Lo spear phishing (letteralmente traduzione di “pesca con lancia”) è un particolare tipo di phishing mirato e specifico che ha come obiettivo una singola persona. Si differenzia dal classico phishing che invece cerca di coinvolgere quante più persone possibile, senza curarsi di chi siano e di che ruolo abbiano all’interno dell’azienda.
Gli attacchi di spear phishing diretti alle aziende si stanno moltiplicando e rappresentano ormai una delle maggiori minacce cui le imprese devono far fronte. Ma di cosa si tratta e quali sono i rischi per le aziende?
Il mondo della sicurezza informatica ribolle di termini che, spesso, rimangono piuttosto oscuri. Uno di questi è senza dubbio lo spear phishing. Per chi lavora in un’impresa a qualunque livello, però, il fenomeno del phishing “mirato” rappresenta un pericolo estremamente attuale. Conoscerne le caratteristiche e i rischi che comporta è fondamentale per contribuire a proteggere i sistemi aziendali.
Il phishing: truffa che mira alle credenziali
Il termine phishing è ormai piuttosto comune e conosciuto. Gli attacchi di phishing, in sintesi, sono truffe informatiche che puntano a sottrare le credenziali (username e password) utilizzando messaggi di posta elettronica che “attirano” le vittime su siti Internet controllati dai pirati.
Le tecniche possono variare a seconda degli scopi dei cyber-criminali ma la chiave del phishing è sempre rappresentata dal fatti che i pirati impersonano qualcun altro: in alcuni casi, i più diffusi, utilizzano siti Internet identici a quelli legittimi, con lo scopo di indurre gli utenti a inserire le loro credenziali di accesso ai servizi online.
Questa strategia viene adottata normalmente per colpire i servizi di home banking. In altri casi, il messaggio mira a dirottare la vittima su un sito internet contenente malware che può compromettere il computer di chi lo visita. Questa seconda strategia sfrutta, di solito, messaggi di posta con contenuti allettanti, come buoni sconto od omaggi che sembrano essere proposti da aziende piuttosto conosciute.
Lo Spear phishing: attacco informatico mirato
Generalmente, come accennato in precedenza, i truffatori si rivolgono a un pubblico ampio, utilizzando campagne di spam tramite e-mail o social network ma nel caso dello spear phishing, invece, ci troviamo di fronte a un attacco estremamente mirato.
Gli autori di attacchi di spear phishing, infatti, pianificano attentamente la loro azione, preparando messaggi su misura per lo specifico bersaglio. Si tratta di un tipo di truffa più elaborato e sofisticato che, per la sua natura molto specifica, diviene difficile da individuare.
L’hacker usa strumenti precisi e di solito ha come obiettivo una figura professionale che ricopre un certo ruolo di rilievo all’interno di un’azienda o a livello collettivo. Quando vengono presi di mira bersagli di alto profilo, come i dirigenti o l’amministratore delegato dell’azienda, i pirati decidono spesso di adottare una strategia ancora più subdola, utilizzando come esca contenuti che possono interessare la vittima in relazione ai suoi hobby e interessi personali.
Per farlo, di solito, utilizzano i social network e qualsiasi informazione reperibile sul Web, come interviste o interventi pubblici a firma dello stesso soggetto che vogliono colpire. Per realizzare una trappola abbastanza credibile, è sufficiente fare una ricerca approfondita sulla vittima con tecniche di ingegneria sociale.
I messaggi tendono ad essere più specifici e convincenti e, a differenza dello spray phishing, questa tecnica non contiene errori di battitura, usa particolari e dettagli credibili e diventa davvero difficile individuarla. Il motivo? La “lancia” (spear, dall’inglese) colpisce i punti deboli della sua vittima, e l’hacker si spaccia per una persona fidata o affidabile – facendo leva su meccanismi psicologici.
Nel caso si tratti di un VIP, dunque, non si chiama più spear phishing ma “whale phishing”, la famigerata caccia alla balena, cioè al pezzo grosso.
Le conseguenze dello Spear phishing sulle aziende
Le conseguenze possono variare a seconda del modus operandi dei pirati informatici: in alcuni casi le informazioni sottratte possono essere utilizzate per mettere in campo elaborate truffe ai danni dell’azienda. Per esempio, possono essere richiesti bonifici su domanda di alti dirigenti, in questo caso si parla di CEO Fraud (frode del CEO), o a partire da reali fatture ma su conti correnti fraudolenti creati ad hoc dai pirati per lo specifico attacco.
In altri casi, invece, le informazioni sottratte possono essere sfruttate dai cyber criminali per garantirsi un accesso ai sistemi aziendali e portare veri e propri attacchi di sabotaggio ai sistemi informatici o ancora per azioni di spionaggio industriale. In ogni caso, le conseguenze, per l’impresa, sono sempre estremamente gravi.
Come difendersi dallo Spear Phishing
Grazie all’uso di algoritmi di intelligenza artificiale è possibile individuare elementi sospetti che possono caratterizzare un messaggio di spear phishing. Un altro elemento che consente di individuare le e-mail potenzialmente dannose riguarda il dominio utilizzato dal mittente.
Spesso, infatti, si utilizza un dominio molto simile a quello di soggetti legittimi, aggiungendo magari qualche lettera all’interno del dominio: amministrazione@aziendasicura.com può essere imitato inserendo un semplice “-” e diventare amministrazione@azienda-sicura.com.
Utilizzando sistemi di threat intelligence è possibile individuare tempestivamente la presenza di questo tipo di dominii e bloccare i messaggi di spear phishing.
Di seguito alcuni consigli per mantenere alto il livello di sicurezza in azienda:
- crea protocolli di sicurezza da far rispettare a tutti i membri dell’azienda;
- assicurati di generare canali di comunicazione interna sicuri e usarli sempre;
- non liquidare i messaggi urgenti con la fretta che richiedono;
- cambia password con cadenza mensile e non usare mai la stessa per più account;
- verifica sempre la legittimità dei mittenti.
La consapevolezza della sicurezza informatica, nota anche come “security awareness“, è l’insieme di competenze, conoscenze e atteggiamenti necessari per proteggere se stessi e le proprie organizzazioni dalle minacce informatiche. Si tratta di una componente essenziale della sicurezza informatica aziendale e della protezione dei dati.
La formazione sulla sicurezza informatica e la consapevolezza è importante perché le minacce informatiche sono in continua evoluzione e diventano sempre più sofisticate. Gli hacker utilizzano tecniche sempre più avanzate per rubare informazioni sensibili, diffondere malware e interrompere le operazioni aziendali. Pertanto, è fondamentale che tutti i dipendenti siano consapevoli dei rischi e sappiano come proteggere se stessi e la propria organizzazione.
Nexsys, azienda informatica di Verona, propone il corso Ethical Hacker che ha lo scopo di preparare gli utenti a padroneggiare gli stessi strumenti utilizzati dagli hacker e sfruttare il loro punto di vista per adottare contromisure utili alla protezione dei sistemi oppure il corso Cybersecurity: Blue Team che, nei suoi moduli, insegnerà come combattere il phishing da Analista di Sicurezza, trattando le tematiche che vanno dalla ricezione di un’e-mail sospetta fino all’adozione di misure difensive.
