L’email primo vettore di attacco

Molti dei comuni attacchi informatici che le aziende devono affrontare non sono in realtà una novità. Il panorama delle minacce moderne presenta diversi ‘nemici’ ormai familiari, dal malware e ransomware fino al phishing. Tuttavia, un elemento che è cambiato negli ultimi anni è il livello di preparazione e sofisticazione dietro questi attacchi. Tradizionalmente, i criminali informatici potrebbero aver ottenuto una serie di credenziali compromesse e inviato a tutti un messaggio malevolo, con l’obiettivo di incoraggiare i destinatari a cliccare su link e scaricare payload pericolosi inclusi nelle email.

Gli esperti spiegano che oggi, in background, accade molto di più. I cybercriminali sono molto più attenti a selezionare con cura i loro obiettivi, perfezionando la messaggistica per ogni potenziale vittima. La piaga del Business Email Compromise (Bec) è nata da questo approccio più metodico. In questo caso, gli attori delle minacce comunicheranno attraverso un account impersonato o controllato in modo truffaldino per sottrarre alle vittime inconsapevoli credenziali, dati e, naturalmente, denaro. In tale contesto per la prima volta dopo diversi anni i ricercatori di Clusit hanno rilevato nel 2021 che l’obiettivo più colpito non è più quello dei ‘multiple targets’. In sostanza i cyber criminali non colpiscono più in maniera indifferenziata obiettivi diversi, ma puntano a bersagli ben precisi.

Il quadro complessivo che emerge, sempre secondo i ricercatori del Clusit, è che i cyber attacchi nel 2021 sono stati mirati e meglio tarati per colpire obiettivi specifici appartenenti a tutti i settori. Qui viene quindi fatto notare che la differenza tra le percentuali dei settori più colpiti si assottiglia, non essendoci per la prima volta categorie di vittime prese di mira in modo particolare rispetto ad altre. Al contrario i cyber attacchi le stanno colpendo tutte in maniera sostanzialmente uniforme ma anche più selettiva.

“Qualunque sia il metodo e il livello di sofisticazione, i moderni attacchi informatici tendono a condividere un tratto comune: prendono di mira la casella di posta elettronica”, spiega Luca Maiocchi, Country Manager Italy di Proofpoint. “Come recentemente riportato nell’Internet Crime Report dell’Fbi, l’email rimane il punto di ingresso numero uno per i criminali informatici, con attacchi Bec e Eac (Email Account Compromise) indicati tra i principali incidenti, causa di perdite pari a 2,4 miliardi di dollari per aziende e consumatori lo scorso anno.”

Viene quindi spiegato che il tema riguarda tutte le organizzazioni, indipendentemente dalla loro collocazione geografica, e che in base ai dati raccolti da una ricerca Proofpoint sui Ciso condotta nel 2021, il 64% di quelli italiani intervistati si sente infatti a rischio di attacco, con le campagne di Business Email Compromise sul podio, al terzo posto (31%) dopo Cloud Account Compromise (37%) e attacchi DDoS (35%).

Valutare il costo degli attacchi via e-mail

La tendenza verso attacchi email più sofisticati e mirati non accenna a rallentare quindi, per il semplice motivo che porta davvero dei risultati. “Oggi si calcola che il costo medio che ogni azienda enterprise ha dovuto sostenere per gli attacchi di phishing è di fatto quasi quadruplicato negli ultimi anni, raggiungendo 14,8 milioni di dollari nel 2021, rispetto ai 3,8 milioni di dollari che valeva del 2015. Organizzazioni di tutto il mondo stanno sperimentando gravi conseguenze finanziarie da una serie di altri attacchi comuni, – tutti provenienti dall’email. Il costo per risolvere un’infezione da malware è più che raddoppiato negli ultimi sei anni, passando da 338.098 dollari a 807.506 dollari”, sottolinea Luca Maiocchi evidenziando inoltre che nel frattempo, il costo medio di un attacco Bec ora è di quasi 6 milioni di dollari per una grande organizzazione, con il ransomware che da solo costa 5,66 milioni di dollari. E che in realtà, solo 790.000 dollari di questa cifra rappresentano i riscatti pagati ai criminali informatici, mettendo in luce l’impatto nascosto e indiretto di un attacco informatico. In tutto questo, uno degli impatti più trascurati e costosi di un attacco di phishing riuscito, per esempio, è la perdita di produttività pari, negli Stati Uniti, a sette ore all’anno per dipendente medio.

