Security Notes

#Phishing: evergreen delle minacce cyber

phishing

Purtroppo i dati sul cyber crime non sono affatto incoraggianti. Gli 80mila incidenti di analizzati nel Data Breach Investigation report di Verizon hanno portato a perdite di dati per un danno economico di più di 400 milioni di dollari per le aziende coinvolte.

Contrariamente a quanto si possa pensare, il era e rimane uno dei metodi di attacco informatico più diffusi e usati. Nonostante sia la tecnica più conosciuta dalla maggior parte delle persone, ancora oggi gli utenti che cliccano su e-mail di costituiscono percentuali altissime. In sostanza, attraverso questo attacco, il criminale cerca di convincere con l’inganno la vittima del raggiro a fornire dati personali sensibili, attraverso l’invio di e-mail che simulano la grafica di siti postali o bancari, richiedendo le credenziali di accesso o il numero della carta di credito. All’interno di questa e-mail “esca” è presente un link che la vittima dovrebbe cliccare per risolvere il proprio problema, che invece porta il malcapitato su un sito falso, nel quale inserire i propri dati personali consegnandoli così al malvivente. Una variante del , che da qualche anno si sta diffondendo nei Paesi di lingua anglofona, è il vishing. La truffa, effettuata però attraverso il telefono, è la stessa. Con l’inganno e tecniche di persuasione, il criminale cerca di farsi consegnare dati personali e password fingendosi un operatore di call center o dell’assistenza. Questo nuovo tipo di truffa fa leva sulla maggiore fiducia che la vittima ripone verso una persona con cui ha un contatto diretto e più personale di una semplice e-mail e che sembra avere l’autorizzazione a richiedere informazioni sensibili. L’evoluzione più pericolosa è però lo spear-, nel quale il cyber criminale non invia e-mail casuali a una moltitudine di utenti, ma si concentra su poche vittime, calibrando con precisione l’attacco.

phishingNonostante anni di esperienza non si riesce ancora a non cedere alla tentazione di cliccare su link malevoli. I dati dello studio Verizon confermano che questo trend è in crescita: la percentuale degli utenti che clicca su una e-mail di phishing è salito dal 10% dello scorso anno al 23% nel 2015. Ancora più sconfortante è il dato che vede l’11% degli utenti aprire anche gli allegati contenuti nelle e-mail che contengono malware. Questo studio dimostra quanto sia altamente proficuo per un cyber criminale usare tecniche di phishing, dato che una campagna di appena 10 messaggi di posta elettronica produrrebbe una probabilità superiore al 90% che almeno un utente cada vittima dell’attacco. In base ad un esperimento effettuato dai ricercatori Verizon si è potuto stimare che quasi il 5% degli utenti cliccano su una e-mail di phishing già nella prima ora di invio della stessa. Dati di un’indagine Intel Security su 19 mila utenti di 144 Paesi rivelano che solo il 3% del campione è riuscito a riconoscere tutte le e-mail di phishing e l’80% invece non è riuscito ad identificarne nemmeno una.

Secondo il Guardian, nel 2015, uno dei trend in maggiore ascesa tra le minacce cyber riguarderà proprio il phishing. Il dato più interessante è che pur diminuendo in misura assoluta il volume dello spam, la sua sempre maggiore sofisticatezza rende più difficile ai programmi antispam filtrare questi messaggi, con il risultato che l’utente se ne vede ricevere di più nella sua casella di posta, dato confermato anche dall’ultimo Internet Security Threat Report di Symantec e dal rapporto di Kaspersky sul primo trimestre 2015. Secondo i dati Kaspersky Lab, infatti, la percentuale di e-mail “spazzatura” rilevata nel traffico globale di posta elettronica si attesta intorno al 59,2%, in lieve flessione rispetto al trimestre precedente. Nello stesso arco di tempo si sono registrati però oltre 50 milioni di e-mail di phishing, 1 milione di rilevamenti in più rispetto al trimestre precedente. Sempre secondo questo studio, uno dei trend più rilevanti di questi ultimi mesi vede la realizzazione di campagne di phishing attraverso false e-mail di società di logistica, che offrono l’acquisto di determinati prodotti con la richiesta di pagamento anticipato delle spese di spedizione.

