I criminali creano falsi profili fingendosi colleghi o conoscenti per avere accesso ai dati personali

Proteggersi dal phishing con Akamai MFA

Gli attacchi di phishing sono in forte aumento, sono particolarmente diffusi e hanno più successo che mai. Sono andati ben oltre le false e-mail bancarie piene di link dannosi, nonostante anche queste siano ancora in circolazione. Gli hacker di oggi prendono di mira gli utenti mobile su più canali, usano messaggi di testo e SMS, piattaforme di social media e quasi tutte le app mobile che consentono la condivisione di link. Grazie al fatto che molte delle nostre informazioni personali sono online, gli hacker possono personalizzare gli attacchi per renderli più difficili da individuare e hanno maggiori probabilità di successo.

I Social Media connettono tra loro le persone incontrate nel mondo reale ma anche quelle sconosciute. È ormai pratica comune inviare e ricevere inviti per entrare in contatto con persone che condividono i nostri interessi o il nostro background aziendale, anche se non li conosciamo personalmente. Questo è il motivo per cui i criminali informatici creano spesso falsi profili fingendosi colleghi o conoscenti per connettersi con le persone e quindi ottenere l’accesso ai dati personali.

Per sembrare più legittimi, i truffatori si uniscono a gruppi di social media e pubblicano collegamenti dannosi a un sito che può essere utilizzato per raccogliere informazioni personali o credenziali di accesso. Questi dati vengono poi utilizzati per attacchi di phishing contro un maggior numero di persone e organizzazioni. Non deve sorprendere quindi che il phishing oggi sia responsabile di quasi un quarto (22%) di tutte le violazioni dei dati.

Gli smart worker sono molto più a rischio

Con così tante aziende che passano al lavoro remoto, il tempo in cui i confini di sicurezza venivano controllati dall’IT è passato da tempo. Le app e i dati aziendali ora sono ovunque, su qualsiasi dispositivo o rete utilizzata dai dipendenti per lavoro, inclusi gli endpoint personali e il Wi-Fi domestico. In qualità di professionisti della sicurezza, dobbiamo diventare più severi riguardo al crescente rischio di attacchi di phishing su dispositivi non gestiti, piattaforme di social media, app mobile e sì, anche sulle e-mail, che i dipendenti utilizzano per lavoro. All’inizio del lockdown per il COVID-19, le aziende si sono concentrate principalmente sul mantenimento della produttività dei lavoratori a casa. Ora dobbiamo fare in modo che operino al sicuro, perché il lavoro da remoto non sparirà molto presto.

I criminali informatici sono pienamente consapevoli dell’incremento di chi opera in smart working e stanno, di conseguenza, affinando i loro attacchi di phishing. Sanno che con poche informazioni su un dipendente e sulla relativa azienda (facilmente ricavabili dai profili dei social media), possono lanciare una campagna di spear phishing contro qualsiasi organizzazione, con conseguenze ovviamente disastrose.

Ad esempio, sappiamo che gli aggressori hanno utilizzato lo spear phishing telefonico nell’attacco a Twitter lanciato lo scorso 15 luglio per ottenere l’accesso ad account Twitter di alto profilo. L’hacker aveva solo 17 anni e utilizzava tecniche di hacking di base che in realtà esistono da sempre. Ha prima contattato un dipendente di Twitter e, fingendosi un collega fidato, è riuscito a indurlo a condividere le proprie credenziali. L’hacker è stato quindi in grado di falsificare il numero di telefono del dipendente di Twitter tramite lo scambio di SIM e probabilmente ha ottenuto le informazioni di cui aveva bisogno per entrare nei profili social di quel dipendente. Una volta che l’hacker è riuscito a reindirizzare il numero di telefono della vittima al proprio dispositivo, ha potuto intercettare le password monouso (One Time Password-OTP) utilizzate per l’autenticazione a più fattori (Multifactor Authentication- MFA) ed elevare rapidamente i suoi privilegi all’interno dell’azienda.

L’aggressione a Twitter ha dimostrato che un hacker non ha bisogno di far parte di una organizzazione globale di criminali informatici per fare danni e, se questo attacco ha funzionato contro un colosso come Twitter, potrebbe funzionare con qualsiasi azienda.

MFA e OTP non sono sufficienti

Con così tanti dipendenti che lavorano da casa, è probabile che questi utilizzino un mix di dispositivi personali e di proprietà dell’azienda. E se un’azienda si affida principalmente a MFA e OTP per fornire un accesso sicuro, è facile rischiare che un hacker con una astuta personalità, abile nel recuperare i dati di account social e con capacità di scambio di SIM, potrebbe scalfire livelli di sicurezza di un’azienda agendo su uno smart worker alla volta.

Questo è il motivo per cui non possiamo permetterci che i dipendenti siano la prima linea di difesa contro gli attacchi di phishing. Pensateci: ogni giorno il loro lavoro è aprire gli allegati e fare clic sui collegamenti inviati da colleghi, clienti, partner, fornitori e così via. Se dovessero controllare ogni link inviato loro nel corso di una giornata, quanto lavoro verrebbe effettivamente svolto? E quanta ansia si creerebbe nei vari processi? Il suggerimento è che le imprese forniscano l’adeguata formazione sull’importanza della sicurezza per evitare gli attacchi di phishing, ma l’IT dovrebbe anche automatizzare gli approcci zero-trust che possano impedire che questo tipo di truffe raggiungano i dipendenti.

Ad esempio, le aziende devono garantire che i lavoratori da remoto possano accedere alle app aziendali solo dai dispositivi gestiti dall’IT e non dall’iPad di famiglia o dallo smartphone del coniuge. Questo è in parte il motivo per cui così tante aziende hanno cominciato ad implementare soluzioni di gestione dei dispositivi mobile (Mobile Device Management-MDM). Ma con il phishing e altre minacce mobili in aumento, le soluzioni MDM devono andare oltre la configurazione di base dei dispositivi. Non è sufficiente impostare l’email aziendale e inviare gli aggiornamenti delle app ai dispositivi dei dipendenti. Dobbiamo rafforzare gli approcci di sicurezza zero-trust che garantiscano che solo utenti, dispositivi, app, siti web e servizi cloud affidabili possano accedere alle app e ai dati aziendali. Ciò elimina virtualmente il rischio di credenziali rubate e OTP intercettati e impedisce ai dispositivi non controllati, compromessi o sottoposti a jailbreak di accedere ai dati aziendali.

A cura di Brian Foster, SVP Product Management di MobileIron