Gli attacchi di phishing, ovvero attacchi di ingegneria sociale che mirano a rubare i dati degli utenti, stanno vivendo una rivoluzione. Il recente rapido sviluppo dell’intelligenza artificiale ha fatto molto di più che aprire nuove strade per le imprese legittime: ChatGPT viene ora utilizzato per condurre truffe di phishing.
Scopri come LayerX può aiutare il tuo team di sicurezza
Cosa sono gli attacchi di phishing?
Il phishing esiste quasi da quando Internet. I primi attacchi sfruttavano una rudimentale sicurezza della posta elettronica che consentiva agli aggressori di rubare indirizzi e-mail e diffondere messaggi dannosi attraverso le onde radio. La punta di diamante dei primi attacchi di phishing è stata la truffa Nigerian Prince. In questo, un membro dell'apparente famiglia reale nigeriana avrebbe contattato le potenziali vittime offrendo una somma di denaro allettante. Facendo leva sulle proprie insicurezze finanziarie, agli individui vulnerabili verrebbe promessa la somma una volta inviata una “commissione di elaborazione”.
Gli attacchi moderni hanno preso questo modello e sono cresciuti e fioriti ben oltre gli inganni carichi di errori di battitura. Grazie all’enorme volume di informazioni gestite oggi dagli account online, gli aggressori ora mirano a raccogliere qualsiasi cosa, dai dettagli del conto bancario ai nomi utente e alle password. Con il pretesto di una fonte legittima e rispettabile, un utente malintenzionato tenta di estrarre informazioni con una richiesta allettante o allarmante.
In una recente prova di concetto, nonostante l'avvertimento dello strumento di una potenziale violazione della sua politica sui contenuti, i ricercatori hanno richiesto allo strumento di impersonare un'e-mail di una società di hosting. Ciò ha creato una buona prima bozza. Riprendendo questo primo tentativo, hanno poi chiesto una variante che convincesse l'obiettivo a scaricare un documento Excel trojan.
Questo è stato il risultato:
I ricercatori sono andati oltre: con il programma Codex di Open AI – utilizzato per convertire il testo in codice – sono stati in grado di creare un documento Excel che, all'apertura, iniziava automaticamente a scaricare il codice dannoso. Nonostante le limitazioni imposte a questi sistemi di intelligenza artificiale, il Codex non è riuscito a identificare l’intento dannoso all’interno della richiesta. Proprio come l'e-mail di phishing di ChatGPT, il codice iniziale presentava dei difetti, ma dopo alcune iterazioni offriva uno script dannoso perfettamente funzionante.
Man mano che gli attacchi di phishing si evolvono, è fondamentale che la tua organizzazione sia sempre un passo avanti.
Come funziona il phishing
Il fulcro di qualsiasi attacco di phishing è un messaggio. Ciò potrebbe avvenire via e-mail, tramite i social media o per telefono. La connessione costante dei moderni smartphone e dispositivi costituisce la più grande superficie di attacco nella storia della cyber.
Un utente malintenzionato di phishing spesso utilizza informazioni pubbliche, siano esse informazioni pubblicate sugli account dei social media o fughe di informazioni precedenti subite dai principali raccoglitori di dati. Queste informazioni di base li aiutano a creare un profilo della vittima, incluso il nome, gli interessi personali e l'esperienza lavorativa del destinatario. Tutti questi dati vengono inseriti in un attacco per creare un messaggio affidabile e convincente. I destinatari dei moderni attacchi di phishing provengono dai milioni di indirizzi e-mail coinvolti ogni anno in violazioni di dati. Il recente studio sul costo della violazione dei dati condotto da IBM e Ponemon ha rilevato che attualmente le violazioni dei dati costano in media quasi 4 milioni di dollari, con il 90% delle imprese avendo subito una violazione durante l'ultimo anno. Le informazioni di contatto trapelate vengono scambiate tramite mercati sotterranei, impacchettate in database utilizzabili per campagne di phishing diffuse.
L'e-mail che appare nella casella di posta di una vittima tenta spesso di mascherarsi da legittima: queste campagne possono essere supportate con allegati dannosi e siti Web di supporto, progettati per raccogliere ancora più dati personali dalle loro vittime.
Tipi di attacchi di phishing
Esistono vari canali utilizzati dagli aggressori per contattare le loro vittime. Questi attacchi di phishing rappresentano un'ampia varietà di compromessi, ciascuno dei quali fa affidamento su determinati punti di forza del proprio mezzo.
