BEC, VEC, estorsioni e phishing: gli attacchi del 2020 saranno low tech, ma avranno un’efficacia senza precedenti

Social engineering: gli attaccanti si concentrano sulle email

Nei prossimi mesi i professionisti della sicurezza informatica dovranno affrontare nuove svolte, perché i criminali informatici si concentreranno meno su attacchi tecnici complessi e più su truffe semplici low-tech basate sul social engineering, che possono produrre danni finanziari e reputazionali incredibili con un’efficacia davvero impressionante. Parola di Armen Najarian, CMO e CIO di Agari.

Ecco uno sguardo a quello che i CISO possono aspettarsi nel 2020 in queste 10 previsioni stilate da Agari.

  1. Il VEC diventa la prima minaccia alla sicurezza della posta elettronica

    Nel 2020, la forma di BEC (Business Email Compromise) conosciuta come vendor email compromise (VEC) emergerà come la principale modalità di attacco alla posta elettronica delle grandi aziende. In attacchi VEC come quelli lanciati dal gruppo di cybercrime Silent Starling, i truffatori dirottano account e-mail aziendali, spiano le comunicazioni e quindi impersonano il legittimo proprietario dell’account nelle e-mail volte a frodare le società lungo l’intera supply chain.

  2. Altre truffe di ingegneria sociale mirano alle aziende e alle elezioni del 2020 negli USA

    Le organizzazioni criminali informatiche lanceranno attacchi e-mail meno tecnici e basati su ingegneria sociale su larga scala. Ma i criminali informatici non saranno i soli a utilizzare queste tattiche. L’Iran, la Russia, la Cina e altri attori di minacce straniere cercheranno di violare gli account e-mail delle campagne presidenziali statunitensi nella speranza di influenzare le elezioni del 2020 e deviando le donazioni delle campagne.

  3. Nuovi attori pericolosi entrano nel BEC

    La criminalità informatica dell’Europa orientale e russa che ha assistito all’ascesa del BEC, portata avanti dalla criminalità nigeriana, lancerà probabilmente i suoi attacchi BEC nel 2020. Data l’abilità operativa di questi attaccanti e le reti estese di canali di riciclaggio di denaro sporco, il loro successo potrebbe facilmente eclissare quello dei criminali nigeriani.

  4. Il SIM swapping e le truffe di social engineering sconfiggono la 2-FA

    Considerato il maggiore utilizzo dell’autenticazione a due fattori, i criminali cercheranno nuovi modi per aggirare questo ulteriore livello di protezione. Gli attacchi di scambio di SIM (SIM swapping) aumenteranno, ma aumenteranno anche i semplici stratagemmi basati sul social engineering che ingannano le vittime in merito ai one-time passcode (OPT) inviati tramite SMS durante l’autenticazione a 2 fattori. I criminali informatici che acquisiscono le credenziali di accesso al conto bancario, ad esempio, possono inviare un avviso fraudolento di “accesso non autorizzato” allo smartphone del cliente della banca, aggiungendo: “Se NON eri tu, ti preghiamo di ricambiare il codice che ti abbiamo appena inviato.” Semplice, ma potenzialmente catastrofico.

  5. Phishing delle credenziali e violazioni dei dati democratizzano le frodi tramite e-mail

    Le ricorrenti violazioni dei dati porteranno a una crescente disponibilità di milioni di credenziali e-mail compromesse (come la Collection #1), rendendo più semplice che mai l’acquisizione dell’account e-mail di un potenziale bersaglio di alto valore. In rete si registra un boom delle offerte di servizi phishing-as-a-service (PaaS), nonché un numero crescente di kit di phishing “chiavi in mano”. Da kit gratuiti fino a kit da $ 300, questi pacchetti di risorse di phishing in genere includono file zip con HTML, file PHD, immagini e altre risorse necessarie per impostare siti di phishing che replicano pagine di accesso legittime per marchi affidabili come DropBox, Adobe, Microsoft, LinkedIn, Google e altro.

