È importante avere consapevolezza che i dati prodotti e custoditi nelle nostre aziende corrono enormi rischi a causa dei criminali che operano nella rete. Una truffa informatica può fare danni anche irreparabili al tuo business, rovinandone la reputazione, schiacciando la sua credibilità, strappando dalle tue mani i risultati di anni di lavoro e sacrifici. Tutto questo può accadere in una breve frazione di secondo, per la disattenzione anche del più preciso dei tuoi collaboratori, perché gli hacker sono scaltri, preparati, e studiano modalità precise per sfruttare la psicologia della vittima e arrivare al bersaglio.
Il phishing è una pratica criminale molto più diffusa di quanto non si creda. Il nome deriva dal verbo to fish che, in inglese, indica la pratica della pesca. Tramite varie tecniche, che vanno dall’inoltro di e-mail “esca”, all’utilizzo di falsi moduli digitali per la raccolta di dati, sino alle truffe telefoniche, l’hacker cerca di far “abboccare all’amo” l’utente creando tecniche specifiche per colpire sia i più distratti, che i più attenti.
La pratica esiste ormai da decenni, da quando la telefonia si è imposta come mezzo di comunicazione alla portata di tutti. Infatti, nella parola phishing, avrai notato, la lettera f del verbo to fish, pescare, è stata sostituita dal digramma ph. L’origine di questa ortografia è dibattuta dagli esperti, ma principalmente sono due le radici plausibili del termine. Phishing potrebbe derivare dall’unione della parola fishing (pesca) con il termine phony (falso, finto) o dall’unione del già menzionato verbo con il termine phreak – a sua volta da freak, strano, più phone, telefono – usato negli anni ’70 per riferirsi ai truffatori che per primi sfruttarono la rete telefonica come mezzo per i loro raggiri.
Nel corso degli anni la pratica del phishing si è allargata a macchia d’olio, sfruttando di volta in volta le nuove declinazioni della comunicazione digitale: sms, posta elettronica, navigazione in rete. Più la tecnologia avanza, più siamo esposti a questo tipo di attacchi e quindi è fondamentale sensibilizzare tutti i collaboratori aziendali riguardo questo fenomeno al fine di non farsi cogliere impreparati, evitando di subire danni spesso irreparabili.
Come funziona il phishing
Come nello sport della pesca, anche nel campo delle truffe informatiche c’è un’ampia scelta dell’esca e delle tecniche per far abboccare la vittima all’amo. Il canale più sfruttato per il phishing è quello delle e-mail e dei messaggi di testo. Lo schema di questo genere di truffe è più o meno questo: la vittima riceve un’e-mail o un messaggio di testo nel quale il mittente sembra essere una persona o un’organizzazione per cui l’utente nutre fiducia, ad esempio un collega, una pubblica amministrazione o la propria banca. Nel corpo dell’e-mail il malcapitato o la malcapitata vengono invitati a scaricare file o compilare moduli.
In genere le e-mail di phishing che vengono inoltrate a privati cittadini richiedono l’inserimento di dati personali come ad esempio dati anagrafici, documenti personali o codici bancari. Per ciò che riguarda invece le esche lanciate alle aziende, spesso si tratta di e-mail che contengono malware o ransomware che permettono al criminale di insinuarsi nel pc del dipendente destinatario del messaggio e di espandersi su tutte le macchine della tua azienda, rubando dati e bloccando le operazioni. Spesso dai criminali viene poi richiesto un riscatto in moneta non tracciabile, ad esempio bitcoin. Ma, attenzione, anche il pagamento di detto riscatto non garantisce che i dati perduti tornino al malcapitato imprenditore. Mesi o anni di lavoro possono essere cancellati da una disattenzione di un collaboratore con conseguenze devastanti sulla reputazione dell’azienda.
I danni della pandemia
Anche prima che la pandemia di SARS-CoV-2 colpisse, phishing, malware e ransomware erano i fattori di rischio maggiori per la sicurezza di piccole, medie e grandi imprese, ma i rapporti che Trend Micro e CLUSIT hanno rilasciato nel 2021 dimostrano quanto la crescita del lavoro da remoto abbia aumentato il rischio di successo degli aggressori, nonché la loro attività.
Trend Micro nel 2021 dipingeva già uno scenario poco confortante circa la diffusione del fenomeno del phishing negli Stati Uniti: lo studio «How to Reduce the Risk of Phishing and Ransomware» individuava su un campione di 130 professionisti della sicurezza informatica impiegati in organizzazioni di medie e grandi dimensioni in Nord America, che l’84% delle aziende aveva subito un attacco di phishing, molti di questi finalizzati all’impianto di ransomware su sistemi informatici aziendali.
La metà delle compagnie non era stata capace di difendersi da tali minacce. Secondo il report, solo il 37% dei professionisti aveva dichiarato di sentirsi adeguatamente preparato per seguire le best practice per proteggersi dagli attacchi.
Al campione coinvolto nell’indagine era anche stato chiesto di segnalare quali fossero i problemi di sicurezza che ritenessero più preoccupanti. Il dato raccolto indicava come principali timori: i tentativi di phishing che arrivano nelle caselle di posta degli utenti, i click degli utenti su link di phishing o allegati, il furto di dati tramite ransomware.