Email di phishing
Una delle forme di phishing più antiche e di maggior successo: spesso gli aggressori si registrano con nomi di dominio che sono quasi falsificazioni della versione legittima. Questi possono variare da domini completamente amatoriali (se gli aggressori scelgono di prendere di mira deliberatamente coloro che leggono le e-mail) o domini e-mail falsificati che appaiono quasi identici alle loro versioni legittime. Sostituire o aggiungere caratteri speciali è uno degli approcci più comuni (ad esempio, passare da mybank a my-bank). Con un solido spoofing, iniziano quindi a inviare attacchi di phishing a migliaia di potenziali vittime.
Smishing
Mentre gli attacchi di phishing tradizionali si basano sulla posta elettronica, negli ultimi dieci anni gli smartphone hanno aperto un approccio completamente nuovo agli attacchi. I messaggi SMS fraudolenti sfruttano appieno i protocolli di sicurezza più flessibili utilizzati dai dispositivi mobili (e dai loro utenti). Questi messaggi spesso si collegano a un sito infetto da malware controllato dall'aggressore, con URL abbreviati e l'assenza del passaggio del mouse che consente agli aggressori di avere il sopravvento.
Spear Phishing
In risposta al fatto che l’approccio spray-and-pray diventava sempre meno efficace, gli aggressori si sono rivolti a una forma di attacco più potente: lo spear phishing. Ciò condensa gli sforzi degli aggressori in un numero minore di vittime, prendendo di mira solo poche vittime. Questi attacchi beneficiano di tutta la forza dell'attenzione dell'aggressore, oltre a utilizzare l'intera gamma di informazioni contenute nei profili pubblici Facebook e LinkedIn.
Vishing
Simile allo smishing, gli aggressori sono ansiosi di utilizzare anche altri approcci: il voice phishing, o vishing, sfrutta il rapporto più diretto tra chiamante e vittima. Ciò rende alcuni aspetti degli attacchi di phishing – come l’urgenza indotta e le minacce – particolarmente potenti. In questo caso gli aggressori utilizzano lo stesso approccio ingannevole, spesso fingendosi una squadra investigativa della banca della vittima. Da lì, i criminali spesso chiedono i dati della carta di credito della vittima per verificarne l'identità. Tuttavia, il vishing può anche essere automatizzato: queste chiamate robotizzate spesso richiedono all’utente finale di digitare i dettagli personali sulla tastiera.
Phishing del pescatore
Mentre molti aggressori perseguono attivamente le loro potenziali vittime, l’angle phishing adotta un approccio diverso, aspettando invece che siano loro a raggiungerli. Nascondendosi dietro la facciata di un falso account sui social media per un'organizzazione autentica e ben nota, l'aggressore può anche includere l'immagine del profilo dell'account autentico. Oltre a utilizzare un approccio falso in modo convincente, gli hacker phisher sfruttano la crescente tendenza dei reclami dei consumatori gestiti tramite i canali dei social media. Mentre i clienti li utilizzano per chiedere aiuto, gli aggressori sono liberi di manipolare la conversazione verso i propri obiettivi di raccolta dati.
Come identificare i segnali di phishing?
Mentre l’ingegneria sociale è una componente importante delle e-mail dannose, ci sono alcune buone notizie: gli aggressori spesso si affidano ad alcuni approcci chiave nei loro messaggi. Questi sono abbastanza ricorrenti che, semplicemente tenendo gli occhi aperti, diventa possibile individuare attacchi di phishing con poco sforzo prima che venga fatto clic su un collegamento o un documento dannoso.
Conseguenze negative e urgenti
Qualsiasi messaggio che minacci o ponga particolare enfasi su conseguenze negative dovrebbe essere considerato con estrema cautela. Questo perché l'implicazione della minaccia innesca la risposta del cortisolo nel cervello. Mentre il cuore batte più velocemente e il sangue scorre ai muscoli in risposta diretta a questo ormone dello stress, l’aggressore dirotta questa risposta biologica. È uno dei motivi per cui le email false per la reimpostazione della password sono uno strumento così potente nell'arsenale dell'aggressore: nascondendosi sotto la minaccia di compromissione dell'account, gli aggressori sono in grado di aggirare i processi di pensiero critico che di solito ti proteggono. Se abbinate a un tono urgente, le vittime sono molto inclini a soddisfare ogni richiesta dell'aggressore.
Tono insolito
Un'altra caratteristica dei messaggi di phishing che dovrebbe far scattare un allarme immediato nel destinatario è un tono inappropriato o inaspettato. Il vantaggio delle vittime è semplice: sai quanti dei tuoi colleghi, amici e familiari comunicano. Questa consapevolezza ti pone su una base più forte per rilevare casi di comunicazione anormale. Se un caro amico invia un messaggio includendo un linguaggio formale, o un collega inizia a usare termini eccessivamente amichevoli, può essere il primo indicatore che ti consente di proteggerti.
