Il Mondo Maggioli


Le nostre attività integrate affiancano la Pubblica Amministrazione, i Liberi Professionisti e le Aziende nel semplificare i processi e migliorare i servizi

Soluzioni e Servizi
Tecnologia e conoscenza sono le nostre passioni e il modo con cui siamo sempre riusciti a rispondere alle richieste di un mercato in continua evoluzione
 
Informatica MAG / Speciale

Cybersecurity Phishing e attacchi di ingegneria sociale

Il phishing è un fenomeno tipico del social engineering che, in genere attraverso e-mail o altri mezzi di comunicazione, ha lo scopo di spingere le vittime a fornire informazioni personali.

La parola phishing, in perfetta assonanza con la parola inglese fishing (pescare), deriva dall’utilizzo di un messaggio di posta elettronica per “pescare” dati personali nel “mare” degli utenti di internet. L’iniziale sostituzione della “f” con l’omofonica “ph” è una pratica comune del linguaggio e della terminologia hacker sin dalle origini dell’hacking stesso tramite il Phreaking.

Utilizzando la metafora della pesca, l’attaccante getta un’esca digitale nel mare del web, pastura l’ambiente e, sebbene parte del mangime vada sprecato, ci sarà qualche pesce che comunque abboccherà alla trappola.
Pertanto, il phishing è un fenomeno tipico del social engineering che, in genere attraverso e-mail o altri mezzi di comunicazione, ha lo scopo di spingere le vittime a fornire informazioni personali. Ovvero, tramite tali attacchi, l’utente viene ingannato ed è portato a compiere azioni che, in maniera consapevole, non porrebbe in essere.
Se pensiamo alla sicurezza come processo non possiamo non tener conto del fatto che l’H-Factor, il Fattore Umano, è l’anello più debole di tutta la catena di sicurezza. Solitamente gli attacchi di phishing vengono indirizzati nei confronti di moltissimi destinatari (tecnica denominata spamming) e l’obiettivo di carpire l’identità elettronica è realizzato anche attraverso software malevoli (malware), quali ad esempio i c.d. trojan. 

Il tentativo di forzare un sistema centrale contenente i dati relativi a migliaia di utenti è un compito estremamente difficile da realizzare anche per i migliori hacker, è molto più semplice attaccare i singoli clienti del servizio web. Questo avviene in primo luogo perché le tecnologie utilizzate rendono più semplice nascondere le proprie tracce per evitare di essere rintracciati, in secondo luogo perché generalmente l’utente medio non possiede gli strumenti atti a riconoscere e proteggersi da tali attacchi qualora si presentassero. Nello scenario italiano i primi casi di phishing, in ambito bancario e finanziario, si sono registrati nel 2005, e molti utenti sono stati vittime di tali tipologie di frodi. Possiamo fare un esempio pratico in relazione a tale ambito, così da chiarire i meccanismi operativi del fenomeno.

Seguendo la logica dell’attaccante, attraverso una serie di e-mail di phishing indirizzate ad utenti ignari, è possibile bypassare tutti i problemi relativi alla sicurezza degli istituti bancari. Invece di attaccare in maniera diretta l’istituto di credito, verrà preso di mira il cliente dello stesso. Ovvero all’utente verranno richieste una serie di informazioni relative alla propria identità digitale (quali credenziali di accesso, username, password, etc) come se il mittente fosse lo stesso istituto bancario, e se ci fosse una minaccia o un problema da risolvere relativamente al proprio conto corrente. In tal modo la vittima dell’attacco sarà spinta a cliccare su un “link esca” presente nell’e-mail e provocherà la buona riuscita del phishing. Oltre al phishing, però, esiste quello che viene definito pretexting. Possiamo definire il pretexting quel tipo di attacco che non si limita ad una singola e-mail, ma è un attacco di ingegneria sociale più sofisticato sul piano relazionale, include di fatto una serie di dialoghi (via e-mail, al telefono o mediante i social network, che aiutano ad innalzare la fiducia tra gli interlocutori).

Il pretexing è spesso usato nel c.d. spear-phishing aziendale o meglio noto come CEO Fraud o Business E-mail Compromise. Una delle differenze tra il pretexting ed il phishing è che nel primo caso si utilizza molto di più l’approccio di social engineering “tradizionale”, in quanto lo scopo è quello di guadagnare la fiducia dell’interlocutore ed acquisire quante più informazioni possibili, in particolare ai danni dei comparti di Amministrazioni e Risorse Umane. A differenza del pretexting, che la maggior parte delle volte è motivato finanziariamente, le motivazioni del phishing sono suddivise tra finanziarie e spionaggio. Il phishing è spesso usato come l’azione iniziale di un attacco per installare un malware e portare all’esfiltrazione di dati. I settori industriali più colpiti sono la pubblica amministrazione e la sanità, per acquisire dati personali, segreti industriali e simili.


