L’edizione 2019 del report annuale Human Factor di Proofpoint analizza le modalità con cui i criminali informatici prendono di mira le persone, invece dei sistemi e delle infrastrutture, per installare malware, avviare transazioni fraudolente, rubare dati e altro ancora. Il report, che sintetizza un’analisi durata 18 mesi e condotta su dati raccolti presso i clienti dell’azienda, mette in evidenza i trend di attacco per aiutare organizzazioni e utenti a proteggersi.
“I criminali informatici prendono di mira in modo aggressivo le persone, perché inviare e-mail fraudolente, rubare le credenziali e caricare allegati dannosi nelle applicazioni cloud è più facile e molto più redditizio che creare un exploit complesso e costoso, che ha anche un’alta probabilità di fallimento, spiega Kevin Epstein, vice president of Threat Operations di Proofpoint. Oltre il 99% degli attacchi cyber richiede un’interazione umana per agire – e questo rende i singoli utenti l’ultima linea di difesa. Per ridurre significativamente il rischio, le organizzazioni devono adottare un approccio alla cybersecurity olistico e incentrato sulle persone, che comprenda anche un’efficace formazione sulla sicurezza e difese a più livelli in grado di fornire visibilità sugli utenti più attaccati.”
Tra i principali risultati del report Human Factor 2019:
- Oltre il 99% delle minacce osservate richiede l’interazione umana per agire. L’abilitazione di una macro, l’apertura di un file, di un link o di un documento – a indicare l’importanza del social engineering per consentire il successo di un attacco.
- L’ambiente Microsoft rimane a rischio. Quasi 1 e-mail di phishing su 4 inviate nel 2018 sono state associate a prodotti Microsoft. Il 2019 ha visto uno spostamento in termini di efficacia verso phishing su cloud storage, DocuSign e servizi cloud Microsoft. Le principali attività di phishing si sono concentrate sul furto di credenziali, creando loop di feedback che potenzialmente alimentano attacchi futuri, movimenti laterali, phishing interno e altro ancora.
- I cybercriminali perfezionano strumenti e tecniche alla ricerca di ritorno economico e furto di informazioni. Se gli attacchi one-to-one e one-to-many erano più comuni quando gli attacchi di tipo impostor hanno iniziato ad emergere, i cybercriminali stanno riscuotendo maggiore successo con attacchi basati su più di cinque identità e rivolti verso più di cinque individui nelle organizzazioni prese di mira.
- Le principali famiglie di malware registrate negli ultimi 18 mesi hanno costantemente incluso Trojan bancari, information stealer, RAT e altre varianti non distruttive, progettate per rimanere su dispositivi infetti e rubare continuamente dati che possono rivelarsi potenzialmente utili in futuro per i cybercriminali.
Minacce people-centric
- Gli aggressori colpiscono le persone – e non necessariamente i VIP tradizionali. Spesso si rivolgono a figure prese di mira e attaccate (Very Attacked Person, o VAP) che si trovano all’interno dell’organizzazione. Si tratta di utenti che possono essere particolarmente appealing per gli aggressori, oppure con indirizzi facilmente ricercabili e accesso a fondi e dati sensibili.
- Il 36% delle identità dei VAP può essere reperito online tramite siti web aziendali, social media, pubblicazioni e altro ancora. Per i VIP che sono anche VAP, quasi il 23% delle loro identità e-mail può essere scoperto con una semplice ricerca su Google.
- Gli impostori imitano le routine aziendali per eludere il rilevamento. La consegna dei messaggi fraudolenti rispecchia da vicino i modelli organizzativi reali di traffico e-mail, con meno del 5% del totale dei messaggi consegnati nei fine settimana e la maggior parte – oltre il 30% – consegnati il lunedì.
- Gli autori del malware hanno meno probabilità di seguire il traffico e-mail previsto. I volumi complessivi di traffico pericoloso riscontrato nel secondo trimestre 2019 si sono rivelati distribuiti in modo equivalente tra i primi tre giorni della settimana, ed erano presenti in quantità significativa in campagne avviate la domenica (più del 10% del volume totale esaminato).
- Le tempistiche di clic riflettono differenze regionali significative, legate a cultura del lavoro e abitudini di utilizzo e-mail tra le principali aree del mondo. In Asia-Pacifico e Nord America i dipendenti sono molto più propensi a leggere e cliccare all’inizio della giornata, gli utenti di Medio Oriente e Europa sono più propensi a cliccare a metà giornata e dopo pranzo.
Attacchi e-mail: i settori verticali maggiormente a rischio
- Education, finance e marketing/pubblicità si sono rivelati i settori con il più alto Attack Index medio, una misura ponderata di rischio e gravità dell’attacco. Il settore education è spesso preso di mira con attacchi di massima gravità e vanta una delle quantità maggiori di VAP rispetto ad altri settori. Il settore dei servizi finanziari ha un Attack Index medio relativamente alto, ma un numero inferiore di VAP.
- Il 2018 ha visto gli attacchi impostori raggiungere il massimo livello nei settori engineering, automotive ed education, con una media di oltre 75 attacchi per organizzazione. Questo è probabilmente dovuto alla complessità della supply chain associata all’industria ingegneristica e automotive, agli obiettivi di alto valore e alle vulnerabilità degli utenti, soprattutto in ambito studentesco, nel settore education. Nella prima metà del 2019, i settori più presi di mira si sono rivelati quelli di servizi finanziari, manufacturing, education, sanità e retail.
- Il kit phish Chalbhai, terza ‘esca’ più popolare nella prima metà del 2019, ha preso di mira le credenziali di molte tra le principali banche e società di telecomunicazioni statunitensi e internazionali, utilizzando una serie di modelli attribuiti a un unico gruppo ma sfruttati da più attori.
- Gli aggressori approfittano dell’insicurezza umana. Le ‘esche’ di phishing più efficaci nel 2018 sono state dominate da ‘Brainfood’, una truffa incentrata su dieta e sviluppo delle facoltà cerebrali, che raccoglieva carte di credito. Le ‘esche’ Brainfood hanno raggiunto tassi di clic superiori a 1,6 per messaggio, oltre il doppio rispetto all’esca seguente.
