The Human Factor 2021

Minacce informatiche: comprendere il fattore umano

Share with your network!

Proofpoint sostiene da tempo che sono le persone, e non la tecnologia, la variabile più critica per il successo di un attacco informatico. E se questa affermazione ha guadagnato sempre più consensi anno dopo anno, gli eventi del 2020 non hanno fatto altro che legittimarla.

Durante la pandemia abbiamo visto team IT di tutto il modo affannarsi per abilitare rapidamente il telelavoro, e proteggerlo, a fronte di un repentino aumento delle superfici d’attacco e dei punti di ingresso delle minacce.

Questa situazione ha offerto un’incredibile opportunità ai criminali informatici che non hanno esitato a coglierla. A partire da metà marzo 2020, circa l’80% di tutte le minacce monitorate giornalmente utilizzava temi legati al COVID-19. E nel corso dell’anno la maggior parte dei i criminali informatici monitorati da Proofpoint ha utilizzato contenuti relativi alla pandemia.

Nel 2021, mentre la maggior parte di noi si è ormai abituata a questo nuovo modo di lavorare, le esche utilizzate dai criminali informatici si sono evolute. Ciò che non è cambiato è il costante flusso di attacchi contro i dipendenti.

Per contrastare tali attacchi incentrati sulle persone è necessaria una protezione che adotti lo stesso approccio. Affinché questo sia possibile, è indispensabile comprendere:

  • Le principali vulnerabilità degli utenti
  • Le modalità di attacco dei criminali informatici
  • Il danno causato dalla violazione degli account con privilegi

Utenti alla prova

La sensibilizzazione alla sicurezza informatica degli utenti è il caposaldo di una difesa informatica efficace. Per questo motivo è fondamentale valutare con regolarità le loro capacità di riconoscere le minacce. Le simulazioni di attacchi di phishing sono una parte fondamentale di questa strategia.

Il nostro report annuale State of the Phish ha analizzato il modo in cui gli utenti hanno reagito a più di 60 milioni di email di simulazioni di attacchi di phishing nel corso del 2020. Mettendo a confronto le percentuali medie di insuccesso, siamo riusciti a identificare le principali vulnerabilità degli utenti.

  • Il 20% degli utenti non è riuscito a superare i testi di phishing che utilizzano allegati dannosi.
  • Il 12% non ha superato i testi basati sui link e hanno fatto clic su URL pericolosi.
  • Il 4% non ha superato i testi basati sull’inserimento dei dati, un tipo di attacco che indirizza gli utenti su una finta pagina di login e chiede loro di fornire le proprie credenziali di accesso.

Mentre è fondamentale testare la consapevolezza degli utenti in merito alle minacce comuni come il phishing e il furto di credenziali, è importante notare che non tutti gli attacchi di successo sono necessariamente campagne diffuse.

La steganografia, per esempio, che prevede l’occultamento di codice dannoso in immagini e altri tipi di file, è stato utilizzato solo in alcune campagne altamente mirate. Tuttavia, questo tipo di attacco genera dei tassi di clic elevati, superiori a uno su tre.

Anche le campagne CAPTCHA fraudolente sono abbastanza rare, ma nel 2020 hanno generato una percentuale di clic 50 volte superiore rispetto al 2019.

Conoscere l’avversario

Una volta compreso chi viene attaccato, è il momento di conoscere i responsabili degli attacchi. Nel 2020 Proofpoint ha identificato 69 gruppi di criminali informatici in attività.

I criminali informatici utilizzano un’ampia gamma di tecniche per eludere i controlli di sicurezza, indurre le vittime ad attivare l’attacco e infettare i sistemi presi di mira. Tuttavia, indipendentemente dal metodo o dal motivo dell’attacco, le tecniche che richiedono l’interazione del destinatario con un allegato o direttamente con gli attacchi aumentano in modo sostanziale.

Non sorprende che il furto delle credenziali di accesso si confermi una delle tecniche più utilizzate, con oltre due terzi dei messaggi dannosi segnalati lo scorso anno. Sufficientemente dannosa di per sé, questa particolare minaccia può anche essere un punto di partenza per un attacco molto più devastante: la violazione dell’email aziendale (BEC, Business Email Compromise).

Questo tipo di frode via email, è una delle minacce più gravi dal punto di vista finanziario per le aziende di qualsiasi dimensione. Infatti, gli attacchi BEC rappresentano il 44% di tutte le perdite causate da crimini informatici, con un costo per le aziende di circa 1,8 miliardi di dollari solo nel 2020.1

Anche il ransomware è in crescita, con un incremento del 300% lo scorso anno. Complessivamente, abbiamo identificato oltre 48 milioni di messaggi che potrebbero essere utilizzati come punto di ingresso per payload dannosi.

Confermano la loro popolarità anche i trojan con accesso remoto, dato che erano presenti in quasi un quarto di tutte le campagne d’attacco via email dello scorso anno.

Protezione degli utenti con privilegi

Gli attacchi contro uno dei tuoi dipendenti possono avere conseguenze devastanti. Ma gli attacchi contro gli utenti che hanno un accesso con privilegi a reti, sistemi e dati possono essere catastrofici.

Un utente con privilegi compromesso rappresenta una minaccia interna rilevante. È perciò fondamentale prendere tutte le misure necessarie per proteggere gli account con privilegi. Il passaggio al telelavoro, unitamente all’evoluzione dell’analisi da remoto dei log e delle richieste di accesso, ha complicato ulteriormente la protezione.

I criminali informatici sono ben consapevoli della situazione e stanno già adattando le loro tattiche. Di conseguenza, anche le aziende devono adattarsi e monitorare un’ampia gamma di segnalazioni di origine interna, incluse le 5 principali categorie seguenti:

  1. Connessione di un drive USB non approvato
  2. Copia di cartelle o file di grandi dimensioni
  3. Esfiltrazione di un file monitorato verso il web tramite upload
  4. Apertura di un file di testo che potrebbe contenere delle password      
  5. Download di file con estensioni potenzialmente dannose

Creazione di una difesa incentrata sulle persone

Gli attacchi informatici sono inevitabili. Ma la maggior parte di loro ha bisogno dell’intervento umano per avere successo. Questo è il motivo per cui le aziende devono porre i loro dipendenti al centro delle loro difese informatiche. 

Va pertanto adottata una soluzione che permetta di identificare le vittime degli attacchi, le loro reazioni e i metodi utilizzati per colpirle. Per saperne di più leggi il report “Il fattore umano 2021”

 

1 Fonte: *FBI. “2020 Internet Crime Report” (Report sui reati di Internet), marzo 2021.