Il pishing nelle aziende

Il phishing rappresenta, soprattutto per le aziende di qualsiasi settore e dimensione ma in particolare per le PMI, una minaccia da non sottovalutare. Dati Verizon dimostrano che è più efficace di quanto non si possa pensare. Il grafico seguente, infatti, illustra che mediamente ogni 14 e-mail di phishing ricevute in azienda, una viene cliccata. Il phishing può causare danni anche ingenti, in quanto il furto di credenziali di accesso e di dati sensibili come quelli bancari può portare a significative perdite economiche, che possono portare un’azienda a chiudere reparti aziendali, a porre i propri dipendenti in cassa integrazione e a rischiare addirittura il fallimento.

Phishing

Percentuale di successo di campagne di phishing

In questi ultimi anni le aziende di grandi dimensioni non sono più l’obiettivo preferito dei cyber criminali, come dimostrano i dati dell’Internet Security Threat Report 2014 di Symantec. La distribuzione degli attacchi attraverso spear-phishing infatti risulta essere più omogenea che in passato, non essendoci più molte differenze tra grandi imprese e PMI, che inoltre sono le meno protette.

Phishing2

Distribuzione attacchi phishing per dimensione aziendale

Sempre secondo il report di Symantec l’incremento di attacchi di spear-phishing con obiettivo piccole e medie imprese è rispettivamente del 30% e 26%. Riguardo proprio le PMI, la distribuzione degli attacchi rilevati all’interno della rete monitorata da Certego, azienda di servizi di sicurezza IT di Modena, relativi ai primi 5 mesi 2015, mostra come ben il 12,5% del totale degli attacchi andati a buon fine sia rappresentato da phishing, cioè e-mail che hanno superato le barriere tecniche dei filtri antispam, riuscendo ad ingannare i destinatari.
E i social non fanno eccezione: un altro aspetto da non sottovalutare è che dal 2012 grosse percentuali di spam e phishing si sono spostate proprio su piattaforme social: Kaspersky, infatti, rileva che nel 2014 il 22% delle truffe di phishing riguarda proprio Facebook.

Come emerge da uno studio condotto da UNICRI, il phishing, rappresenta oggi la quasi totalità dei casi che arrivano sulle scrivanie dei magistrati italiani relativi a fenomeni di cyber crime. I magistrati riferiscono di un vero e proprio stillicidio sui conti correnti a causa del phishing e dei prelievi on-line rispetto ai quali si può fare ben poco, sia spesso per la pochezza del singolo prelievo, sia per la velocità della tipologia di reato nei confronti del quale è molto difficile investigare.

Riguardo la situazione italiana, il Kaspersky Security Bulletin Spam in 2014 evidenzia come ben il 5,57% della totalità degli utenti attaccati dal phishing nel 2014 sia italiano. Inoltre il nostro Paese risulta il più colpito tra quelli europei.

Il fattore umano è dunque un elemento assolutamente determinate in questo tipo di criminalità, che spesso sfrutta le debolezze umane per i propri scopi. Distrazione, superficialità, negligenza, altruismo, fiducia e curiosità sono comportamenti su cui molte tipologie di attacco poggiano le loro basi. I cyber criminali contano proprio sui piccoli errori umani per trarne vantaggio, come ad esempio convincere un utente a cliccare su un link in una e-mail di phishing che porterà ad infettare il suo PC, o a rivelare informazioni personali o aziendali puntando sulla propensione a non verificare l’attendibilità di chi sta dall’altra parte del computer. Tutto questo ci suggerisce che, con un’adeguata formazione, l’utente può diventare un sensore più efficace di qualsiasi strumento tecnologico nel rilevare una e-mail di phishing.

Flavia Zappa Leccisotti

Flavia Zappa Leccisotti

Ricercatrice indipendente nel campo del cyber crime e cyber warfare. Laureata in Scienze della Politica presso l’Università degli Studi di Macerata. Nei suoi studi si è occupata principalmente di Sociologia della devianza, Politiche di sicurezza, Antiterrorismo e Analisi delle politiche pubbliche. Durante gli anni di studio ha maturato diversa esperienza in ambito criminologico ed ha partecipato alla realizzazione di numerosi progetti di ricerca. Ha conseguito il Master di II livello presso l’Università Campus Bio-Medico di Roma in Homeland Security. Ha recentemente realizzato per conto di UNICRI due studi sull’impatto del cyber crime sulle PMI.

Twitter LinkedIn 

2 commenti

Commenti e reazioni su:

Loading Facebook Comments ...

2 Comments

  1. Pingback: Come riconoscere e difendersi dal phishing | Tech Economy

  2. Pingback: Man-in-the-Middle: Internet of Things e sicurezza | Tech Economy

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This