Di Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks
L’aumento della presenza e della sofisticazione del phishing è una delle numerose sfide emerse dopo la pandemia, con un numero elevatissimo di lavoratori da remoto divenuti il bersaglio ideale per gli hacker.
Il phishing consiste nell’ingannare gli utenti e indurli a cliccare su qualcosa che non dovrebbero aprire, usando un’esca che, a prima vista, potrebbe sembrare autentica. Stress, ansia e continue sfide del lavoro rendono il phishing una minaccia quanto mai concreta per chi si è trovato ad operare da casa.
In realtà, il phishing non è una novità e non è un problema è iniziato con la pandemia, ma una sfida che l’IT sta affrontando da anni. Tuttavia, aziende di ogni dimensione continuano a essere vittime di phishing per vari motivi, ed è per questo che la situazione deve cambiare: esistono processi, controlli e tecnologie proattivi che possono contribuire a ridurre il rischio.
Con il loro avvento e utilizzo intensivo, Artificial Intelligence e Machine Learning sono diventati strumenti efficaci anche per gli attaccanti, consentendo loro, ad esempio, di studiare i comportamenti e le abitudini di un determinato utente, analizzando e comparando i dati di cui vengono in possesso: come scrive, quale tono utilizza, come si comporta sui social. Informazioni che serviranno poi per imitare questa persona in maniera estremamente realistica, e sfruttarla, ad esempio, per inviare un messaggio email ai suoi contatti talmente credibile e contestualizzato da non destare sospetti nei destinatari e indurli ad aprire link o scaricare file, per fare breccia con successo nei sistemi aziendali.
Perché la sicurezza web tradizionale non è efficace contro il phishing moderno
I controlli di sicurezza aziendali che un tempo erano in qualche modo efficaci contro il phishing non sono più efficaci dal punto di vista della protezione delle e-mail o della sicurezza web. Alcune nostre ricerche hanno dimostrato che fino al 90% dei kit di phishing ora includono tecniche di evasione integrate che rendono inefficace la sicurezza web tradizionale. Questi kit forniscono effettivamente il phishing come servizio agli attaccanti, con la capacità di eludere il rilevamento.
La sicurezza web tradizionale si basa da tempo sull’uso di database di URL per identificare e bloccare l’accesso a siti web dannosi, compresi quelli di phishing. Il modo in cui funzionano questi database pericolosi si basa sull’utilizzo di web crawler da parte dei fornitori per scansionare i siti e poi aggiungere quelli di phishing. I creatori dii kit di phishing ne sono consapevoli e sanno come eludere il web crawler, in modo che i loro indirizzi dannosi non compaiono mai nel database.
Spesso, gli attacchi di phishing moderni non comportano nemmeno l’uso di malware, che potrebbe attivare le tecnologie di rilevamento comunemente utilizzate. Sono furtivi e impiegano diverse tecniche di offuscamento per eludere le tradizionali analisi di sicurezza web.
Perché è difficile bloccare il phishing: gli attacchi assumono molte forme
Come gli attacchi di phishing riescono a evitare i controlli di sicurezza dei tradizionali database di web filtering?
Ecco alcuni esempi:
Nascondere il contenuto dannoso attraverso l’occultamento
I web crawler di sicurezza non analizzano il traffico web in diretta, vengono invece inviati ad analizzare una pagina web da ambienti IP noti per essere utilizzati dai fornitori di sicurezza. I kit di phishing sono progettati per mascherare il loro intento malevolo, inviando contenuti all’apparenza benigni, sempre più credibili e difficili da riconoscere come illegittimi, o una pagina vuota in risposta alla scansione. In questo modo il database degli URL è in grado di classificare la pagina di phishing come non pericolosa, superando i controlli di sicurezza e quando l’obiettivo accederà a questa pagina, verrà rivelato il suo vero contenuto.
