Perry Carpenter è capo evangelista di KnowBe4 Inc., fornitore della formazione di consapevolezza di sicurezza popolare & Piattaforma di phishing simulata.
getty
Il phishing è in aumento e non mostra alcun segno di rallentamento. Google ha registrato un record di 2,1 milioni di siti di phishing nel 2020, che è quasi il 25% in più rispetto al 2019. Inoltre, Google ha bloccato in modo proattivo oltre 18 milioni di email di phishing ogni giorno dall’inizio della pandemia di Covid-19. Sbalorditivo.
La maggior parte degli attacchi di phishing sono come spam ordinaria. E-mail, testi, tweet e post sui social media spesso escono in volume semplicemente perché è più economico farlo, prendendo di mira chiunque faccia clic sul messaggio, che quindi avvia il vero attacco. Ma sarebbe un errore pensare che tutti gli attacchi di phishing siano così generici. Benvenuti nel mondo di spear-phishing e caccia alle balene (una classe superiore di phish). Queste tecniche di phishing sono in continua evoluzione e sono tutt’altro che scatter-shot nel loro approccio. I rapporti indicano che i sindacati della criminalità informatica investono attivamente tempo, denaro e sforzi per perseguire obiettivi di alto valore.
Ciò che distingue lo spear-phishing e la caccia alle balene dai loro fratelli più generici e down-market è la natura focalizzata degli attacchi. Mentre spear-phishing comporta andare dopo specifici tipi di obiettivi, spesso per affiliazione organizzativa, caccia alle balene comporta andare dopo obiettivi specifici (di solito sostanziale e presumibilmente ricchi) per posizione, identità o nome. Diamo un’occhiata ai meccanismi di spear-phishing e attacchi di caccia alle balene in modo più dettagliato.
Spear-Phishing: il passaggio da indiscriminato al mirato
Spear-phishing attacchi tendono a sfruttare le informazioni accessibili al pubblico e le organizzazioni di destinazione. Post sui social media, comunicati stampa, articoli di notizie, ecc. sono utilizzati dai criminali informatici per creare messaggi di posta elettronica che appaiono affidabili e autentici. Tali messaggi possono anche sembrare provenire da qualcuno all’interno dell’organizzazione che ha l’autorità di richiedere informazioni riservate. Una volta che gli aggressori stabilire la fiducia, spear-phisher di solito richiedono nomi utente e password o chiedere alle vittime di fare clic su un link che installa segretamente drive-by download sui loro PC.
Nel dicembre 2020, IBM ha annunciato la scoperta di una campagna di spear-phishing che mirava a una catena del freddo del vaccino Covid-19 inviando e-mail di phishing per selezionare i dipendenti in posizioni di vendita, approvvigionamento, tecnologia dell’informazione e finanza.
L’FBI ha anche emesso un avvertimento alle aziende statunitensi contro un crescente attacco di spear-phishing basato sulla voce che mira a catturare le credenziali di accesso dei dipendenti. Gli aggressori mascherati da altre persone chiamato lavoro-da-casa dipendenti nel tentativo di ottenere le loro credenziali di account. Una volta che hanno accesso a queste credenziali, gli aggressori ottengono l’accesso all’ambiente aziendale e tracciano la loro prossima linea di condotta. In definitiva, lo spear-phisher potrebbe ottenere password amministrative, informazioni sul conto bancario, accesso alla proprietà intellettuale o altri dati preziosi o avere successo nell’ottenere qualcuno all’interno di un’organizzazione specifica per eseguire un programma malware dannoso.
Caccia alle balene: Netting The Prised Trophy
Gli attacchi di phishing generali gettano un’ampia rete nella speranza di catturare chiunque si abbatta, mentre la caccia alle balene prende di mira un individuo selezionato, di solito un dirigente di livello C di una grande società. Uno dei primi avvistamenti di un attacco di caccia alle balene è apparso nel 2008 quando il New York Times ha riportato un attacco informatico che ha preso di mira migliaia di dirigenti di alto rango presso società di servizi finanziari.