  6. Intelligence Identity + AI richieste per superare le minacce avanzate alla posta elettronica

    In un mondo in cui i criminali informatici non devono più fare affidamento su malware o contenuti dannosi, le aziende hanno chiaramente bisogno di un nuovo approccio alla sicurezza della posta elettronica. Per molte aziende, potrebbe essere richiesta l’intelligence identity del mittente abbinata all’apprendimento automatico (Machine Learning) per risolvere minacce avanzate su scala aziendale. Un’accurata intelligence del mittente in tempo reale si baserà su un grafico di identità che viene arricchito quotidianamente con un enorme pool di dati comportamentali e telemetrici dei mittenti, un vero e prorio database di relazioni e modelli comportamentali tra individui, marchi, aziende, servizi e domini che utilizzano centinaia di caratteristiche per definire comunicazioni affidabili.

  7. Bloccare semplicemente gli attacchi informatici non è più sufficiente

    Nonostante i 100 miliardi di dollari investiti nella sicurezza informatica nell’ultimo anno, i livelli di minaccia continuano ad aumentare. Nel 2020, Agari ritiene che un numero maggiore di aziende sentirà l’obbligo di reagire con nuove misure di “difesa attiva”. Ciò includerà gli sforzi intersettoriali per assistere i team di ricerca di esperti che lavorano per infiltrarsi negli account e-mail di criminali collegati in rete, documentare tattiche, identificare gli autori e altro ancora. Non lanciare contrattacchi, ma condividere i risultati con le istituzioni finanziarie e le forze dell’ordine in modo che possano recuperare fondi rubati, arrestare gli autori e infine ostacolare gli anelli transnazionali di criminalità informatica.

  8. Una delle principali società statunitensi perde $50 milioni per il programma di posta elettronica interno

    Quando gli attacchi di phishing provengono da un collega o da un dipendente di un partner fidato della catena di approvvigionamento, il rilevamento può arrivare troppo tardi. Soprattutto quando l’obiettivo non è il furto finanziario diretto. L’esfiltrazione di informazioni e strategie competitive, IP e dati preziosi dei clienti è una vera minaccia. I costi medi associati alle violazioni dei dati ora superano $ 8,2 milioni per incidente per le società con sede negli Stati Uniti. Per le mega-violazioni, i costi possono arrivare fino a $ 388 milioni o più. E questo prima di eventuali multe o azioni legali. Considerando la perdita di $37 milioni che una consociata Toyota ha recentemente sofferto a seguito di un attacco via e-mail esterno, non è insondabile che una grande azienda dovrà affrontare perdite per 50 milioni di dollari a causa di una frode interna o di un attacco di phishing di credenziali che si traduce in una violazione dei dati nel 2020.

  9. La tecnologia vocale espande la superficie di attacco BEC

    “Alexa, puoi hackerare la mia e-mail?” Nei prossimi mesi, la tecnologia vocale sarà utilizzata in nuovi attacchi informatici. Poiché le forme relativamente insicure della tecnologia di registrazione continua dei dati (CDR, continuous data recording) vengono inevitabilmente compromesse, i criminali informatici uniranno le credenziali di accesso vocale e le “voci” abilitate ai deepfake di dirigenti fidati nei loro schemi di phishing. Sempre più la sicurezza della posta elettronica richiederà un approccio adattativo basato sull’autenticazione che sfrutti il Machine Learning per analizzare migliaia di indicatori (identità, dispositivo, posizione, comportamento e altro) per valutare e agire con precisione sui rischi.

  10. Pressione verso nuovi mandati di sicurezza della posta elettronica nel settore privato

    Aspettatevi richieste di nuovi regolamenti che emulino la direttiva operativa Binding Operational Directive (BOD) 18-01 del dipartimento per la Homelande Security (DHS) degli USA, che impongano di adottare sistemi di autenticazione DMARC (Domain-based Message Authentication, Reporting and Conformance). Questo protocollo di autenticazione e-mail standard aiuta le organizzazioni a proteggere i propri domini dall’essere piratati e impersonificati negli attacchi e-mail.

Concludendo…

La maggior parte di queste crescenti sfide riflettono un passaggio accelerato verso attacchi basati sul social engineering. BEC, VEC, estorsione e phishing di credenziali sono tutti in aumento e nessuno di essi richiede una tecnologia sofisticata. Nel 2020, le organizzazioni che saranno in grado di implementare difese contro queste e altre minacce avanzate che sfruttano l’e-mail potrebbero ottenere un netto vantaggio competitivo.