Nel suo più recente report che analizza il panorama degli attacchi di phishing, prendendo in esame consapevolezza, vulnerabilità e resilienza degli utenti, Proofpoint ha riscontrato che nel 2021 gli aggressori hanno intensificato le loro attività rispetto al 2020: durante lo scorso anno più di tre quarti delle organizzazioni (78%) hanno registrato attacchi ransomware basati su email, mentre il 77% ha affrontato compromissioni delle email aziendali (Bec), con un aumento del 18% rispetto al 2020, riflettendo la continua attenzione dei criminali informatici alla compromissione delle persone, più che all’accesso ai sistemi sfruttando vulnerabilità tecniche.

“Che si tratti di ransomware, phishing, Bec o qualsiasi altra minaccia, gli attacchi alla posta elettronica funzionano perché sono progettati per inserirsi con successo tra le maglie di ogni difesa. Un’email creata con successo può bypassare le difese perimetrali aziendali in un clic senza destare sospetti, lasciando i dipendenti come ultima linea di difesa tra l’organizzazione e i malintenzionati”, commenta Luca Maiocchi, aggiungendo che questo è il motivo per cui le protezioni email di successo devono andare ben oltre i firewall e i filtri antispam. L’idea è che occorra adottare un vero sistema di email security avanzato e integrato, con pieno utilizzo di tecniche di machine learning e intelligenza artificiale (ML/AI) ed estensioni per la verifica delle compromissioni degli account (Cloud Account Defense) o Casb integrato alla soluzione di Email Security. Oltre a questo ogni singola persona in un’organizzazione deve avere ben chiaro come poter rilevare e le minacce via email, ma anche le possibili conseguenze nel caso in cui questo non avvenga con successo.

Partire dalle basi per difendersi

Secondo Proofpoint attacchi sofisticati via email e focalizzati sulle persone richiedono una difesa avanzata e incentrata sulle persone, e questo inizia dalle basi. Si tratta di protezioni email che filtrano e bloccano i messaggi pericolosi prima che raggiungano la posta in arrivo, insieme a semplici passi come l’applicazione dell’autenticazione a più fattori per tutti gli utenti. Oltre a questo, per il vendor ogni organizzazione moderna dovrebbe implementare il protocollo Dmarc (Domain-based Message Authentication, Reporting and Conformance), che può aiutare a proteggere i domini aziendali dall’uso non autorizzato e dallo spoofing, oltre a supportare l’autenticazione dei domini di altri mittenti.

“Ma gli strumenti e le tecnologie da soli non sono all’altezza delle tattiche mirate di ingegneria sociale dei criminali informatici di oggi. Ecco perché qualsiasi protezione deve essere supportata da best practice chiaramente definite”, spiega ancora Luca Maiocchi. “Le policy di sicurezza dovrebbero governare tutto, dall’igiene di base delle password e l’uso improprio delle credenziali alle applicazioni autorizzate e al Byod.”

Dall’emergenza Covid alla formazione

Alcuni studi confermano che la pandemia di COVID 19 è stata fonte di ulteriori emergenze sul fronte cybersecurity. Nel corso dell’ultimo anno l’aumento degli attacchi informatici subiti dalle grandi aziende è stato, secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, di circa il 40% anche a causa della diffusione improvvisa e capillare del lavoro da remoto e delle logiche di smart working, che spesso hanno coinvolto necessariamente i dispositivi e le reti di connessione che i lavoratori usavano a scopo personale. Con tutto quello che ne conseguiva (e consegue) fronte sicurezza. “Se nel periodo le aziende avevano budget ridotti, per il 2022 gli Osservatori del Politecnico di Milano parlano di una ripresa per quest’anno degli investimenti lato digitalizzazione, con un’ampia focalizzazione soprattutto sulla sicurezza informatica”, commenta Massimo Angiulli, Sales Engineering Manager Italy di Proofpoint.

