La pandemia ha contribuito in modo importante alla diffusione di rischi informatici e di fenomeni quali il phishing, le truffe informatiche online e il cyberbullismo. Lo dimostra il report di ENISA.
Negli ultimi mesi le minacce cyber sono incrementate in modo considerevole. Secondo il Report dell’ENISA (Agenzia Europea per la Cybersecurity, Report “ETL - Enisa Threat Landscape 2020”, del 20 ottobre 2020), la pandemia ha contribuito in modo importante alla diffusione di rischi informatici e di fenomeni quali il phishing, le truffe informatiche online (mediante siti contraffatti, fake e-commerce), il cyberbullismo.
A queste minacce, già tristemente note, se ne sono aggiunte di nuove, che discendono direttamente da nuove vulnerabilità, amplificate dall’ampio ricorso allo smartworking, e dall’aumento del tempo passato sul web e sui social.
D’altronde, come dichiarato dal direttore esecutivo dell’ENISA, Juhan Lepassaar, non è una novità che “Le minacce informatiche si evolvono e diventano sempre più complesse”. A fronte di questa complessità l’utente deve reagire con un’arma importante: la consapevolezza.
Nell’articolo di oggi vediamo quindi le principali nuove minacce e come tutelarsi.
Phishing, spear phishing, smishing, vishing
Gli attacchi di phishing sono un mezzo per persuadere le ignare vittime a divulgare informazioni riservate come credenziali, dettagli relativi ad account bancari, carte di credito, etc. La combinazione dell’attacco di phishing si basa sulle tecniche di social engineering (il fare leva sulle debolezze e su vulnerabilità della persona) e sull’inganno.
Solitamente il vettore utilizzato è la posta elettronica, tramite mail SPAM, ma può trattarsi anche di siti web dannosi, messaggi istantanei (anche chat), che sembrano provenire da una fonte legittima come una banca o un social network. I cyber criminali spesso usano tattiche volte a spaventare l’interessato, oppure richieste urgenti per invogliare i destinatari a rispondere.
I messaggi fraudolenti di solito non sono personalizzati e possono condividere proprietà generiche simili, con un linguaggio spesso molto formale e pieno di errori di ortografia. Questo può agevolare l’utente nel riconoscere la minaccia.
Il discorso cambia quando parliamo di “spear phishing”, ovvero una versione più sofisticata ed elaborata del phishing. In questo caso gli attacchi sono personalizzati: i cyber criminali possono utilizzare informazioni pubbliche trovate su siti di social media come LinkedIn o Facebook e modificare il loro messaggio esca in modo che l'email risulti credibile, e che gli utenti presi di mira si sentano obbligati a reagire ad essa.
Dall’avvento dello smartphone, inoltre, stanno prendendo sempre più piede due particolari tipi di attacchi basati sul phishing, che prendono il nome di “smishing” e “vishing”. Lo “smishing”, combinazione delle parole SMS e Phishing, si concretizza attraverso messaggi sms malevoli.
La tecnica del “vishing”, invece, è la combinazione delle parole Voice (voce in inglese) e Phishing e consiste nel contattare la potenziale vittima tramite una chiamata telefonica nella quale un finto operatore, utilizzando diverse leve quali l’urgenza o il pericolo, induce l’interlocutore a fornire i codici di accesso (ad esempio del proprio conto corrente).
La tecnica del “doppio attacco”
Statisticamente il phishing risulta essere la tecnica più utilizzata per distribuire malware. Fra i malware più diffusi vi è il ransomware, un tipo di malware che cripta i dati, richiedendo un riscatto (“ransom” in inglese) da pagare per rimuovere la limitazione.
Nel panorama dei ransomware la nuova minaccia è rappresentata dalla tecnica del “doppio attacco”: in questo caso i cyber criminali non si limitano a rendere inaccessibili i dati al legittimo proprietario richiedendo un riscatto, ma li acquisiscono e minacciano di pubblicarli sul web.
Un’azienda colpita da questo attacco – crittazione, furto e minaccia di pubblicazione – subisce molteplici danni: non solo la perdita dei dati e l’indisponibilità dei servizi correlati, ma anche la potenziale violazione di proprietà intellettuali, le conseguenze in termini di immagine e di brand reputation, le ripercussioni economiche, i rischi di importanti sanzioni derivanti dall’ampia portata del data breach.
Ragnar Locker ed Egregor ransomware
Fra i ransomware che utilizzano la tecnica del doppio attacco vi sono “Ragnar Locker” ed “Egregor”, minacce di nuova generazione che combinano le più sofisticate tecniche di encryption dei dati (l’AES - Advanced Encryption Standard - algoritmo di crittografia utilizzato da governi, istituzioni finanziarie e imprese, che rende impossibile la decifratura senza chiave), al Data Leak, ovvero alla diffusione di informazioni sul web.
Ragnar Locker è stato il protagonista del recente data breach di Campari; Egregor ha colpito Randstad. Tante altri grandi aziende quali Enel, Geox, il gruppo Carraro, Luxottica, hanno subito violazioni basate sulla tecnica del doppio attacco.
Come farsi trovare preparati
Nel tempo le aziende hanno imparato ad investire nella cybersecurity ed in sistemi di backup e recovery dei dati in grado di ripristinare le informazioni entro breve. Per incentivare al pagamento del riscatto i cyber criminali si sono quindi adeguati introducendo la tecnica del doppio attacco.
In caso di estrazione di dati, quindi, il baricentro dell’azione di cyber security deve spostarsi dalla gestione ex post, al rafforzamento della capacità di prevenzione.
Fermo restando quindi la necessità di adozione di procedure e piani di Incident Response, Business Continuity e Disaster Recovery, in tale contesto sono fondamentali misure di sicurezza quali:
- Alert e strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi. Strumenti di analisi in tempo reale da installare su endpoint, server e nei nodi critici della rete, basati non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
- Tecniche di pseudonimizzazione dei dati e di cifratura applicativa, che proteggono le persone a cui tali informazioni si riferiscono.
Per concludere, ad integrazione di quanto sopra, l’ENISA raccomanda di impostare una strategia aziendale di prevenzione, basata sulla consapevolezza (degli utenti interni alle organizzazioni) e, con le dovute garanzie, sul monitoraggio costante (dei dispositivi e degli strumenti aziendali utilizzati in ambito lavorativo).
Il Report ENISA è disponibile visitando il seguente link.