Come abbiamo già visto in altri articoli, il phishing riguarda l’invio di mail fasulle che tentano il destinatario in modo che inserisca i propri dati personali in un sito camuffato che il più delle volte si riferisce ad una banca o ad un istituto di carte di credito.
Lo spear phishing è molto simile, ma in esso vengono prese di mira poche persone attentamente selezionate tramite analisi dei comportamenti sui social network e le e-mail sono costruite in modo da sembrare inviate da conoscenti o amici.
Sempre più spesso lo spear phishing colpisce soprattutto le aziende e i loro dipendenti nel tentativo di accedere a dati confidenziali per carpirne segreti commerciali, informazioni militari o per un semplice ritorno economico.
Come funziona
Ciascuna organizzazione può “aiutare” in tre modi un truffatore che tenta di fingersi un manager, un dirigente o un collega con poteri decisionali:
- postando nome completi, titoli e e-mail dei membri del team dirigente nel sito aziendale;
- inserendo nomi, e-mail e numeri diretti nelle informazioni di contatto della contabilità o fatturazione;
- utilizzando schemi ricorrenti nell’invio delle e-mail.
A fronte di queste azioni, bisogna considerare le cattive intenzione degli hacker che hanno necessità di recuperare informazioni interne relative ai loro obiettivi per convincerli della legittimità delle loro e-mail. Per ottenerle, quindi, è facile hackerare un PC o dedurle attraverso uno studio attento dei social, dei blog o dello stesso sito web, dove spesso vengono pubblicate notizie personali o eccessivamente particolareggiate.
Una volta recuperate le informazioni, l’hacker invierà un’e-mail in tutto e per tutto simile a quella dell’azienda obiettivo della truffa, nella quale viene sottolineata l’urgenza di eseguire un compito come un pagamento o il recupero di una password. In tal modo ciascuna vittima viene indotta a cliccare sul link o sull’allegato della mail e il truffatore raggiunge il suo obiettivo.
Ad una prima occhiata, il ricevente potrebbe non accorgersi dell’inganno, se non troppo tardi.
Infatti, il camuffamento dell’e-mail inizia dal titolo della persona che sembra averla inviata (supponiamo “Amministratore Delegato”), passando per l’oggetto (per esempio “Pagamento bonifico a Fornitore”), arrivando al testo della mail (ad esempio. “Le chiedo di effettuare con urgenza un bonifico di xxx Euro con causale “conteggio amministrativo”. Per velocizzare il tutto segua queste informazioni”) a cui verrà linkato un sito fasullo o il download di un allegato infetto.
Come evitare lo spear phishing
I sistemi di protezione tradizionali non sempre riescono ad arrestare gli attacchi di spear phishing poiché sono altamente “personalizzati” e adattati a ciascun utente.
Perciò, l’errore di un dipendente può avere serie ricadute per le aziende, gli enti pubblici e persino le organizzazioni no-profit. Con i dati rubati, i truffatori possono rivelare informazioni sensibili dal punto di vista commerciale, manipolare i prezzi del mercato azionario o commettere atti di spionaggio.
Allo stesso tempo, gli attacchi di spear phishing possono distribuire malware per la violazione dei computer, organizzandoli in enormi reti denominate botnet che possono essere utilizzate per attacchi DoS (Denial-of-Service).
Esistono diversi modi per evitare di diventare una vittima degli attacchi di spear phishing e molti di questi coinvolgono direttamente l’educazione degli impiegati riguardo alle minacce che possono incontrare.
Di seguito, alcune tra le principali raccomandazioni da seguire.
- Controllare costantemente i cambiamenti delle coordinate di pagamento dei fornitori e richiedere la conferma del trasferimento di denaro.
- Avere sospetto verso account email free o web-based, che sono più facilmente hackerabili.
- Prestare attenzione alla pubblicazione di informazioni finanziarie o personali sui social e sul sito aziendale.
- Riguardo ai trasferimenti di denaro, essere sospettosi in caso vengano richiesti con troppa segretezza o eccessiva urgenza.
- Implementare le procedure di sicurezza che includono un processo di verifica in due passaggi per i pagamenti e bonifici.
- Creare delle regole per la rilevazione di intrusione che evidenzino le e-mail con estensione simile a quelle aziendali ma non proprio le stesse.
- Registrare tutti i domini che sono simili a quello aziendale.
- Considerare l’aggiunta di un sistema che monitori gli accessi degli utenti, in modo da poter controllare istantaneamente l’eventuale compromissione di un account.
E tu? Sei mai stato colpito da un attacco di spear phishing?
Per difenderti segui i consigli di questo articolo e negli altri presenti sul nostro blog e visita il sito www.musaformazione.it per scoprire il corso di Ethical Hacker & Security Manager targato Musa Formazione.