Immagine-Cybersecurity.PNG

 

Per spear-phishing (spear, arpione) si intende un attacco di social engineering diretto a pochissime persone, spesso anche ad una sola persona identificata. Tale caratteristica lo differenzia dall’attacco di phishing, e lo rende ancora più pericoloso in quanto costruito ad hoc per cercare di ingannare la vittima, non basandosi pertanto sulle tecniche di spamming descritte in precedenza. In questo caso lo scopo dell’attaccante consiste nel procurarsi informazioni che riguardano la vita personale o ad esempio lavorativa della vittima, attraverso diversi sistemi di comunicazione, di cui i più noti e diffusi risultano essere i social network. Una volta individuato il target e studiato il profilo associato all’utente, viene predisposta un’e-mail costruita ad hoc, a livello sia di forma, che di contenuto, così da poter essere funzionale a trarre in inganno la vittima e portare a termine la procedura di spear-phishing. Solitamente l’indirizzo del mittente viene falsificato e si tende ad utilizzare un indirizzo associato ad una fonte che risulta attendibile ed autorevole agli occhi della vittima. L’e-mail può contenere link fasulli o allegati infettati da virus. A volte vengono utilizzate altri tipi di metodiche, sfruttando la fiducia dell’utente, per indurlo a compiere una serie di azioni in maniera volontaria, che in realtà non avrebbe compiuto se avesse conosciuto la reale identità di colui che compie la richiesta. Gli attacchi di spear-phishing, se non filtrati dai sistemi di sicurezza dell’Ente, sono utilizzati anche come tecnica di infezione di ransomware, la famiglia di noti malware progettati per chiedere un riscatto (ransom).

Questi malware, dopo essere stati installati sul computer dell’utente, iniziano a cifrare una serie di dati, salvo poi chiedere un riscatto per ottenere la chiave necessaria a decifrare gli stessi dati. Negli ultimi anni, inoltre, si è assistito ad un incremento di attacchi di phishing tramite strumenti diversi. In particolar modo, tramite telefonate (vishing) ed SMS (smishing). L’obiettivo di tali attacchi è sempre il medesimo, quello che cambia è lo strumento che viene utilizzato. Ultima tendenza invece è il QRishing. Il distanziamento sociale durante la pandemia ha reso popolari i QR code (Quick-Response) che sono semplici da usare e possono essere piuttosto semplici da generare. Identificare un messaggio QR falso non è semplice e per tale motivo risulta particolarmente adatto per attività dannose. Una tattica che è stata osservata consiste nell’incorporare QR code falsi nelle e-mail di phishing inviate da grandi banche europee. Dopo aver scansionato il codice, gli utenti vengono indirizzati a siti Web con pagine di destinazione dall’aspetto realistico, in cui alla vittima potrebbe essere richiesto di accedere per rinnovare le proprie carte di credito. I codici possono anche indirizzare gli utenti a siti Web in cui è possibile scaricare automaticamente malware.

Tenendo conto di tutti gli aspetti relativi alla sicurezza delle informazioni ed al legame intercorrente tra le tecnologie, i processi (o procedure) ed il c.d. “H-Factor”, possono essere elencati una serie di punti critici che facilitano il raggiungimento dell’obiettivo da parte dell’attaccante:

  • Fretta, stress.

  • Assenza di verifica dell’indirizzo URL o e-mail sorgente.

  • Vulnerabilità del Browser (Chrome, Firefox, Internet Explorer).

  • Assenza di “strong authentication” da parte dei portali web delle banche e istituzioni finanziarie.

  • Limitato uso della firma digitale.

  • Mancanza di adeguati piani formative e di “security awareness”.

Dal punto di vista operativo possono essere utili una serie di suggerimenti, da mettere in pratica quando si ricevono e-mail “sospette”. Di seguito verranno elencati quelli più importanti ai fini della protezione dei propri dispositivi e dei relativi dati in essi contenuti:

  • La forma italiana del testo spesso non risulta corretta dal punto di vista grammaticale o sintattico, ovvero viene palesemente tradotta dall’inglese con qualche servizio automatico

  • I link contenuti nell’email di phishing non rimandano mai al sito ufficiale del servizio. Per verificarlo, basta posizionare il mouse sul link senza cliccare per vedere l’indirizzo web a cui rimanda e confrontarlo con quello del vero servizio (sarà sufficiente cercarlo con Google).

  • Nessuna azienda seria (es. istituto bancario) chiederà di fornire credenziali o numeri di carte di credito via e-mail.

  • Non possono essere richiesti dati da un fornitore di servizi dal quale non viene acquistato nessun servizio.

  • L’indirizzo e-mail del mittente non è una garanzia dell’autenticità dell’e-mail perché è un campo facilmente falsificabile.

  • Non credere a promesse di denaro senza fatica, offerte troppo belle per essere vere o richieste di donazioni da enti sconosciuti subito dopo qualche disastro naturale.

