Skip to content Skip to footer

Phishing: anatomia di un attacco e come difendersi

A pensare che il cloud sia la risoluzione di tanti problemi si sbaglia! Coloro che sono passati ad Office 365, hanno sicuramente beneficiato di un aumento sotto il profilo della sicurezza, elevando notevolmente la protezione rispetto a quanto avevano in precedenza. Tuttavia chi intende commettere un dolo, ha affinato le sue tecniche di attacco per trarre sempre più in inganno l’utente medio; difatti, i primi attacchi di Phishing erano molto grossolani e bastavano un logo (banca o società elettrica) e dei riferimenti ad una fattura, per far scaricare un file e quindi infettare un pc, adesso la cosa risulta più complessa perchè al giorno d’oggi i firewall e gli antivirus sono capaci di identificare questi attacchi in modo preventivo, impendendo che gli utenti più “testardi” aprano link ed allegati pericolosi. Ma come detto, i malintenzionati non sono lì con le mani in mano e quindi hanno trovato modi nuovi per arrivare al loro scopo.

Anatomia di un Attacco

Ci sono due tipologie di attacco:

  • Attacco di massa: sfruttando un pc già infetto, si prelevano i contatti per inviare file contenenti malware e link potenzialmente pericolosi. Un’alternativa è mandare una mail malevola ad una mail generica (info@dominio.it)
  • Attacco mirato: si punta alle vittime, tramite un’analisi più complessa

Un attacco mirato si basa sullo studio della persona che bisogna attaccare, capendo la sua posizione aziendale (e quindi il grado di influenza verso gli altri), studiando le sue abitudini nei social e molto altro ancora. Una simulazione di questa tipologia di attacco l’ha mostrata Cisco in questo bel video che vi consiglio di guardare: https://www.youtube.com/watch?v=4gR562GW7TI. Lo scopo di questo attacco può mirare a due cose:

  • Furto dell’identità digitale
  • Infettare il suo pc e puntare magari alla cifratura dei documenti aziendali (o peggio)

Rubare un’identità digitale è uno dei rischi più grandi di questo periodo, perchè può significare perdere informazioni, soldi, affari, reputazione e molto altro ancora. Se questa chiave la mettiamo in ottica aziendale, il danno può essere catastrofico. Un esempio su tutti è quanto accaduto nel 2016 ad Uber, che si è vista rubare 57 milioni di account tra autisti e clienti, grazie al furto delle chiavi API per accedere ai database di Amazon Web Services; le credenziali sono state sottratte ad alcuni developer che le avevano salvate nei loro portatili.

Come detto, gli attacchi sono diventati più intelligenti e questo ha comportato modificare il modo di attaccare. L’affinamento vede i seguenti punti:

  • Usare un indirizzo mail tramite un provider noto, che viene cambiato spesso per evitare di essere tracciati come spammer
  • Usare dei link reali, su domini reali, che vengono sostituiti dopo poco tempo, per evitare che vengano marcati come pericolosi
  • Usare una grafica identica a certi servizi

Questo è un esempio di una mail che potrebbe arrivare ai vostri indirizzi di posta.

Cliccando sull’URL si finisce all’interno di una schermata identica a quella di autenticazione di Office 365, che trae in inganno l’utente finale, il quale proverà ad inserire le proprie credenziali senza però vedere accadere niente. Dietro le quinte, in molti casi, ci sono sistemi che provano subito ad eseguire l’accesso all’account rubato, creando regole di redirect per la posta o copiando i documenti presenti in SharePoint e OneDrive for Business.

Prevenzione

Non c’è dubbio che la prevenzione è la chiave per mettersi al riparo, ma tradotto in soldoni è necessario:

  • Usare Microsoft Office 365, attivando il componente di Advanced Thread Protection
  • Usare Microsoft Enterprise Mobility + Security
  • Usare Firewall che ispezionano il traffico in uscita, impedendo l’apertura di link pericolosi
  • Fare formazione ai propri dipendenti sui rischi

L’ultimo punto è anche uno degli obblighi introdotti nel GDPR, che tra meno di 3 mesi diventerà totalmente operativo. Un altro consiglio è quello di attivare Windows Defender Advanced Thread Protection, che permette di analizzare le attività degli utenti e segnalare potenziali rischi, oltre che offrire agli amministratori di applicare regole di prevenzione in modo centralizzato.

Get Started

E la tua azienda, quanto è sicura? Che livello sei in grado di garantire per i tuoi dati e per l’identità digitale dei tuoi dipendenti? Noi possiamo aiutarti a risolvere le problematiche sulla sicurezza! Contattaci oggi all’indirizzo mail marketing@insidetechnologies.eu