Richieste inaspettate
Simile al tono dell'e-mail, le richieste integrate in un'e-mail di phishing possono fornire un'altra visione delle vere intenzioni del mittente. Se all'improvviso ti viene richiesto di eseguire un'azione che non rientra nei tuoi soliti compiti, vale la pena dedicare un secondo in più per ricontrollare. Ciò può trarre vantaggio dalla maggiore comprensione contestuale a disposizione delle vittime: ad esempio, se la tua organizzazione dispone di un team IT centrale che gestisce l'installazione del software, sai che dovrai trattare qualsiasi e-mail che richiede il download di software con estrema cautela.
Come proteggere la tua azienda dagli attacchi di phishing
Sebbene sia possibile che i singoli individui diventino incredibilmente attenti al phishing, resta il fatto che il phishing a livello aziendale è semplicemente un gioco di statistiche: qualcuno, da qualche parte, avrà fretta e aprirà la porta agli aggressori. Protezione a livello aziendale richiede un mix di formazione coinvolgente e incentrata sulle abitudini e soluzioni che supportino meglio i dipendenti a rimanere protetti.
Formazione per la sensibilizzazione dei dipendenti
La fondazione di solida protezione dal phishing i piani iniziano dalla vittima: fornendo ai dipendenti informazioni aggiornate e pertinenti sulla natura degli attacchi odierni, gli attacchi di ingegneria sociale diventano molto più difficili da commettere con successo. Ciò rende la formazione dei dipendenti una delle forme più importanti di difesa aziendale. I dipendenti devono comprendere gli obiettivi e le tecniche degli attacchi di phishing all’avanguardia e sapere a quali membri del team segnalare gli incidenti sospetti. In questo modo, l’organizzazione non solo supporta i dipendenti, ma assume un atteggiamento proattivo in materia di sicurezza informatica che si adatta e si evolve insieme agli aggressori.
Oltre a ciò, i dipendenti dovrebbero essere incoraggiati a tenere d’occhio gli indicatori positivi di sicurezza: i badge di fiducia di soluzioni antivirus affidabili offrono un indicatore rapido e accessibile della sicurezza del sito e delle applicazioni.
Limita l'accesso
Mentre gli utenti migliorano la propria protezione dal phishing, le policy a livello aziendale possono supportare questi sforzi. Gli account utente privilegiati sono uno degli obiettivi più ambiziosi per gli autori di attacchi, grazie al maggiore raggio d'azione consentito per un attacco riuscito. Il principio del privilegio minimo consente ai dipendenti di continuare ad accedere ai dati di cui hanno bisogno, riducendo al minimo il rischio di diventare un bersaglio.
Metti alla prova la resilienza prima che gli attacchi colpiscano
Con la formazione e l'infrastruttura predisposte, la resilienza della tua organizzazione al phishing sta già iniziando a prendere forma. Tuttavia, il costo delle violazioni dei dati oggi è troppo elevato per correre rischi, motivo per cui sia i team di sicurezza che gli utenti finali traggono enormi vantaggi dalle simulazioni di attacchi di phishing semi-regolari. Dagli utenti che acquisiscono familiarità con le moderne tecniche di attacco, alla fornitura di una visione macro di quanto sia veramente ben difesa un'azienda, questi test sono un asso nella manica per la protezione proattiva dal phishing.
Prevenzione del phishing con la piattaforma di sicurezza del browser LayerX
Il pezzo finale del puzzle anti-phishing è uno strato di meccanismi preventivi che bloccano attacchi completamente nuovi. Le tradizionali soluzioni anti-phishing funzionano bloccando gli URL noti già utilizzati dagli aggressori. Sebbene efficace contro gli autori di minacce più vecchi e consolidati, questo approccio è del tutto reattivo: può prevenire gli attacchi solo se l'URL da loro scelto è stato contrassegnato e segnalato. Gli aggressori, invece, sono in grado di saltare costantemente da un URL all'altro, facendo sì che la maggior parte dell'architettura di phishing rimanga fuori dall'ambito di questa protezione.
LayerX offre un rilevamento delle minacce ad alta precisione senza fare affidamento su conoscenze precedenti. Invece di un semplice elenco di URL nella lista nera, LayerX effettua l'identificazione di siti sospetti in base all'analisi dell'attività prevista del sito web. Il nostro motore ML indipendente esegue questa analisi in tempo reale tramite un estensione del browser di facile installazione, con latenza zero. In questo modo è possibile scoprire intenti dannosi prima che il dispositivo dell'utente finale si connetta al server Web controllato dall'aggressore. Con un approccio proattivo al phishing, la tua organizzazione può stare al passo con qualsiasi aggressore, sia umano che umano.