Cos'è il phishing?

Il phishing è un tipo di frode volta a sottrarre, in modo illecito, informazioni riservate come credenziali di accesso (nome utente e password), numero di carta di credito e così via.

Nicla Diomede è il Chief Information Security Officer dell'Università degli Studi di Milano (UniMi), coordina e guida la struttura universitaria, responsabile di “Cybersecurity, Data Protection and Compliance”.

La posta elettronica è il principale vettore di attacco, ma è possibile utilizzare anche messaggi di testo, chat e social media. In generale, il falso mittente si presenta come soggetto autorevole (es. Banca, Amministrazione, Responsabili dei Servizi IT, Direttori) e richiede alla potenziale vittima di svolgere con urgenza alcune attività al fine di evitare il blocco di un servizio o per godere di un'offerta promozionale.

I phisher utilizzano i dati ottenuti per compiere la frode: ad esempio, utilizzando username e password ottenuti (furto di identità) svolgono attività illecite, oppure effettuano acquisti a spese della vittima o operazioni bancarie.

Gli attacchi di phishing stanno diventando così sofisticati, crescono sempre di più e spesso utilizzano tecniche di ingegneria sociale. Mirano a compiere crimini finanziari, spionaggio informatico e operazioni di disinformazione.

Il PHISHING durante l'emergenza COVID

Durante l'emergenza COVID, c'è stata un'intensificazione a livello globale sia delle campagne di posta elettronica mirate alla frode che della proliferazione di nuovi domini e siti Web malevoli riguardanti il COVID.

Dati sperimentali mostrano che durante l'emergenza non sono aumentate solo le campagne di phishing e social engineering ma anche il numero di potenziali vittime contattate su account di posta istituzionali e, di conseguenza, anche il numero di credenziali degli utenti che sono state violate è cresciuto in modo esponenziale.

L'esplosione delle campagne di phishing, incentrate su COVID, approfittano:

• della paura generale, del senso di urgenza e solidarietà legati all'emergenza sanitaria;
• dell'utilizzo remoto dei personal PC da casa da parte dei lavoratori durante il lockdown e nel periodo successivo. I phisher si avvantaggiano del fatto che gli utenti non possono più contare sulla protezione disponibile a livello infrastrutturale all'interno della rete aziendale.

L'obiettivo delle campagne di phishing in emergenza Covid è principalmente quello di violare le credenziali degli account dell’utente o diffondere malware al fine di compromettere dispositivi, dati e cercare di penetrare nella rete aziendale

Misure di tipo culturale e organizzativo per sconfiggere il phishing

È importante aumentare il livello di consapevolezza degli utenti e sensibilizzarli sui rischi del phishing al fine di promuovere un atteggiamento vigile soprattutto quando si ha a che fare con le e-mail.

A livello organizzativo devono essere adottate e rese note, in modo chiaro e diffuso, a tutti gli utenti le politiche di comportamento per la gestione sicura degli strumenti IT, e in particolare per prevenire il phishing. Gli utenti devono sapere come comportarsi in presenza di e-mail sospette, quali sono le verifiche utili a riconoscere gli elementi sospetti e la procedura per segnalare prontamente le e-mail sospette al Team di Sicurezza.

Essenziale è anche una formazione costante sulla sicurezza, così come l’organizzazione di programmi di sensibilizzazione con simulazioni di e-mail di phishing, in modo da abituare gli utenti a essere sempre pronti e reattivi.

Inoltre, è importante adottare procedure comportamentali atte a controllare l'identità di coloro che fanno particolari richieste (anche per telefono) per ridurre in questo modo i tentativi di ingegneria sociale.

Ancora, a livello organizzativo, deve essere definita e progettata la procedura di gestione degli attacchi di phishing, unitamente a input, vincoli, output, attraverso flussi di lavoro ripetibili e replicabili. In questo modo il team Security potrà affrontare in modo efficiente, tempestivo ed efficace gli attacchi di phishing, limitandone gli effetti e gestendo immediatamente sistemi o eventuali account compromessi.

Misure di tipo tecnologico per sconfiggere il phishing

Le principali misure tecnologiche sono elencate di seguito:

• adozione di una soluzione SOAR (Security Orchestration Automation and Response) con playbook specifici per sconfiggere il phishing. A causa di una crescita continua e costante di minacce pericolose, l'adozione di piattaforme SOAR con “phishing playbook” consente di semplificare il processo di gestione degli incidenti. Permette di automatizzare attività ripetitive o dispendiose in termini di tempo che possono essere eseguite a velocità macchina, identificare falsi positivi e migliorare la precisione, ridurre il rischio di errore umano, interagire automaticamente con altre piattaforme di sicurezza, in modo da migliorare l'efficienza nel rispondere a minacce note e per consentire al team di sicurezza di concentrarsi sui compiti più strategici o sulle minacce più insidiose;
• adozione della MULTI FACTOR AUTHENTICATION (MFA) e blocco di altre forme di autenticazione legacy dall'esterno dell'area aziendale. L'MFA risolve il problema della password riutilizzata dagli utenti o di password non robuste;
• estensione in modo diffuso dell’uso della VPN aziendale su tutti i PC, compresi quelli privati dei lavoratori remoti, al fine di applicare i controlli di sicurezza in uso sulla rete aziendale. Implementazione della segmentazione della rete e mantiene separati i dispositivi domestici perché di solito non sono completamente patched;
• adozione di sistemi di firewalling applicativo (o proxy) al fine di rilevare e bloccare automaticamente la navigazione verso siti web pericolosi noti come phishing, malware, hacking o non classificati;
• assicurarsi che tutti i PC, anche quelli privati, siano dotati di soluzioni di protezione degli endpoint (EDR se possibile);
• blocco automatico dell'esecuzione di macro nei documenti di Office allegati alle e-mail o scaricati dall'esterno della rete dell'organizzazione;
• controlli anti-spoofing: implementazione sui server di posta di controlli anti-spoofing ((SPF *, DKIM **, DMARC ***) con criteri di hard fail e rifiuto ove applicabili, per verificare la veridicità di quanto contenuto in una mail, benigna o malevola. Ciò migliora l'efficienza dei filtri standard adottati dai servizi di spam basati su blacklist. Tuttavia, questi strumenti non sono sufficienti per proteggersi completamente dalle e-mail con un campo mittente contraffatto;
• adozione di soluzioni antispam e Antivirus sui server di posta, in grado di analizzare e bloccare allegati malevoli o con estensioni particolari e di controllare gli URL all'interno del corpo delle email;
• sistemi di NOTIFICA AUTOMATICA via email per informare gli utenti su e-mail provenienti da domini esterni con disclaimer delle regole per la gestione sicura della e-mail;
• scansione automatica e sandboxing dei file dal dominio esterno;
• adozione di criteri di sicurezza delle password e implementazione di meccanismi automatici per impedire l'utilizzo di password deboli;
• abilitazione e invio dei log del server di posta al SIEM (Security information and event management) dotato di regole specifiche.