Galvanizzati dagli stravolgimenti globali e dalla crescente diffusione del lavoro da remoto, i cybercriminali hanno incrementato le loro attività, prendendo di mira le aziende forti di un arsenale di minacce nuove e vecchie che, indipendentemente dalla tattica, condividono un elemento comune: puntano alle persone e non alle infrastrutture.
A sostenerlo è Adenike Cosgrove, Senior Director, International Product Marketing di Proofpoint, intenta a riflettere sull’evoluzione nel ruolo dei cybercriminali, tra crescita degli attacchi BEC e nuove tipologie di minacce, nella convinzione che al centro di tutto restano le persone e la necessità di costruire una cultura della sicurezza che le metta al centro.
Gli attacchi ransomware sono aumentati significativamente l’anno scorso, con le e-mail sempre più utilizzate come punto di accesso; nel frattempo, un’altra minaccia incentrata sulle persone, il phishing delle credenziali, è stata la tipologia di attacco più diffusa, tanto da rappresentare oggi i due terzi di tutti i messaggi pericolosi. Inoltre, sono emerse campagne sempre più elaborate di Business Email Compromise (BEC), affiancate da novità come la steganografia, tecnica con cui si nascondono i payload malevoli in immagini e file audio.
Con così tante minacce comuni che richiedono un’interazione umana, il cybercriminale moderno non ha più bisogno di calarsi nei classici panni dell’hacker per penetrare nel sistema di un’azienda: una volta ottenuto l’accesso ai dati di cui ha bisogno, può semplicemente accedere tramite log in.
Con questo in mente, la manager di Proofpoint ha esaminato alcune delle principali tipologie di attacchi focalizzati sulle persone, e l’approccio per difendersi.
L’ascesa del ransomware negli attacchi alle persone
Gli attacchi ransomware sono aumentati del 300% l’anno scorso e anche nel 2021 hanno colpito target di alto profilo. Oggi però, sono leggermente diversi rispetto al passato: una volta i payload pericolosi venivano consegnati nella casella email, ora si presentano spesso come attacchi in due fasi.
La posta elettronica rimane comunque un punto di accesso principale, con gli attacchi ancora focalizzati sulle persone. Oggi l’email consegna un malware di primo livello che agisce come backdoor per un altro payload, generalmente distribuito attraverso un remote desktop protocol (RDP) e accesso alla VPN.
Le email di phishing e di spam, dunque, restano il principale canale di distribuzione del ransomware, ed è imperativo che tutte le organizzazioni diano priorità alla protezione della posta elettronica tramite filtering avanzato e rilevamento delle minacce, con una soluzione in grado di rilevare e mettere in quarantena allegati, documenti e URL dannosi prima che possano raggiungere l’utente.
Attacchi BEC sempre più in primo piano
Gli attacchi di Business Email Compromise non sono una novità: già nel 2016 l’FBI li aveva identificati come causa di un danno economico di circa 3,1 miliardi di dollari alle aziende di tutto il mondo. Oggi, si stima che siano responsabili del 44% di tutte le perdite relative al cybercrime. Il trend attuale è più ampio: gli attacchi non stanno necessariamente crescendo in volume, ma stanno diventando più mirati – e ambiscono a ritorni più elevati.
Negli attacchi più elaborati, ad esempio, i criminali effettuano lo spoofing di domini C-level per istruire le vittime a trasferire grandi somme di denaro: è sufficiente che un unico tentativo vada in porto per avere risultati altamente redditizi.
Per affrontare minacce prive di payload come BEC servono visibilità e un ampio e profondo insieme di dati e competenze umane sulle minacce per addestrare modelli di machine learning in grado di rilevare e bloccare accuratamente solo i messaggi pericolosi e non quelli sicuri. Per arrestare le frodi via email in evoluzione è opportuno affidarsi a una soluzione che combini machine learning, grandi quantità di dati sulle minacce e competenza degli analisti.
La steganografia, una minaccia emergente
La steganografia può non essere la forma di attacco più significativa in termini di volume, ma pochi possono batterla quando si tratta del tasso di successo, con più di 1 persona su 3 che l’anno scorso ha cliccato sul payload infetto. Si tratta di numeri veramente elevati di cui un cybercriminale può certo essere orgoglioso. Con payload nascosti, in JPEG, file .wav e simili, gli attacchi basati sulla steganografia non possono essere individuati a occhio nudo. Evitare questa minaccia richiede strumenti di analisi completi per analizzare la messaggistica alla ricerca di dati anomali e dannosi. E, naturalmente, vigilanza e cautela da parte degli utenti. Se per lavoro non è obbligatorio cliccare su un’immagine o un file audio, meglio non farlo.
Serve una cultura della sicurezza centrata sulle persone
Proprio come le persone sono al centro di questi attacchi sempre più comuni, allo stesso modo dovrebbero esserlo in qualsiasi difesa efficace. Oggi, una solida postura di sicurezza richiede un approccio su più fronti, che combini persone, processi e controlli tecnologici.
I criminali prendono continuamente di mira gli utenti per esporre dati riservati, compromettere le reti e persino trasferire direttamente denaro. Attraverso una combinazione tecnica di regole per il gateway delle email, analisi avanzata delle minacce, autenticazione dei messaggi e visibilità sulle applicazioni in cloud, è possibile bloccare la maggior parte degli attacchi mirati prima che raggiungano i dipendenti. Tuttavia, non possiamo fare affidamento solo sui controlli tecnici perché, come abbiamo visto, si tratta anche di un problema umano.
La sicurezza è una responsabilità condivisa, ed è necessario fornire gli strumenti giusti alle persone, a ogni livello aziendale, per comprendere la sicurezza e i comportamenti rischiosi che possono portare a violazioni. I programmi di formazione e sensibilizzazione sono cruciali, ma vanno adattati, assicurandosi che si svolgano dalla prospettiva dell’utente e siano rilevanti per il suo lavoro e la sua vita personale.
Inoltre, le persone vanno rese parte integrante della protezione, fornendo loro semplici modalità con cui effettuare segnalazioni al team di sicurezza, come pulsanti per inviare automaticamente potenziali email di phishing – in questo caso, i falsi positivi non devono costituire un problema.
Oltre il 99% delle minacce informatiche richiede un’interazione umana per avere successo e se le persone hanno un ruolo importante per un attacco, devono averlo anche per la protezione. I criminali informatici passano giorno e notte cercando di accedere in reti, sistemi e dati e il minimo che possiamo fare è farli faticare un po’ di più.