Se un ladro volesse entrare in casa vostra, potrebbe forzare l’ingresso, magari scassinando una serratura, rompendo una finestra o con altri mezzi. Se un vicino sentisse dei rumori o vedesse degli strani movimenti, potrebbe chiamare la polizia per far catturare il ladro. Oppure, il ladro potrebbe cercare di convincervi a consegnare le chiavi di vostra spontanea volontà, magari fingendosi un addetto alle consegne o alle riparazioni, o un ispettore, o raccontando una storia plausibile. Se il ladro riuscisse a mettere le mani sulle chiavi, potrebbe semplicemente entrare come se lo facesse legittimamente, senza alcun sospetto.
Nel mondo digitale, il phishing è il modo in cui i ladri (in questo caso i criminali informatici) entrano in casa vostra (i vostri sistemi critici e i vostri dati sensibili). Gli attacchi di phishing riusciti forniscono agli aggressori credenziali rubate che consentono loro di “entrare” nella vostra azienda e di accedere agli obiettivi che hanno messo nel mirino.
Come mai il phishing è così efficace? Tanto per cominciare, questi attacchi si sono evoluti in modo significativo negli ultimi anni. Mentre un tempo erano grezze, pieni di errori di battitura e non particolarmente convincenti, oggi persino gli esperti hanno difficoltà a distinguere le e-mail di phishing da quelle legittime. I siti di phishing, inoltre, assomigliano notevolmente a quelli reali. Non c’è da stupirsi che molti utenti vengano ingannati nel fornire le proprie credenziali agli aggressori. In altre parole, consegnano volontariamente le loro chiavi.
Con molte aziende che intraprendono un percorso di trasformazione digitale, l’uso di questo metodo di attacco è notevolmente aumentato e i danni che ne derivano si stanno diffondendo. Una maggiore presenza online significa una maggiore superficie di attacco online e un maggiore rischio. Al giorno d’oggi gli aggressori non hanno bisogno di escogitare schemi complessi per forzare l’ingresso nelle aziende: possono semplicemente investire per convincere gli utenti ignari a consegnare le loro credenziali.
Detto questo, cosa possono fare le aziende per proteggere le loro applicazioni online da incidenti di sicurezza e frodi?
La semplice eliminazione dei siti di phishing non è sufficiente per combattere il furto di credenziali. Gli aggressori possono creare siti di phishing con facilità. Quando ne eliminiamo uno, ne spunta un altro altrove. Questo può spesso trasformarsi in un’interminabile e logorante battaglia che raramente rende le nostre applicazioni online più sicure o le protegge dalle frodi.
Se invece partiamo dal presupposto che una certa percentuale dei nostri utenti cadrà vittima di attacchi di phishing e subirà il furto delle proprie credenziali, possiamo adattarci di conseguenza. Quando cambiamo prospettiva e adottiamo questo approccio, ci rendiamo conto che l’identificazione e la mitigazione degli attacchi di sicurezza che derivano dal furto di credenziali diventa uno dei nostri obiettivi principali. L’adattamento del nostro approccio ci aiuta a proteggere le nostre applicazioni online da questi attacchi che probabilmente vengono lanciati regolarmente contro di esse.
Ci sono molti accorgimenti che possiamo adottare per mitigare il rischio di furto di credenziali. Eccone alcuni:
- Eliminare l’automazione. Gli aggressori creano database di credenziali rubate che raccolgono da diverse fonti, tra cui il phishing. Queste credenziali rubate vengono spesso testate in massa utilizzando dei bot. Le credenziali valide vengono poi spesso utilizzate per commettere frodi manuali e di Account Takeover (ATO). L’eliminazione di questi attacchi automatici non solo attenua questo rischio, ma riduce anche i costi dell’infrastruttura dovuti al traffico non umano (bot) indesiderato.
- Fermare l’Account Takeover (ATO). Gli aggressori che possono sfruttare credenziali valide rubate per accedere ad account rubati e mascherarsi da utenti legittimi possono utilizzare tale accesso per commettere frodi. Queste frodi manuali, ovviamente, comportano perdite per le aziende che ne sono vittime. L’individuazione e la mitigazione dell’Account Takeover (ATO) impedisce queste perdite, facendo risparmiare le aziende.
- Ridurre l’attrito. L’aumento del rischio di frode spesso spinge le aziende a istituire requisiti di autenticazione e di autenticazione a più fattori (MFA) più severi. Purtroppo, questo approccio aggiunge attrito per i clienti legittimi senza ridurre in modo significativo le perdite dovute alle frodi. Gli aggressori sono pieni di risorse, motivati e abili nel trovare soluzioni alternative. Se possiamo identificare in modo affidabile le frodi automatiche e manuali, possiamo anche identificare in modo affidabile il traffico legittimo desiderato. Una volta che sappiamo qual è il traffico desiderato, abbiamo meno probabilità di disturbare i clienti reali e possiamo invece concentrarci sul fermare gli aggressori.
Gli attacchi di phishing sono destinati a rimanere e probabilmente continueranno ad aumentare di numero. Fortunatamente, abbiamo i mezzi per combatterli. Concentrandosi sul rischio di furto di credenziali, le aziende possono convogliare i propri sforzi sulla riduzione delle perdite dovute a incidenti di sicurezza e frodi. Sebbene non esista un modo per mitigare tutti i rischi, l’adozione di misure per eliminare l’automazione, bloccare gli ATO e ridurre l’attrito può garantire alle aziende un flusso costante di entrate dai clienti legittimi, riducendo al contempo le perdite dovute a bot e frodi.
di Josh Goldfarb, Fraud Solutions Architect per l’area EMEA e APCJ di F5