Ogni tipo di investimento tecnologico però rischia di rivelarsi inefficace se non supportato da un cambiamento nell’atteggiamento delle aziende, e dei singoli dipendenti, verso la cybersecurity. “Dato che le persone sono al centro della maggior parte degli attacchi informatici, dovrebbero essere anche al centro di ogni difesa informatica. Questo è possibile solo attraverso una formazione completa, personalizzata e continua sulla consapevolezza della sicurezza”, spiega in tal senso Massimo Angiulli. “Il programma di formazione ideale deve comprendere molto più che test a scelta multipla o definizioni del linguaggio. Ogni membro del team dovrebbe comprendere appieno le minacce che deve affrontare, come e dove è probabile che le incontri e cosa fare quando ciò accade. Il nostro report sul phishing rileva che ancora oggi solo il 37% delle aziende afferma di formare i lavoratori sulle migliori pratiche per il lavoro da remoto, cosa che mette in luce una preoccupante lacuna di conoscenza nella nuova ‘normalità’ lavorativa. Ad esempio, il 97% dei dipendenti ha sostenuto di avere una rete Wi-Fi a casa, ma solo per il 60% è protetta da password, una grave falla nell’igiene di sicurezza di base. Perché quando le persone capiscono il rischio che il loro comportamento può avere sulla loro organizzazione, quel comportamento cambierà. Tanto che è stato dimostrato che la formazione sulla consapevolezza della sicurezza riduce le spese legate al phishing di oltre il 50% in media.”

L’idea è quindi che, così come i criminali informatici affinano costantemente i loro metodi per aumentare le loro possibilità di successo, le aziende devono farlo in parallelo. In caso contrario, è probabile che ci sia un solo vincitore.

Un pericolo costante e difficile da controllare

“Gli attacchi portati avanti tramite email sono tra i più difficili da rilevare e da cui difendersi. Sono progettati per insinuarsi subdolamente nel nostro lavoro quotidiano e spesso serve molto tempo per individuarli, con la truffa purtroppo già in atto. Per questo motivo, è necessario superare i tradizionali strumenti di sicurezza focalizzati solo sul perimetro e rafforzare la protezione del patrimonio di ogni azienda, le persone”, sottolinea Massimo Angiulli, aggiungendo alcune indicazioni su come definire una strategia di sicurezza più efficace nell’era post-Covid. La risposta di Proofpoint è di adattare i controlli di accesso alle risorse con tecnologie che strizzano l’occhio al massivo passaggio verso il cloud, autenticando i propri domini e monitorando gli abusi e abbinando una protezione completa della posta elettronica progettata per analizzare e filtrare i messaggi pericolosi (“a oggi il vettore di attacco numero uno”) prima che raggiungano la casella di posta. Fondamentale risulta inoltre stabilire anche processi per verificare eventuali modifiche alle transazioni finanziarie, con richieste verificate attraverso più fattori e mai solo via email.

“Ma l’elemento sempre più essenziale è la consapevolezza dei dipendenti sulla cybersecurity, che devono essere in grado di conoscere e comprendere le minacce a cui potrebbero andare incontro e sapere come rispondervi”, aggiunge Massimo Angiulli. “Questo significa implementare un programma di formazione completo, continuo e adattivo, focalizzato su metodi, tecniche e modalità di reazione, al fine di ridurre le probabilità che i lavoratori diventino vittime di attacco.”

In definitiva, il messaggio è che con gli strumenti e la formazione adeguati, i dipendenti potranno diventare una solida ed efficace linea di difesa attiva non solo contro gli attacchi Bec in costante crescita, ma contro ogni tipologia di azione cybercriminale.