Nel primo semestre 2023, a livello globale, si sono registrate 1.382 incursioni di cyber pirati informatici, con una crescita dell’11% rispetto all’anno precedente (in lieve rallentamento rispetto al +21% del 2022). In Italia nello stesso periodo l’aumento degli attacchi è stato del 40%, quasi quattro volte superiore al dato globale. Dal 2018 sono stati 505 gli attacchi noti di particolare gravità che hanno coinvolto realtà italiane, di cui ben 132 (il 26%) si sono verificati nel primo semestre di quest’anno. Sono i dati allarmanti che emergono dal Rapporto Clusit sulla prima metà del 2023, recentemente presentato.
Italia sotto cyber attacco
Nel nostro Paese la maggioranza degli attacchi noti si riferisce alla categoria Cyber crime, che rappresenta il 69% del totale, con una quota in significativo calo rispetto all’anno precedente (nel 2022 costituiva il 93,1% degli attacchi); in termini assoluti gli attacchi mantengono un tasso di incessante crescita: sono stati 91 gli incidenti rilevati in Italia solo nei primi sei mesi del 2023.
Tra le tecniche utilizzate maggiormente dai cyber criminali, troviamo: malware (in Italia rappresenta il 53% degli attacchi, mentre nel resto del mondo la percentuale è molto più bassa), phishing, sfruttamento delle vulnerabilità, DDos e furto d’identità/credenziali.
In particolare, gli attacchi di phishing sono in costante aumento. In Italia, il più recente report State of the Phish di Proofpoint rivela che tra le aziende italiane che hanno subito tentativi di attacchi phishing via email lo scorso anno, il 79% ne ha registrato almeno uno di successo, con il 7% che ha riportato perdite finanziarie dirette come risultato.
Questi dati preoccupanti riflettono la costante ricerca da parte dei cybercriminali di modalità di attacco più efficaci, per i temi sfruttati o i canali utilizzati.
- Innanzitutto, la gran parte dei messaggi pericolosi non contiene più alcun tipo di malware, che farebbe scattare l’allarme da parte dei sistemi di scurezza tradizionali, basati su firewall e antivirus.
- I messaggi di phishing cercano di convincere il destinatario a compiere volontariamente un’azione che metta a repentaglio la sicurezza dell’organizzazione, come ad esempio scaricare un’applicazione pericolosa o condividere dati confidenziali.
- Se una volta i tentativi di phishing erano più semplicemente individuabili dal punto di vista formale, per le inesattezze che tipicamente riportavano a livello di forma o di sintassi – indirizzi e-mail non corretti, messaggi con errori grammaticali e così via – oggi anche questo aspetto viene curato con grande attenzione, e i messaggi pericolosi sono spesso indistinguibili da quelli legittimi.
- Secondo uno studio di Positive Technologies l’ingegneria sociale, un metodo di attacco basato sulla manipolazione delle emozioni e della fiducia umana, rappresenta oggi la principale minaccia per gli individui (92%) e uno dei primi vettori di attacco per le organizzazioni (37%).
Nel terzo trimestre del 2023 gli aggressori hanno utilizzato diversi canali di social engineering per attaccare con successo singole persone. Nella maggior parte dei casi, i criminali hanno utilizzato siti di phishing (54%) ed e-mail (27%), oltre a creare schemi fraudolenti sui social network (19%) e sulla messaggistica istantanea (16%).
I canali utilizzati dai cyber criminali cambiano
Anche i canali utilizzati dai cybercriminali cambiano, seguendo l’evoluzione delle abitudini di business e nella ricerca costante di sentieri meno battuti, o almeno meno presidiati dai sistemi di protezione enterprise. Se siti di phishing e messaggi e-mail restano i canali preferiti, ogni applicazione che consente uno scambio di informazioni con l’esterno è potenzialmente a rischio – tanto più che l’utilizzo di queste applicazioni è cresciuto in modo esponenziale negli ultimi anni, sulla scia del passaggio verso un’organizzazione del lavoro sempre più ibrida.
Anche Microsoft nel mirino
Anche Microsoft Teams, una delle soluzioni emerse in modo più evidente negli ultimi anni come abilitatore del lavoro distribuito, non è immune alle minacce. Gli stessi analisti di Microsoft Threat Intelligence hanno documentato sul portale della compagnia vari tentativi di phishing condotti via Teams da gruppi di hacker, con l’obiettivo di sottrarre chiavi di accesso e dati.
Anche il SOC di Axitea ha registrato nelle scorse settimane dei tentativi di compromissione tramite delle campagne di distribuzione malware attuate sfruttando Microsoft Teams, attraverso dei messaggi diretti inviati da un account esterno. Un esempio concreto è un attacco che utilizzava come mittente il nominativo dell’amministratore delegato dell’azienda attaccata. L’intento era di convincere il ricevente a scaricare l’archivio allegato e leggere i documenti all’interno. Per convincere la vittima, il messaggio informava il lettore di importanti cambiamenti organizzativi all’interno dell’azienda, oltre a menzionare un ulteriore documento dettagliante le nuove mansioni del destinatario del messaggio in questione.
Il messaggio è stato correttamente identificato e segnalato dal SOC di Axitea, che ha provveduto a bloccarlo evitando ogni possibile conseguenza. Si tratta comunque di un attacco che merita di essere segnalato perché prende di mira l’utente finale senza un proprio contenuto malevolo, ma spingendolo ad eseguire un’azione imprudente, che potrebbe generare effetti anche gravi, il tutto su un canale che mediamente gli utenti ritengono affidabile e sicuro.
Cybercriminali creativi e pericolosi
Si tratta di un’ulteriore prova della creatività e della costanza dei cybercriminali, che cercano di sfruttare ogni possibile appiglio per aprire una breccia iniziale nell’infrastruttura aziendale e operare poi in relativa tranquillità.
Azioni del genere possono essere intercettate e rese innocue puntando allo stesso modo su un approccio innovativo e completo che sfrutta la tecnologia esistente, ma la abbina alle competenze avanzate che solo degli specialisti del settore possono offrire. In particolare, la capacità di comprendere il contesto e di correlare tra loro singoli segnali di allarme, rappresentano il valore aggiunto inestimabile che ogni specialista di sicurezza può offrire ai propri clienti mettendo a fattor comune innovazione tecnologica, competenze approfondite, capacità organizzative e soprattutto una visione di insieme della sicurezza cyber impensabile per la gran parte delle aziende che in realtà vengono prese di mira.
