Proofpoint, azienda specializzata nella security e compliance di nuova generazione, ha condotto una ricerca approfondita per valutare lo stato delle frodi via email nel 2017.
Dall’analisi di un set di dati che ha compreso oltre 160 miliardi di email inviate a più di 2.400 aziende in 150 Paesi ha evinto che il livello di preparazione di chi lancia attacchi via email è sempre più elevato: aziende di tutte le dimensioni, in qualsiasi settore e ovunque nel mondo, rischiano di cadere vittime di questi attacchi di social engineering altamente mirati.
Cresce il numero di identità violate
Basti pensare che, secondo quanto rilevato, nel quarto trimestre, l’88,8% di tutte le organizzazioni è stato preso di mira da almeno una di queste incursioni. Un incremento significativo se paragonato al 75% delle organizzazioni colpite nel quarto trimestre dell’anno precedente. Se da un lato gli attacchi vengono inviati in volumi più bassi, dall’altro i truffatori stanno ampliando il loro raggio d’azione all’interno delle organizzazioni, violando un numero sempre maggiore di identità e prendendo di mira più persone, nelle varie divisioni aziendali.
In media, le organizzazioni hanno subìto il 17% in più di attacchi nel 2017 rispetto al 2016. Il numero di identità contraffatte in media all’interno di un’azienda si è aggirato intorno a 5, con un picco di 10 nel quarto trimestre. All’interno di una determinata organizzazione, in media 13 persone sono state prese di mira nel corso dell’ultimo anno.
I trend delle frodi via email
Le tattiche di frode via email variano costantemente, mentre i criminali informatici fanno quasi sempre leva sulle emozioni umane per sottrarre dalle organizzazioni denaro e informazioni preziose.
L’analisi ha rivelato che la maggior parte dei criminali informatici mirava a ottenere trasferimenti di denaro, dal momento che quasi un messaggio su tre includeva piccole variazioni della parola “pagamento” nella riga dell’oggetto.
Negli Stati Uniti in particolare, si è registrato in Q1 un picco delle truffe legate al modulo W2, l’equivalente del CUD in Italia, certo correlato alle scadenze fiscali. Un’incidenza simile si era verificata anche nel primo trimestre del 2016.
Per far sì che il messaggio email sembri veritiero, gli aggressori ne variano il tono, assumendo di volta in volta ruoli differenti, da chi utilizza un approccio diretto e autoritario a chi invece costruisce una sorta di dialogo prima di inoltrare la richiesta.
È stato anche registrato un aumento del numero di “fake email chain”, messaggi in cui l’autore dell’attacco crea una falsa cronologia e-mail per offrire un’esperienza realistica e apparire più credibile. Nel quarto trimestre, oltre l’11% degli attacchi portati via email ha adottato una variazione di questa tattica.
Combattere le frodi con DMARC
Verso la fine del 2017, si sono intraprese alcune importanti iniziative per aiutare le organizzazioni a combattere le frodi via email. A ottobre, ad esempio, il Department of Homeland Security ha conferito un mandato (BOD 18-01) a tutte le agenzie federali civili, con l’obiettivo di incrementare le postazioni di sicurezza, oltre all’obbligo di implementare Domain-based Message Authentication Reporting & Conformance (DMARC) entro 12 mesi. Al momento di questa direttiva, quasi 1 email su 8 inviata da un indirizzo email .gov risultava fraudolenta.
L’autenticazione DMARC impedisce ai criminali informatici di dirottare i domini di posta elettronica fidati di un’organizzazione, nel tentativo di ingannare dipendenti, clienti o partner commerciali. A fronte di una percentuale significativa di queste agenzie ancora in ritardo rispetto alle scadenze indicate dal DHS, i tassi di adozione DMARC sono aumentati, passando dal 17% di ottobre a circa il 52% registrato a metà gennaio 2018.
Poco dopo l’annuncio di BOD da parte di DHS, il National Health Information Sharing and Analysis Center (NH-ISAC) ha chiesto ai suoi membri di impegnarsi a implementare l’autenticazione DMARC nel 2018.
Come bloccare tutte le forme di frode via email
Se implementare DMARC rappresenta un ottimo primo passo, le frodi via e-mail sono in continua evoluzione. I criminali informatici sfruttano varie tecniche di spoofing nel tentativo di raggiungere l’obiettivo previsto e indurre i malcapitati a comportarsi come loro vogliono. Tra questi troviamo tecniche di spoofing quali violazione di domini, display name e domini lookalike.
Le organizzazioni necessitano di una soluzione a più livelli per bloccare tutte le forme di frode via email, tra cui classificazione dinamica, autenticazione email, lookalike domain discovery e data loss prevention (DLP).
