Come difendersi dallo spear-phishing

Il phishing si sta evolvendo costantemente, prendendo sembianze di volta in volta diverse, come quella dello spear-phishing che mette nel mirino utenti specifici.

L’ultimo famoso caso del cyberattacco SolarWinds non ha fatto che confermare ciò che già si intuiva: il fenomeno dello spear-phishing è in costante aumento e l’evoluzione tecnica dell’offensiva ha portato a colpire nel profondo aziende solidissime e strutturate come Microsoft, creando danni rilevanti dal punto di vista economico e reputazionale.

LEGGI ANCHE > Tutte le nuove tecniche di smishing, da quello sul Covid-19 a quello sul tracciamento dei pacchi

Spear-phishing prende nel mirino aziende specifiche

Le cyber spie foraggiate dall’establishment russo, considerate responsabili della campagna SolarWinds, sono da poco tornate a far notizia per una campagna molto mirata di spear-phishing verso agenzie governative statunitensi e di altri Paesi, ed è quindi fondamentale rimanere aggiornati sulle ultime evoluzioni per applicare contromisure efficaci e adeguate al proprio contesto.

Cos’è lo spear-phishing?

Lo spear-phishing è un tipo di cyber attacco che si basa sull’invio di e-mail (o altre forme di comunicazione) con l’intento di trarre in inganno una persona, un’organizzazione o un’azienda specifica. L’obiettivo finale di tale offensiva può variare di volta in volta, ma quasi sempre è volto a far compiere una determinata azione al destinatario del messaggio, al fine di ottenere l’accesso al sistema informatico messo nel mirino.

Nel corso del 2020, il totale del giro d’affari e i danni generati dal cyber crimine hanno raggiunto nuove vette, superando i 7 miliardi di dollari. Gran parte di questi sono stati generati a partire da una semplice e-mail all’interno di una più elaborata campagna di phishing o spear-phishing.

Fortunatamente, ci sono diverse azioni che è possibile compiere immediatamente per ridurre il rischio.

Come proteggersi dallo spear phishing?

Sono diversi gli interventi dal punto di vista macro e micro che è possibile adottare. In questo contesto, ci limiteremo a un approccio generale.

Sistema di filtraggio delle comunicazioni via e-mail

Al giorno d’oggi, all’interno di un contesto aziendale e organizzativo è fondamentale utilizzare un sistema di filtraggio delle e-mail. È vero che i service provider offrono già un livello di protezione discreto (variabile di caso in caso) ma è comunque opportuno porre un ostacolo ulteriore ai threat actor.

Sono disponibili soluzioni “on-premises” e su cloud in grado di riconoscere pattern d’attacco e proteggere i destinatari in modo automatizzato (non facendo arrivare il messaggio) o notificando i rischi collegati all’apertura di allegati e link.

Aggiornamenti e patching

Spesso accade che il delicato tema dell’installazione delle patch venga rimandato a data da destinarsi, per evitare di perdere tempo utile a detrimento di temi considerati di maggiore priorità. In molti casi si attende l’esito dei test prima dell’effettivo deploy. Al di là delle sfide pratiche e operative, è opportuno concentrare gli sforzi di patching verso quei profili, quelle macchine e quegli utenti che in passato sono già stati messi nel mirino dagli aggressori nel contesto di attacchi di spear-phishing.

A livello generale, tutti gli elementi software e hardware andrebbero aggiornati costantemente per evitare che vulnerabilità note offrano l’apertura a violazioni, data breach o altri problemi. Il tempo che intercorre fra il rilascio delle patch e l’installazione dovrebbe essere ridotto al minimo e tale approccio dovrebbe essere condiviso a livello aziendale.

Attenzione alle piattaforme per la condivisione di file

Lo smart working ha reso necessario l’utilizzo di programmi per la condivisione e la comunicazione a distanza. Per garantire standard di sicurezza alti, è opportuno porre una stretta rispetto a tale pratica, o perlomeno fornire delle linee guida chiare sulle piattaforme di condivisione considerate sicure dal management societario. Va poi ricordato che permane il rischio di “spoofing” ovvero di piattaforme che imitano quelle legittime per inviare messaggi, link o richieste specifiche di compiere una determinata azione.

Ridurre la superficie d’attacco

L’ASR (attack surface reduction) è un altro aspetto fondamentale da tenere in considerazione per proteggere la propria rete informatica. A livello tecnico è consigliabile bloccare la possibilità che JavaScript e VBScript lancino contenuti eseguibili scaricati. Questo controllo di sicurezza è attivabile solo su macchine Microsoft con sistema operativo Windows 10 (versioni 1709 e seguenti).

L’importanza del fattore umano

Parlando di phishing e spear-phishing è bene ricordare la centralità del fattore umano. Sicuramente gli strumenti e gli approcci automatici e tecnologici che abbiamo visto finora sono utili a “scremare” e ridurre i rischi. Ma nel caso in cui un’offensiva riesca a penetrare le prime mura difensive, è opportuno che ad accoglierla ci sia una risorsa umana preparata.

Per preparare i propri dipendenti ai rischi dello spear-phishing ci sono 2 principali strade percorribili:

1. Promuovere l’awareness, intesa come coscienza e conoscenza del pericolo, attraverso corsi specifici in loco o da remoto. A seconda del profilo di rischio dei vari utenti, sarà opportuno differenziare il corso a seconda delle credenziali e dei poteri nella rete aziendale.
2. Effettuare simulazioni di attacco phishing/smishing/spear-phishing realistiche per provare gli strumenti e le procedure di difesa all’interno di un contesto pratico. Dopo queste esercitazioni, i dipendenti saranno più coscienti dei rischi e avranno gli strumenti necessari per distinguere un messaggio dannoso da uno legittimo.

Non abbassiamo la guardia!