A cura di Mark Guntrip, Director of Product Marketing in Proofpoint
Le email sono uno dei mezzi principali scelti dai cybercriminali per attaccare le aziende. Questa tipologia di attacco rappresenta oltre il 93% delle violazioni, in base al report Verizon Data Breach Investigation. Tuttavia, prima di scegliere la difesa più adeguata, è importante capire la natura di queste minacce.
Qui di seguito tre delle minacce più recenti e alcune raccomandazioni su come affrontarle.
- Malware
Molte persone tendono ad associare le minacce email al phishing tradizionale, che sfrutta link a siti fraudolenti per rubare le credenziali degli utenti. Ultimamente però, l’attenzione è stata rivolta ad attacchi malware più avanzati e alle loro sempre superiori capacità. Nuove forme di malware superano le tecniche dei trojan bancari, progettati per sottrarre denaro nel momento in cui un utente accede a un conto bancario privato o aziendale. Le nuove minacce possono appropriarsi di credenziali, minare criptovalute e persino scegliere quale payload diffondere in base al luogo in cui si trova la vittima o a ciò che è ospitato sul suo computer. Per ogni tipo di attacco, la responsabilità è quasi sempre delle persone. Aprono il messaggio e cliccano sull’allegato, abilitando una macro contenuta al suo interno, o aprendo un link e inserendo le proprie credenziali.
Un sistema di difesa efficace dalle minacce email dovrebbe:
- Controllare in modo costante gli indirizzi IP locali e globali per determinare se accettare una connessione email.
- Identificare e bloccare contenuti potenzialmente pericolosi attraverso diverse forme di rilevazione, incluse analisi statiche, comportamentali e di protocollo.
- Esaminare ogni URL, una volta aperti, per assicurarsi che non includano contenuti pericolosi.
- Fornire threat intelligence dettagliata e forensic ai team di sicurezza.
- Minacce prive di payload
Email senza allegati o link possono essere ugualmente pericolose. Il loro obiettivo è di ingannare il destinatario per convincerlo a rilasciare informazioni confidenziali o realizzare azioni fraudolente come transazioni bancarie non autorizzate.
Secondo un report stilato dall’FBI, le frodi via email o BEC (Business Email Compromise) sono costate alle aziende oltre 12,5 miliardi di dollari, tra ottobre 2013 e maggio 2018, e queste email sono difficili da rilevare per la maggior parte di aziende di sicurezza. La migliore difesa comprende l’utilizzo di un tool che:
- Analizzi tutta una serie di elementi legati a una email, come la reputazione del mittente e la sua relazione con il destinatario.
- Conduca l’analisi in modo language-agnostic
- Metta in quarantena le email in entrata in modo separato per evitare che gli utenti restino vittime di un messaggio riassuntivo.
- Spoofing e domini sosia
Per i cybercriminali è molto semplice realizzare lo spoofing del dominio di aziende non provviste di autenticazione email, impossessandosene, e inviare email che sembrano legittime. Quando un messaggio proviene da un indirizzo riconoscibile, gli utenti potrebbero cliccare sui link pericolosi all’interno ed essere condotti a copie di siti, o ancora peggio, rispondere all’email e avviare una conversazione con i criminali. I domini sosia registrati vengono utilizzati per ingannare i destinatari e convincerli a fidarsi di un’email. Entrambe le tecniche sono spesso combinate con il display name spoofing, per incrementare la fiducia nel destinatario.
Un sistema di difesa efficace dalle frodi via email è in grado di rilevare chi sta inviando il messaggio sotto mentite spoglie, in modo tale che il mittente legittimo possa essere autorizzato e le email bloccate, fornendo informazioni utili e concrete sui domini sosia registrati. Questo sistema, basato su autenticazione delle email, garantisce una visione completa sul traffico email inbound e outbound.