Ogni target ha ricevuto un messaggio di posta elettronica mascherato da un mandato di comparizione dagli Stati Uniti. Tribunale distrettuale di San Diego che comprendeva il nome del dirigente, società, indirizzo e numero di telefono e le istruzioni per comparire davanti a un gran giurì in un prossimo processo civile. Il messaggio ha portato i destinatari a scaricare una copia completa della citazione, che ha quindi avviato un download drive-by che includeva un keylogger e un Trojan backdoor.
In un altro esempio, nel 2019, la città di Saskatoon ha trasferito 1 1 milione a truffatori spacciandosi per Chief Financial officer di una rinomata società di costruzioni. Gli aggressori hanno creato nomi di dominio e indirizzi e-mail simili e hanno convinto la città che le loro informazioni bancarie erano cambiate.
Anche i rapporti che suggeriscono l’uso dell’intelligenza artificiale (AI) e della tecnologia di apprendimento automatico (ML) hanno iniziato a emergere. Gli aggressori stanno persino arrivando al punto di usare l’IA per emulare dirigenti di alto rango ed eseguire attacchi di caccia alle balene di alto profilo.
Prevenire gli attacchi di spear-phishing e caccia alle balene
Mentre gli attacchi di spear-phishing e caccia alle balene non possono essere fermati, seguire queste cinque migliori pratiche può certamente aiutare le persone a cadere per loro:
1. Non cliccare mai su link o scaricare allegati sospetti. La maggior parte degli attacchi di phishing termina con un invito all’azione, di solito facendo clic su un link o aprendo un allegato. Non appena si individua un link in cui si suppone di fare clic, si dovrebbe essere sospettosi. Se ritieni che il collegamento sia legittimo, vai al browser e digita l’URL invece di incollarlo. La maggior parte degli aggressori usa abbreviatori URL e nomi di dominio simili per ingannare le vittime.
2. Non cadere preda di un’urgenza fabbricata. Una componente vitale di un spear-phishing o di un attacco di caccia alle balene è l’urgenza della richiesta o della domanda. La maggior parte degli aggressori produrrà un’urgenza che fa preoccupare la vittima di una minaccia imminente o di una scadenza. Rispondere a tali motivi, richieste o richieste non è mai consigliabile.
3. Verificare le richieste prima di agire. Il CEO o il CFO ti chiederebbero di trasferire migliaia di dollari su un conto offshore? Se pensi che qualcosa non va, dovresti immediatamente verificarne l’autenticità. Anche quando pensi che la richiesta sia autentica, è sempre una buona idea prendere il telefono e verificare. Se ricevi una telefonata casuale che richiede le credenziali di accesso, verifica sempre la loro identità prima di condividere qualsiasi informazione sensibile.
4. Limitare le informazioni personali online. Spear-phisher spesso sfruttare le informazioni personali da account di social media come Facebook, Twitter o LinkedIn. Mantieni i tuoi account privati ed evita di pubblicare ogni dettaglio della tua vita personale e professionale su tali piattaforme.
5. Aumenta la consapevolezza della sicurezza informatica. È importante che tu e i tuoi dipendenti riceviate regolarmente istruzione e formazione che aiuti a sviluppare la memoria muscolare per identificare e respingere gli attacchi informatici. Gli studi hanno dimostrato che l’allenamento di phishing simulato può ridurre la percentuale media incline al phish di oltre il 60%.
Le truffe mirate possono rivelarsi estremamente dannose. Tuttavia, la pratica di una buona igiene informatica, combinata con una regolare formazione di sensibilizzazione e forti difese tecnologiche, può certamente aiutare le aziende a salvaguardare se stesse e tenere a bada i phisher.
Forbes Business Council è la principale organizzazione di crescita e networking per imprenditori e leader. Sono qualificato?
Seguimi su Twitter o LinkedIn. Controlla il mio sito web.
Perry Carpenter è capo Evangelista per KnowBe4 Inc., fornitore della formazione di consapevolezza di sicurezza popolare & Piattaforma di phishing simulata. Leggi il profilo esecutivo completo di Perry Carpenter qui.
Leggi tuttoleggi Meno