Le regole elencate in precedenza per riconoscere un’e-mail di phishing continuano ad essere valide, ma spesso non sono sufficienti a riconoscere questo genere di attacco; pertanto, è necessario essere ancora più attenti e non farsi prendere dalla fretta di eseguire quanto scritto nell’email solo perché, per esempio, apparentemente la mail proviene da un superiore. Una prima verifica dell’autenticità dell’e-mail può essere effettuata contattando il mittente al telefono, non rispondendo all’email, se si dispone di un contatto telefonico sicuro. Non utilizzare i riferimenti telefonici eventualmente scritti nell’email sospetta. Se non si ha modo di effettuare questa operazione è bene coinvolgere il dipartimento di “IT Security”, che è in grado di verificare se la mail proviene davvero dal presunto mittente o comunque può consigliare una strategia di verifica. Il modello strategico, per contrastare gli attacchi di spear-phishing, è costituito da quattro fasi:

  1. Prevenzione: per ridurre al minimo le probabilità di subire attacchi (per esempio utilizzando dei filtri antispam).

  2. Identificazione delle minacce (analizzando per esempio il traffico dati).

  3. Analisi delle minacce (sia dal punto di vista strettamente tecnico che della sicurezza delle informazioni in generale). Rientra in tale fase, ed è strettamente connessa alla successiva, anche la forensic analysis.

  4. Mitigazione: interruzione degli attacchi o rimozione delle minacce.

Il “Security Awareness Training”, che si trova a cavallo tra la prima e la seconda fase, risulta di fondamentale importanza e va ad impattare sul fattore umano. Infatti, è proprio tale aspetto a costituire l’anello debole di tutta la catena della sicurezza delle informazioni. In linea generale sarebbe auspicabile promuovere una cultura di informazione in relazione ai rischi, le modalità utilizzate dagli attaccanti e soprattutto le misure di sicurezza da attuare per prevenire e contrastare tali attacchi. È necessario incrementare il livello di security awareness di ogni singolo individuo, così da costruire contromisure efficaci ad aumentare, di conseguenza, il livello di sicurezza di sistemi. Per tali motivi negli ultimi anni si sta puntando molto alla formazione, anche attraverso l’ausilio di una serie di “piattaforme di simulazione”, per insegnare le tipologie di comportamento più funzionali al raggiungimento di standard adeguati di sicurezza. In particolar modo, tra le contromisure che dovrebbero essere adottate per mitigare gli attacchi di social engineering, troviamo le seguenti:

  • Sviluppare dei protocolli di sicurezza chiari e concisi che vengono applicati in modo coerente in tutta l’organizzazione.

  • Sviluppare dei corsi di formazione per accrescere la consapevolezza della sicurezza.

  • Sviluppare delle regole semplici che definiscano quali informazioni sono sensibili.

  • Sviluppare una regola semplice che stabilisca che ogni volta che qualcuno fa richiesta di un’azione ad accesso ristretto (vale a dire di un’azione che comporta l’interazione con apparecchiature informatiche le cui conseguenze non sono note) l’identità del richiedente venga verificata in base ai regolamenti della compagnia.

  • Sviluppare un regolamento di classificazione dei dati.

  • Formare i dipendenti perché apprendano diversi modi per resistere agli attacchi di ingegneria sociale.

  • Testare la suscettibilità dei dipendenti agli attacchi di social engineering realizzando una valutazione della sicurezza.

L’aspetto più importante del piano richiede l’istituzione di protocolli di sicurezza appropriati e quindi la capacità di motivare i dipendenti ad aderire a tali protocolli.


Ilenia Mercuri
Head of H-Factor, Security Awareness & Reputational Intelligence DeepCyber

31 maggio 2022
Posted: 31/05/2022 16:50:20 by | with 0 comments

Continua a leggere

Comunicato stampa

È online il nuovo ‘LeggiOggi’, il portale di approfondimento su Fisco, Welfare, Pensioni e Concorsi di Maggioli Editore

Il primo traguardo di un progetto più ampio dedicato alle piattaforme di servizi online verticali Maggioli, frutto di un’evoluzione contenutistica e stilistica supportata da Hibo, società del Gruppo.

05 ottobre 2022
Comunicato stampa

E015, l’ecosistema digitale per la cooperazione virtuosa tra pubblico e privato festeggia 10 anni

Il 4 ottobre l’evento dedicato all’Ecosistema Digitale E015, promosso da Regione Lombardia e Associazioni imprenditoriali, con il coordinamento scientifico di Cefriel ed il Gruppo Maggioli in qualità di partner tecnologico

04 ottobre 2022
Notizia

Sostenibilità e il contributo del digitale

L’impegno del Gruppo Maggioli per creare valore oltre il business

03 ottobre 2022
Rassegna Stampa

Un progetto di intelligenza artificiale per riconoscere su Twitter i feed di odio politico

Premiati i giovani partecipanti al Bootcamp organizzato dal Gruppo Maggioli e l’’ITC “Rino Molari” di Santarcangelo di Romagna

02 ottobre 2022