Mancano poche settimane a Natale, il Black Friday e il Cyber Monday sono alle porte. L’euforia delle feste, sfortunatamente, è anche il momento dell’anno in cui le persone forniscono le proprie credenziali online con meno cautela e installano inconsapevolmente e inavvertitamente malware. Anche le aziende vivono momenti di agitazione, alle prese con le chiusure di fine anno, con il personale chiave spesso già in vacanza e i clienti potenziali online e alla ricerca frenetica delle migliori offerte. Stiamo quindi per affrontare il periodo più intenso dell’anno dal punto di vista dei crimini informatici, e in particolare del phishing, con uno stuolo di truffatori pronti ad approfittarsi delle persone in un momento di grande distrazione.
La stagione della cautela
Quest’anno, ancora più che in passato, si prevede che il phishing in tutte le sue declinazioni colpirà duramente sia i negozianti che i consumatori non preparati.
In base ai dati raccolti sui clienti dal Security Operations Center (SOC) di F5, nei mesi di ottobre, novembre e dicembre i casi di frode registrati tendono a impennarsi oltre il 50% rispetto alla media dell’anno. Per dipingere un quadro indicativo di quale sia la reale portata di questo problema, basta pensare che il 75,6% di tutti i siti Web che sono stati posti offline dal SOC di F5 tra gennaio 2014 e la fine del 2017 erano stati colpiti da attività di phishing.
Dati allarmanti anche a livello globale, come confermato dal Anti-Phishing Working Group (APWG) che dichiara che i casi di phishing globali sono aumentati in modo incredibile – il 5.753% negli ultimi 12 anni.
Il problema è aggravato dall’espansione enorme delle superfici di attacco.
Un’analisi globale condotta da Salesforce suggerisce che le entrate dell’e-commerce nel periodo natalizio 2018 aumenteranno del 13% rispetto allo scorso anno e che i suggerimenti di prodotti basati sull’intelligenza artificiale guideranno il 35% di tutte le entrate. Per la prima volta, saranno effettuati più acquisti da mobile (68%) rispetto a qualsiasi altra tipologia di dispositivo.
Si prepara quindi la tempesta perfetta, ed ecco a mio avviso come dobbiamo affrontarla:
Presta attenzione prima di condividere. È facile abbassare la guardia quando ci si auto-promuove o si aggiornano i propri follower con dettagli che aiutino ad aumentare l’engagement. Anche le informazioni apparentemente innocue possono essere utilizzate come armi da parte di hacker esperti. Le persone devono cercare di essere caute, attente e responsabili e le organizzazioni devono gestire programmi di sensibilizzazione affidabili e in continua evoluzione per garantire che tutti i dipendenti adottino una cultura di condivisione social appropriata. Dovrebbero inoltre verificare scrupolosamente la natura dei contenuti web aziendali su proprietà di terze parti, come ad esempio directory online e siti Web di partner.
Pensa prima di cliccare. Bisogna considerare ogni link con sospetto, in particolare se non si è sicuri della sua origine. Una soluzione può essere passare il mouse sopra i collegamenti ipertestuali per visualizzare gli URL di destinazione per scovare i phisher più subdoli che spesso nascondono i propri URL nel corpo dell’e-mail o in moduli online che sembrano del tutto credibili.
Sembra phishing? Allora probabilmente lo è. Lo spear phishing è stato perfezionato in un’arte raffinata, inclusa l’incorporazione di una serie impressionante di dettagli personali e circostanziali per aumentare il fattore di realismo. Metti in discussione tutto e cerca di stabilire la veridicità del mittente prima di compiere qualsiasi altra azione. I criminali informatici esperti prendono di mira spesso figure di alto livello all’interno di un’organizzazione per incorrere più rapidamente in azioni incaute e allo stesso tempo critiche per il business, come l’invio di informazioni sensibili via email.
Controlla le intestazioni delle e-mail. Gli aggressori spesso inviano richieste via posta elettronica per raccogliere indirizzi IP, determinare il software del server di posta e accertare il flusso di traffico delle email. Non permettere che questo accada: controlla tutte le intestazioni delle e-mail prima di aprire contenuti provenienti da fonti sconosciute.
Adattati. Non esiste una soluzione unica e definitiva e per proteggerti ma devi far sì che gli strumenti di protezione degli endpoint siano basati sul comportamento per garantire che possano imparare dagli attacchi andati a buon fine. In definitiva, è compito dell’individuo essere informato e sensibile all’argomento e dei datori di lavoro offrire training appropriati per aumentare l’awareness e la prevenzione.
Proteggi la rete. Nel mondo del business, è fondamentale che i team di sicurezza garantiscano regolarmente che i sistemi di rete siano configurati in modo ottimale per resistere alle minacce. È inoltre di importanza critica tenere presente che alcune applicazioni non sono costruite con una mentalità “security by design” e a volte contengono dettagli sul team di sviluppo e sui processi organizzativi. La protezione di questi dati è una priorità. Inoltre, tutti i registri di dominio e IP dovrebbero essere impostati con nomi di ruolo e identificatori generici anziché con i nomi degli individui.
Metti alla prova i tuoi limiti. Le aziende dovrebbero prendere in considerazione periodicamente tester di penetrazione che consentano loro di scoprire ogni cosa rispetto ai comportamenti degli attaccanti. I test di ricognizione e di social engineering di oggi possono e dovrebbero fornire preziose informazioni difensive.
Con il passare del tempo, è diventato fin troppo semplice condividere informazioni preziose online e offrire agli hacker una chiara finestra sulla nostra vita. Non lasciare che i tuoi dati personali siano il loro regalo in questo periodo di festa.
Ralf Sydekum, Technical Manager, F5 Networks, spiega come difendersi.
