Gli attacchi di phishing sono aumentati di quasi il 50% nel 2022 rispetto al 2021, e tutto lascia pensare che la tendenza continuerà anche quest'anno.
Questo dato e il relativo trend sono riportati nel report ThreatLabz 2023 Phishing di Zscaler, che fornisce un aggiornamento su quello che è già il vettore di attacco più popolare utilizzato dagli hacker: il phishing.
Un vettore di attacco che non può che aumentare nel periodo estivo, se si considera che lavorare dal luogo di villeggiatura è una modalità sempre più diffusa, nonché un benefit interessante per fidelizzare i propri dipendenti.
Tony Fergusson, Ciso Emea di Zscaler illustra i potenziali rischi di un aumento del phishing, soprattutto nel periodo estivo.
Non abbassare le difese
In un contesto vacanziero rilassato, i dipendenti sono più inclini a non rispettare le normali pratiche di sicurezza, diventando quindi un facile bersaglio per i criminali informatici.
Per cominciare, dato che non si trovano in ufficio non hanno la possibilità di chiacchierare con i colleghi con cui potrebbero avere l'opportunità di accennare a una richiesta sospetta o di chiedere un secondo parere prima di fare clic.
Nel tentativo di dedicarsi alle loro famiglie il più rapidamente possibile, potrebbero anche essere troppo frettolosi e non fermarsi a riflettere.
Dal phishing al vishing: i rischi legati alla voce
La voce può essere usata come arma dai cybercriminali. L'esempio che segue fa ben comprendere l’alto rischio legato alla voce. All'inizio di quest'anno, un direttore vendite di Zscaler ha ricevuto una chiamata che sembrava provenire dal Ceo Jay Chaudhry.Con la sua foto sullo schermo, il direttore vendite ha sentito la voce di Jay dire "Ciao, sono Jay. Ho bisogno che tu faccia qualcosa per me", prima che la chiamata si interrompesse.
Un messaggio WhatsApp proseguiva: "Credo di avere una scarsa copertura di rete perché sono in viaggio in questo momento. Va bene se ti mando un messaggio qui nel frattempo?".
Ne è seguita una richiesta di aiuto per spostare una somma di denaro in una banca di Singapore. Dopo un controllo interno si è scoperto che i criminali informatici avevano ricostruito la voce di Jay a partire da spezzoni dei suoi discorsi pubblici, nel tentativo di frodare l'azienda.
Questo elaborato esempio di social engineering, che non è un caso isolato, evidenzia il livello di sofisticazione con cui le aziende devono confrontarsi. Grazie a strumenti di intelligenza artificiale sempre più sofisticati, il phishing si è evoluto da spoofing basato su testo meno credibile, in attacchi guidati dalla voce incredibilmente persuasivi, che sono stati soprannominati "vishing".
Il successo di un attacco di vishing richiede la comprensione delle dinamiche sociali dell’azienda che si vuole colpire. Gli hacker sanno che è improbabile che il personale meno esperto e le nuove leve ignorino le richieste "urgenti" provenienti dalla direzione generale.
Una porta d’accesso per il ransomware
L‘obiettivo degli attacchi di vishing è quello di attirare le vittime inducendole a compiere inconsapevolmente azioni che frodano le loro aziende o a fare clic su allegati dannosi che aprono la porta a minacce ben più gravi, come gli attacchi ransomware.
Il ransomware è un fenomeno che le aziende già temono, mentre il phishing, in genere, non riceve la stessa attenzione. Tuttavia, dovrebbe far preoccupare le aziende.
Il phishing viene spesso utilizzato come forma di ricognizione per aiutare gli hacker a raccogliere informazioni riservate o personali che vengono poi utilizzate per portare a termine attacchi mirati più estesi, quando le credenziali rubate vengono vendute sul dark web.
Zero Trust Network Access per la sicurezza
Cosa dovrebbero fare le aziende per assicurarsi che i loro dipendenti non cadano vittima di truffe di phishing? Adottare una strategia Zero Trust Network Access (Ztna) basata sul cloud che semplifichi e renda sicuro il lavoro a distanza.
Un'architettura Zero Trust riduce significativamente la superficie di attacco e contribuisce a bloccare i danni provocati da truffe informatiche come il phishing.
Per esempio, previene la perdita di dati ispezionando e proteggendo i dati a riposo e in movimento ed elimina lo spostamento laterale del malware, impedendo alle risorse compromesse di infettare altre risorse. Questo perché gli utenti sono collegati direttamente alle applicazioni e alle risorse di cui hanno bisogno, mai alla rete stessa.