Per gli hacker di tutto il mondo, la posta elettronica è uno dei vettori maggiormente utilizzati per attacchi basati su URL, allegati e metodi di impersonificazione.
I cosiddetti attacchi “di impersonificazione” si verificano quando gli attaccanti si sostituiscono ad individui chiave e inviano email al fine di indurre altre persone a compiere una determinata azione. Gli obiettivi di questa tipologia di attacco sono solitamente i membri del top management di un’azienda, come il Chief Financial Officer, il Senior Vice President e il Director.
“In un attacco in cui l’attaccante impersonifica un CEO, l’obiettivo potrebbe essere quello di chiedere ad un dipendente di eseguire un bonifico bancario”, dichiara Daniele Nicita, Consulting Systems Engineer di FireEye. “Per realizzare questo attacco vengono create delle email di spear phishing che riescono ad ingannare anche i professionisti di sicurezza più esperti.”
Come rilevare gli attacchi di impersonificazione
Gli attacchi di impersonificazione, come per esempio i CEO Fraud, sono costati alle aziende oltre 5 miliardi di dollari di perdite. Questo è dovuto in parte alla mancanza di indicatori di attacco tradizionali, come allegati o link dannosi. Per far fronte a questi attacchi e proteggere i clienti, FireEye Email Security blocca gli attacchi di impersonificazione che sono difficili da rilevare.
Per eseguirli, gli attaccanti sono costretti a lasciare numerose tracce, che possono consentire alle misure di sicurezza di bloccare le email prima che raggiungano i destinatari.
Difesa avanzata degli URL
Recenti studi hanno rilevato un passaggio dal malware agli attacchi basati su URL, con un aumento del 100% degli attacchi URL in un periodo di 15 settimane durante l’ultimo semestre del 2017.
La difesa avanzata degli URL, basata su machine learning e analytics, salvaguarda contro attacchi phishing dovuti alla modifica di URL.
“Abbiamo sviluppato un motore di classificazione – PhishEye – che utilizza il deep learning per confrontare lo screenshot di una pagina web a cui si fa riferimento in un URL di phishing con quella del brand preso di mira”, afferma Nicita. “Questa combinazione di analytics e machine learning offre un’ulteriore copertura o anche un approccio difensivo completo per il rilevamento di phishing di credenziali”.
Per una protezione efficace, è importante disporre di una landing page personalizzabile con il brand dell’azienda. La notifica di reindirizzamento con il marchio del destinatario dà all’utente finale la certezza che l’avviso sia legittimo.
Di fronte all’espansione di questo tipo di minacce, è importante una identificazione rapida e precoce e la riduzione al minimo dei falsi positivi grazie ad informazioni sulle minacce provenienti dalle frontlines o dall’interno, che consentono di bloccare le minacce che altre soluzioni non sono in grado di rilevare.
