La compromissione della corrispondenza digitale aziendale, altrimenti detta frode via email, è una delle principali minacce informatiche odierne. Si tratta di attacchi sempre più mirati e in quanto tali efficaci, perché studiati nei particolari per agire a colpo sicuro, mediante l’invio di pochi messaggi alle persone giuste. Le frodi possono avere fini diversi: dalla sottrazione di dati sensibili a quella, direttamente, di denaro, per esempio, attraverso la richiesta di pagamenti di fatture e così via.
“Esistono molteplici tecniche in quest’ambito – ha spiegato Ryan Kalember, SVP Cybersecurity Strategy di ProofPoint – tra queste: cronologie di email false (per far sì che al lettore del messaggio sembri che la richiesta sia già stata approvata da altri soggetti in azienda); registrazione di domini molto simili a quelli che si vogliono colpire finalizzati ad ingannare l’utente finale (come si vedrà qui di seguito, per esempio, modificando in modo impercettibile le lettere, ndr), cambio dei nominativi e dell’indirizzo per il ‘Reply to’. Tutte si basano sulla disponibilità delle persone a fidarsi della mail e quindi a rispondere con le informazioni e le azioni richieste”.
Who's Who
Ryan Kalember
ProofPoint, un’azienda nata nel 2002 nella Silicon Valley, si pone l’obiettivo proprio di proteggere la persona, di offrire cioè soluzioni e, come vedremo anche formazione, tese a proteggere l’individuo e le sue diverse identità digitali.
“Seguendo il trend evolutivo degli attacchi – ha spiegato Luca Maiocchi, regional sales manager dell’azienda che ha aperto la sua filiale italiana a settembre dell’anno scorso – la strategia ProofPoint si è orientata alla protezione delle persone focalizzandosi, oltre che sulla protezione della posta elettronica, sulla sicurezza dei social network e, in generale, dei dispositivi mobile e applicazioni in cloud. Sono questi gli ambiti dove le minacce sono più pericolose e ormai quasi il 100% degli attacchi prevede l’interazione con la persona”.
Who's Who
Luca Maiocchi
La protezione a più strati consigliata da ProofPoint include:
- autenticazione delle email Dmarc che sta per Domain-based Message Authentication, Reporting and Conformance ed è un sistema di autenticazione sempre più diffuso; per esempio nell’ottobre scorso il Dipartimento della sicurezza interna USA ha emanato una direttiva che richiede alle agenzie federali di implementarlo quanto prima, il tutto al fine di bloccare impostori che falsificano domini email affidabili;
- classificazione dinamica, ossia analisi del contenuto e del contesto dei messaggi finalizzata a contrastare le tattiche di falsificazione del nome visualizzato e di generazione dei domini sosia sul proprio gateway email;
- riconoscimento dei domini sosia, cioè identificazione e segnalazione di domini potenzialmente rischiosi per l’utente che, se non si accorge della differenza, è portato a comportarsi come se fosse di fronte a quello corretto;
- prevenzione della perdita dei dati.
Tutto questo quindi presuppone sia l’applicazione di particolari tecnologie, sia l’educazione dell’utente. Proprio per questo, Proofpoint ha recentemente acquisito la società Wombat Security la cui missione è la formazione delle persone attraverso sessioni di training, ma anche di simulazione di attacchi.
Quanto sono diffuse le frodi email?
ProofPoint ha analizzato più di 160 miliardi di email inviate a oltre 2.400 aziende in 150 Paesi. Da tale indagine è emerso che nel 2017 si sono verificati più attacchi che nel 2016; in media, ciascuna azienda è stata attaccata da più di 18 email fraudolente per trimestre, registrando un aumento del 17% rispetto all’anno precedente. Si tratta per esempio di richieste di invio di un bonifico bancario e dei propri dati sensibili tramite un’email, di una serie di email che fingono di provenire da un dirigente o da una ditta partner e, per essere ancora più difficili da rilevare e bloccare, non utilizzano allegati o Url dannosi.
Non solo, i criminali sono andati oltre lo “spoofing” (falsificazione dell’identità) di CEO e CFO (da cui i responsabili della sicurezza hanno imparato a guardarsi) e circa la metà delle organizzazioni ha dovuto assistere allo “spoofing” di oltre 5 identità di addetti diversi negli ultimi 3 mesi del periodo analizzato. E la media di individui colpiti si è assestata a circa 13: sono nel mirino anche gli uffici risorse umane (per avere sotto controllo tutto l’organigramma della società, anche se una fonte semplice e preziosa risulta essere pure Linkedin in questo senso) e il reparto contabilità. In molti casi, gli attaccanti riescono ad architettare un’email convincente utilizzando tecniche di social engineering e le informazioni sui dipendenti ampiamente disponibili sul Web e sui social media.
Gli attacchi sono rivolti ad aziende di qualsiasi dimensione e non risultano preferenze di settore.
Nel corso del 2017, il mix di messaggi fraudolenti via email ha visto alternarsi la falsificazione del dominio, la falsificazione del nome visualizzato e la generazione di domini sosia (o domini “cugini”).
In particolare, nell’ultimo trimestre dell’anno, il 69% delle organizzazioni colpite da truffe via email ha subìto almeno un attacco basato sulla “falsificazione del dominio”, nell’intero anno quasi il 93% ha subìto un attacco di questo tipo.
La falsificazione del nome visualizzato tramite servizi di posta elettronica basati sul Web ha costituito circa il 40% degli attacchi fraudolenti nell’ultimo periodo dell’anno. Aol.com e gmail.com sono stati i domini di invio preferiti per queste minacce, sebbene i responsabili degli attacchi utilizzino anche molti altri domini.
D’altra parte, il volume di attacchi lanciati da “domini sosia” non è elevato quanto il precedente; gli analisti indicano che una ragione per questo sia il fatto di dover pagare per registrare nuovi domini; certo è che anche in questo caso, basta un semplice scambio di caratteri (impercettibile in alcuni casi) e si aprono tantissime possibilità di frodi. E, comunque, nel 2017 lo scambio di singoli caratteri (per esempio una “L” minuscola al posto di una “I”) è stata la tecnica più diffusa utilizzata circa il 38% delle volte.