Il rapporto CLUSIT descrive la situazione globale della sicurezza informatica attraverso i dati del Security Operations Center (SOC) di FASTWEB e le segnalazioni di enti pubblici e privati come la Polizia Postale e delle Comunicazioni, il CERT di Banca d’Italia, CNA Milano, Women For Security e diverse società di cybersecurity. Se osserviamo la situazione che tale rapporto fotografava nell’anno subito successivo allo scoppio della crisi pandemica, notiamo che in Italia nel primo semestre 2021 gli attacchi gravi con impatto critico o alto andavano a rappresentare il 74% del totale, mentre nel 2020 erano stati il 49% del campione. Un peggioramento non di poco conto considerando che, inoltre, numericamente la media mensile di attacchi gravi dal 2018 al 2021 era aumentata del 30%, da 124 a 170.
2023: Le aziende italiane sono sempre più a rischio
Arriviamo al 2023, l’Italia è sempre più nel mirino degli hacker: Quest’anno ben il 7,6% degli attacchi globali ha interessato il nostro paese.
Ce ne informa il Rapporto CLUSIT 2023, che aggiunge alle tristi notizie degli scorsi anni un carico ulteriore. Rispetto al già difficile 2021, gli attacchi nel nostro paese hanno avuto un’impennata. Non solo: nell’83% dei casi, le aziende non erano preparate a difendersi e gli hacker hanno raggiunto i loro obiettivi, con conseguenze molto gravi.
Spinto dal conflitto in Ucraina, che tocca anche il mondo digitale, lo scenario globale vede un forte aumento degli attacchi informatici con un +21,5% globale e uno sconfortante +168,6% per l’Italia, uno dei bersagli preferiti dai criminali. È molto probabile, inoltre, che le stime siano inferiori ad una fotografia realistica della situazione perché le vittime tendono a mantenere segrete le aggressioni subite, per evitare danni di immagine.
Non sorprende scoprire che, a livello globale, il cybercrime (a fini puramente economici) è la principale attività di attacco con 2000 casi che rappresentano l’82% del totale. Spionaggio e sabotaggio (11%), nonché le azioni criminali legate all’hacktivism (3%), sono una fetta assai minore della torta.
Guardando i dati con più attenzione, vediamo che le principali vittime sono quelle colpite dal cosiddetto comportamento a bersaglio multiplo (22%), ovvero campagne di attacco non mirate ad un settore specifico. Seguono il settore pubblico e la pubblica amministrazione con il 12%. Sanità, Scuole e Università in leggero calo, all’8%. Il settore finanziario e assicurativo è uno dei gruppi professionali più colpiti.
Come non abboccare all’amo
Alcuni attacchi di hacker interrompono i processi aziendali, mentre altri li sfruttano per diffondersi. Questi ultimi sono particolarmente pericolosi perché sfruttano la tendenza delle persone a fidarsi. Se un’e-mail proviene da una fonte attendibile o da un’applicazione gestita da un provider affidabile, tendiamo ad abbassare la guardia. Quindi, invece di tentare di attaccare direttamente la direzione delle grandi aziende, gli hacker entrano attraverso una “porta sul retro”, utilizzando un individuo con basse difese per compromettere prima una macchina, e poi l’intero sistema. Sottovalutare i rischi nella propria catena di processi e comunicazione interna può avere gravi conseguenze per l’azienda.
Il phishing via e-mail rimane una delle principali strategie utilizzate dai criminali informatici, secondo gli analisti. Spesso si tratta della prima fase di un attacco ransomware, definito dagli esperti come una moderna epidemia che colpisce di fatto governi, ospedali, scuole, aziende o qualsiasi altro bersaglio considerato vulnerabile e attraente per gli hacker. Quasi sempre, l’installazione di questi programmi malevoli comporta la perdita di dati e gravi interruzioni dei servizi informatici.
Per proteggere la tua azienda è necessario che tu conosca tattiche, tecniche e procedure di attacco tipiche, così da poterle intercettare per tempo, nonché quali sono i tipi di soluzioni di sicurezza informatica presenti sul mercato.
I maggiori esperti, che hanno lavorato agli studi affrontati nei paragrafi precedenti, affermano che è importante adottare un approccio incentrato sulle persone, sui processi e sulla messa in atto delle procedure di risposta agli incidenti. La formazione degli utenti è la migliore arma per rilevare e rispondere in anticipo alle minacce.
Un consiglio da tenere bene in mente è di non aspettare che si verifichi una violazione per sviluppare una strategia di difesa, contattare immediatamente le forze dell’ordine, i provider di servizi e le altre parti interessate. È importante addestrare i dipendenti a essere vigili prima che sia troppo tardi.
Labitech Academy, al tuo fianco per la sicurezza della tua azienda
Riconoscere una e-mail di phishing e proteggere i propri dispositivi e la rete aziendale da attacchi informatici deve essere una priorità assoluta per i tuoi collaboratori. Il corso di Sensibilizzazione all’E-mail Phishing di Labitech Academy è rivolto a qualsiasi tipologia di utenza che voglia imparare a riconoscere questa tipologia di e-mail per proteggere se stesso e l’azienda. Non vi sono prerequisiti necessari per la partecipazione a tale corso, breve, ma denso di contenuti, che permette al discente di imparare a comprendere l’e-mail phishing, riconoscere questa tipologia di messaggio, nonché a conoscere le conseguenze derivanti da questo tipo di attacco ed essere preparato ad agire per neutralizzare i messaggi malevoli.
Aumentare la protezione della tua azienda con il metodo didattico di Labitech Academy è la soluzione che stavi cercando. Cosa aspetti? Contattaci subito per saperne di più.