Attacchi multistep e CAPTCHA
Gli attacchi di phishing si nascondono sempre più spesso dietro a passaggi benigni, in modo che una prima scansione di sicurezza dell’URL li lasci passare. Ad esempio, una pagina pericolosa può essere collocata dietro un CAPTCHA. Si tratta di un’operazione particolarmente subdola, in quanto i CAPTCHA sono specificamente progettati per impedire ai bot automatizzati (tra cui i web crawler) di accedere al contenuto che si trova dietro di essi. Quando un web crawler scansiona la pagina, vede solo il CAPTCHA, che di per sé è innocuo, e classifica la pagina di phishing dietro di essa come legittimo.
Link di breve durata e monouso
I cyber criminali creano volumi elevati di URL di phishing nuovi e mai visti prima, attività oggi più economica e facile che mai. Una singola pagina di phishing può essere utilizzata per poche ore o addirittura pochi minuti, per poi essere eliminata, passando a un nuovo URL, affinché non venga rintracciata e bloccata. I link monouso sono anche usati negli attacchi mirati, per compiere un’unica singola missione.
Attacchi all’interno di siti web compromessi
Gli attaccanti sanno che i siti web legittimi vengono classificati come benigni nei database degli URL, senza essere necessariamente ricontrollati. Se riescono a compromettere un sito web legittimo, possono creare pagine di phishing al suo interno, particolarmente efficaci per ingannare più facilmente gli utenti che credono di interagire con un sito noto.
Web filtering tradizionale, protezione via posta elettronica e autenticazione a più fattori da soli non sono sufficienti
Nella corsa alla protezione dagli attacchi di phishing, alcune aziende hanno implementato autenticazione via email e a più fattori. Ma non tutto il phishing avviene tramite posta elettronica. Un attacco che proviene da un sito pericoloso visitato dall’utente non subirà alcun impatto dal sistema di autenticazione via email. Inoltre, i link di phishing sono spesso inseriti all’interno di documenti ospitati in suite di collaborazione SaaS, come annunci pubblicitari sulle pagine web e, sempre più spesso, negli SMS, eludendo completamente qualsiasi controllo basato su email.
Come ridurre il rischio di phishing in azienda?
Ci sono alcuni componenti efficaci in grado di ridurre questo rischio:
- Uno stack di sicurezza contro il phishing che vada oltre l’email. Riconoscere che il phishing non sia solo un problema di email è fondamentale. È importante disporre di uno stack di sicurezza in grado di affrontare questa tecnica avanzata e gli attacchi invasivi. Un sistema basato su database di URL e web crawler tradizionale non è più efficace. Sono necessari sistemi di advanced web filtering, dotati di tecnologie di machine learning e artificial intelligence e capacità di analisi potenti e rapide, in grado di analizzare e categorizzare in modo tempestivo, preciso ed efficace i siti, senza alcun impatto sulla user experience.
Queste funzionalità permettono inoltre di garantire una navigazione sicura, eliminando il carico di responsabilità sugli utenti, che avranno così la certezza di accedere a pagine web classificate legittime senza correre rischi di subire attacchi pericolosi. - Formazione. La tecnologia è importante, ma è necessario implementare programmi di formazione dei dipendenti per insegnare loro a conoscere i rischi del phishing. Questi attacchi di tipo social engineering non sfruttano la tecnologia, ma gli individui. La formazione può contribuire ad aumentare la consapevolezza della sicurezza e a far sì che i dipendenti siano parte della soluzione.
- Un approccio completo al ciclo di vita della sicurezza. La riduzione del rischio di phishing non si limita all’implementazione di una singola tecnologia, ma prevede l’adozione di un approccio completo al ciclo di vita. Ciò significa che un’azienda deve disporre di capacità proattive e reattive. Tuttavia, per quanto si possa implementare o investire nella sicurezza, bisogna anche prevedere che qualche attacco possa comunque superare le difese. Cosa succederebbe se un dipendente fosse vittima di phishing e gli venissero rubate le credenziali? L’azienda sarebbe in grado di rilevare un accesso dannoso e reagire?
Anche i dirigenti devono collaborare strettamente con i team aziendali dedicati per garantire che tecnologie, persone e processi siano in atto al fine di aiutare a prevenire il maggior numero di attacchi di phishing in entrata. Per vincere questa sfida, quindi, è necessario disporre di un processo integrato end-to-end, che spazi da quello proattivo a quello reattivo, per essere effettivamente preparati ad affrontare questa minaccia.