Email phishing: come combattere gli attacchi mirati

Nel suo nuovo report “State of the Phish”, Proofpoint spiega che servono formazione e attenzione alle email

Nella sesta edizione del report “State of the Phish”, che analizza lo scenario degli attacchi phishing, prendendo in esame consapevolezza, vulnerabilità e resilienza delle aziende, Proofpoint analizza dati mondiali raccolti da circa 50 milioni di simulazioni di attacchi phishing inviati ai clienti nell’arco di un anno.

Uniti a un’indagine effettuata da un partner che ha coinvolto più di 600 professionisti di sicurezza di Stati Uniti, Australia, Francia, Germania, Giappone, Spagna e Regno Unito e oltre 3.500 dipendenti, appartenenti ai medesimi paesi, ne viene fuori un quadro preciso.

Quasi il 90% delle aziende globali intervistate è, infatti, stato colpito da attacchi mirati di tipo BEC (business email compromise) e spear phishing, a testimonianza dell’attenzione costante che i cyber criminali rivolgono alla compromissione dei singoli utenti. In parallelo, il 78% afferma che le attività di formazione abbiano consentito di ridurre in modo significativo la suscettibilità al phishing.

Nell’edizione di quest’anno è stata presa in considerazione anche la capacità di identificare e segnalare le email sospette, parametro fondamentale per misurare il comportamento positivo di un dipendente. Il volume dei messaggi segnalati è aumentato in modo rilevante anno su anno, raggiungendo oltre i 9 milioni di email sospette, con un incremento del 67% rispetto al 2018. Si tratta di un segnale positivo per i team di sicurezza, soprattutto ora che gli aggressori scelgono sempre più un modello di attacco mirato e non di massa, come analizzato del team di threat intelligence di Proofpoint. Gli utenti devono essere sempre più attenti ai metodi di adescamento phishing e fornire modalità di reporting può consentire loro di allertare i team di sicurezza su eventuali messaggi potenzialmente pericolosi che hanno superato il perimetro di protezione.

Il report State of the Phish mette in luce anche i seguenti risultati:

  • Il 55% degli intervistati ha subìto almeno un attacco phishing di successo nel 2019, e gli esperti di sicurezza hanno segnalato una frequenza particolarmente alta di tentativi di social engineering, che hanno sfruttato diversi metodi: l’88% delle aziende ha subìto attacchi spear phishing, l’86% attacchi BEC, l’86% attacchi via social media, l’84% attacchi smishing (via SMS), l’83% vishing (voce) e l’81% USB pericolose.
  • Il 65% dei professionisti della sicurezza ha affermato che la propria azienda ha affrontato un attacco ransomware nel 2019. Il 33% ha scelto di pagare il riscatto, mentre il 32% non ha ceduto. Tra chi ha negoziato con gli aggressori, il 9% ha ricevuto ulteriori richieste di riscatto, mentre il 22% non ha più avuto accesso ai propri dati, anche dopo il pagamento.
  • Le aziende imparano dalle esperienze negative. Il 63% delle aziende realizza azioni correttive sugli utenti che hanno commesso errori in modo ripetuto negli attacchi phishing. La maggior parte dei responsabili di sicurezza ha affermato che la consapevolezza dei dipendenti è migliorata, proprio grazie all’implementazione di un modello basato sulle conseguenze.
  • Molti dipendenti non sono in grado di applicare le best practice di sicurezza. Il 45% dichiara di riutilizzare la stessa password, più del 50% non protegge le reti domestiche con una password e il 90% utilizza i dispositivi aziendali per attività personali. Inoltre, il 32% non conosce i servizi VPN.
  • Molti utenti non hanno padronanza dei termini di sicurezza. Nella ricerca globale, ai dipendenti intervistati è stato richiesto di fornire la definizione dei seguenti termini di sicurezza: phishing (61% di risposte corrette), ransomware (31% di risposte corrette), smishing (30% di risposte corrette) e vishing (25% di risposte corrette). Questi dati evidenziano una mancanza di conoscenza tra gli utenti e una barriera linguistica potenziale per i team di sicurezza che si occupano della formazione su queste minacce. Una comunicazione efficace con gli utenti è fondamentale in azienda, per permettere loro di diventare l’ultima, e più forte, linea di difesa.
  • I Millennial continuano a ottenere risultati inferiori rispetto alle altre fasce di età sulla conoscenza di base di phishing e ransomware. Un avvertimento per le aziende, che non dovrebbero scegliere dipendenti troppo giovani non ancora dotati di una comprensione naturale della sicurezza. I millennial hanno riconosciuto correttamente solo un termine: smishing.

Come riferito in una nota ufficiale da Joe Ferrara, senior vice president e general manager of Security Awareness Training di Proofpoint: «Per essere efficaci, i programmi di formazione efficaci sulla sicurezza devono focalizzarsi su aspetti e comportamenti critici per un’azienda e la sua mission. Il nostro consiglio è quello di adottare un approccio alla sicurezza focalizzato sulle persone, combinando iniziative di sensibilizzazione e corsi mirati sulle minacce IT. L’obiettivo è di formare gli utenti per far sì che siano in grado di riconoscere e segnalare eventuali attacchi».