso da luoghi o orari insoliti, aggiunta di inoltri di e-mail, ecc.
• Le mail dovrebbero sempre essere firmate digitalmente (almeno internamente) e gli utenti dovrebbero essere addestrati a gestire con particolare attenzione le mail senza una firma appropriata.
• Quando si inviano e-mail legittime con un alto potenziale di abuso per il phishing, come l'invio elettronico di fatture, si dovrebbe fare attenzione a garantire che i link non siano nascosti dietro un testo HTML e che le e-mail e/o i documenti siano firmati digitalmente.
• I protocolli SPF, DKIM e DMARC dovrebbero essere impostati in modo che il proprio dominio possa essere utilizzato meno facilmente per tentativi di phishing. Questo è anche possibile con alcuni dei grandi fornitori di collaborazione, come Office365.

Misure organizzative:
Il modo migliore per combattere il phishing è rendere i dipendenti consapevoli di questo fenomeno: È essenziale che i dipendenti siano addestrati a riconoscere e trattare con le e-mail sospette e fraudolente.

Gli impiegati sensibilizzati sanno che non devono cliccare su nessun link o aprire nessun allegato in caso di e-mail sospette o fraudolente, ma devono informare immediatamente i loro superiori o i responsabili IT.

"Si consiglia cautela con le anomalie".

Anche i processi e le misure di riduzione del rischio definiti dall'azienda devono essere rispettati in ogni momento. In particolare, tutti i processi relativi alle operazioni di pagamento dovrebbero essere chiaramente regolamentati all'interno dell'azienda e rispettati dai dipendenti in ogni caso (ad es. principio del doppio controllo, firma collettiva da parte di due persone, processi in conformità con il sistema di controllo interno).

Maggiori informazioni sulle attuali ondate di phishing, i tentativi e le contromisure possono essere trovate sul sito web www.antiphishing.ch.