Difendersi dal phishing: la nuova guida di Cisco

Come noto, il phishing è divento oggi una delle minacce informatiche più insidiose e diffuse, con conseguenze spesso letali per chi vi "abbocca".  Normalmente, parte dall’invio di e-Mail di massa che usando messaggi di allarme, talvolta persino intimidatori, puntano a carpire informazioni e credenziali da chiunque vi reagisca con le azioni indicate dai mittenti. Indirizzi di e-Mail carpiti in modi più o meno leciti, intercettando comunicazioni, violando siti o anche semplicemente facendo delle campagne civetta di innocenti comunicazioni. Un esempio? Dammi i tuoi dati di nascita e ti invierò via e-Mail il tuo oroscopo personalizzato e aggiornato per il prossimo mese...

Nella sua prima fase, il phishing non è mai diretto ad una persona specifica, ma utilizza grandi numeri di invii di posta nella speranza che sulla massa qualcuno risponderà, passando così alla seconda - o terza fase se si considera la prima quella di acquisizione degli indirizzi di e-Mail - dell'operazione. Si tratta di un sistema ormai ben collaudato, con valori statisticamente ben definiti anche nel numero di risposte ricavabili da una campagna che, sebbene si valutino il frazioni di basse percentuali, di fronte a grandi numeri di invii riescono comunque a colpire minimo qualche decina di sprovveduti.  

La Guida Antiphishing messa a punto da Cisco

Per contrastare questo fenomeno, Cisco ha pubblicato una guida in 5 punti, che in realtà fornisce una serie di consigli comportamentali che aiutano a difendersi proprio dal phishing.

Riassumiamo quindi i passaggi fondamentali compiuti da questo genere di criminali:

1. Ai potenziali truffati viene inviata una e-Mail, o un'altra comunicazione tipo un SMS, con del contenuto fraudolento, che punta a carpire la fiducia e il consenso da parte delle vittime, tipo un mirabolante antiVirus, o il blocco della carta di credito, o una spedizione in giacenza...;
2. Se l'inganno riesce, la vittima viene persuasa a fornire informazioni riservate, spesso su un sito web truffa. Informazioni quali i dati delle carte di credito, o i codici di accesso alla banca, o anche le credenziali di accesso al sistema della propria azienda puntando a violarne l'integrità. Il noto Ransomware così come le minacce avanzate persistenti (APT) spesso iniziano proprio con il phishing.
3. A questo punto, il più è fatto, la trappola è scattata e i dati capriti verranno utilizzati per qualche operazione criminosa, tipo svuotare il conto corrente bancario o fare delle transazioni via carta di credito; talvolta, nel computer del malcapitato viene anche scaricato un Malware che verrà a sua volta utilizzato per altre operazioni o semplicemente per ricattare l'utente dopo averne bloccato l'accesso ai propri dati.

I vari tipi di phishing

Ci sono vari tipi di attacchi di phishing che è bene conoscere per capire come affrontarli. Quelli più noti sono così classificabili:

• Spear phishing: prende di mira non un gruppo di persone, ma singoli individui. I criminali informatici individuano le proprie vittime attraverso i Social Media o su altri siti così da poter personalizzare in modo mirato le comunicazioni per farle sembrare autentiche. Lo spear phishing è spesso il primo passo per superare le difese di un'azienda e realizzare un attacco mirato.
• Whaling: si ha quando gli attaccanti prendono di mira un "pesce grosso", ad esempio un CEO. Spesso questi criminali trascorrono molto tempo a profilare il bersaglio, per trovare il momento e i mezzi opportuni con cui sottrarre le credenziali di accesso. Il whaling è un attacco particolarmente pericoloso, poiché i dirigenti di alto livello hanno accesso a numerose informazioni aziendali.
• Pharming: analogamente al phishing, il pharming dirotta gli utenti verso un sito web fraudolento che sembra perfettamente in regola. Tuttavia, in questo caso, le vittime non devono nemmeno fare clic su un link malevolo per accedere al sito fasullo. Gli attaccanti possono infettare il computer dell'utente o il server DNS del sito e reindirizzare l'utente a una pagina web fittizia anche se è stato digitato l'URL corretto.
• Deceptive phishing: letteralmente phishing ingannevole, è il tipo di phishing più comune. In questo caso, un attaccante tenta di ottenere dalle vittime informazioni riservate da utilizzare per rubare denaro o lanciare altri attacchi. Una e-Mail falsa proveniente da una banca che chiede di fare clic su un link e verificare i dettagli del proprio conto corrente è un esempio molto comune di deceptive phishing.

Come difendersi dal phishing

1. Adottare un solido processo di autenticazione: l’autenticazione a più fattori (MFA) riduce significativamente il rischio di accesso non autorizzato ai dati, ma non tutti i metodi di autenticazione sono uguali. L'utilizzo di chiavi di sicurezza WebAuthn o FIDO2 offre il massimo livello di garanzia per un accesso sicuro. Inoltre, un ulteriore livello di sicurezza potrebbe essere la richiesta di inserire un codice univoco dal dispositivo di accesso nell'app Duo Mobile.

2. Ridurre la dipendenza dalle password con il Single Sign-On (SSO): il Single sign-on consente al contempo l'accesso continuo a più applicazioni con un solo set di credenziali. Con un minor numero di credenziali da ricordare, gli utenti sono meno propensi a riutilizzare o creare password deboli che possano essere facilmente prese di mira dai criminali informatici.

3. Creare e mantenere aggiornato un inventario dettagliato dei dispositivi: è difficile impedire l'accesso da dispositivi di cui non si è a conoscenza. La visibilità di tutti i dispositivi che accedono alle varie risorse è il primo passo per garantire che ogni tentativo di accesso sia legittimo.

4. Applicare i criteri di accesso adattivi: è cruciale garantire che gli utenti giusti, con i dispositivi giusti, accedano alle applicazioni giuste. Perciò si rende necessaria la creazione di policy di sicurezza granulari attraverso cui è possibile applicare un modello di accesso a privilegi minimi e consentire che gli utenti e i loro dispositivi soddisfino standard rigorosi prima di poter accedere alle risorse critiche.

5. Monitoraggio continuo di attività di accesso insolite: l’utilizzo dell'analisi comportamentale può rivelarsi fondamentale nel monitorare i modelli di accesso unici degli utenti. Questa pratica aiuta a individuare le attività sospette e a bloccare le violazioni prima ancora che si verifichino.