Cresce del 23% il fenomeno del phishing nel 2015, con l’89% degli attacchi cybercrime che implicano motivazioni finanziarie o spionaggio, mentre il 63% delle violazioni di dati è dovuta alla debolezza delle password degli utenti e le difese di base sono tutt’ora gravemente assenti in diverse organizzazioni. Sono questi i dati salienti del Verizon 2016 Data Breach Investigations Report, che analizza 2.260 violazioni accertate e circa 100 mila incidenti di sicurezza, evidenziando che l’elemento umano resta l’anello debole della catena della sicurezza informatica nelle cui maglie prosperano appunto phishing e ransomware, in aumento del 16% in un anno.
Il phishing è il primo motivo di preoccupazione
Una modalità in sensibile ascesa rispetto allo scorso anno è il phishing, che si verifica quando un utente finale riceve un’e-mail da una fonte fraudolenta. È allarmante notare come nel 30% dei casi questi messaggi di phishing vengano aperti – un dato in crescita rispetto al 2015 (23%) – e come il 13% di questi utenti abbia cliccato sull’allegato malevolo o sul link dannoso, permettendo l’infiltrazione di un malware e l’accesso dei cyber-criminali.
Negli anni precedenti, il phishing è stato un modello di attacco utilizzato esclusivamente per il cyber-spionaggio, ma nel report di quest’anno è presente in sette delle nove tipologie di incidenti individuate. Questa tecnica è estremamente efficace e offre agli attaccanti una serie di vantaggi, come tempi molto stretti di compromissione del sistema e la possibilità di concentrarsi su individui e organizzazioni specifiche.
Alla lista di errori commessi dal singolo individuo vanno aggiunti quelli perpetrati dalle organizzazioni stesse. Classificati come “errori di vario tipo”, questa tipologia di incidenti è al primo posto nella classifica delle violazioni di sicurezza individuate dal report di quest’anno. Infatti, il 26% di questi errori riguarda l’invio di dati sensibili al destinatario errato. Altri errori presenti in questa categoria sono: eliminazione non corretta di informazioni aziendali, errori nella configurazione dei sistemi informatici, furto o smarrimento di dispositivi come laptop o smartphone.
La rapidità con cui viene commessa un’azione di cybercrime rappresenta una tra le crescenti preoccupazioni dei ricercatori di Verizon nel campo della sicurezza. Nel 93% dei casi, gli attaccanti impiegano un minuto o meno per compromettere un sistema, mentre il furto di dati si verifica in pochi minuti nel 28% dei casi.
Nel report di quest’anno, così come già rilevato nel 2015, la compromissione di dispositivi mobili o dell’Internet of Things non rappresenta un fattore significativo. Tuttavia, l’edizione 2016 del DBIR evidenzia come esistano già una serie di prototipi di exploit e che si tratta perciò solo di una questione di tempo prima che si verifichi una violazione su più larga scala che coinvolga dispositivi mobili e IoT. Ciò significa che le organizzazioni non possono abbassare la guardia e devono proteggere i propri smartphone e i vari oggetti connessi.
Importante notare, inoltre, che gli attacchi alle applicazioni web sono saliti al primo posto nella classifica delle violazioni di dati e che il 95% delle violazioni di questo tipo sono legate a motivazioni finanziarie.
Cresce l’attacco a tre fasi
Il report di quest’anno definisce la diffusione, con grande regolarità, di una modalità di attacco a tre fasi. Numerose aziende diventano preda di questa tipologia d’attacco, che comprende:
- L’invio di una mail di phishing che include un link a un sito web dannoso o, principalmente, un allegato malevolo;
- Il download del malware sul PC dell’utente, punto d’accesso iniziale, mentre malware aggiuntivi possono essere utilizzati per individuare documenti segreti, sottrare informazioni interne (spionaggio) o crittografare file a scopo di estorsione. Nella maggior parte dei casi, il malware ruba le credenziali di numerose applicazioni attraverso un key-logging.
- L’uso di credenziali per futuri attacchi, come l’accesso, ad esempio, a siti web di terze parti come banche o siti di e-commerce.
Il report del 2016 ribadisce la necessità di una buona protezione di base
I ricercatori notano come misure di base ben implementate continuino ad essere più importanti di sistemi complessi. Una buona protezione comprende le seguenti regole:
- riconoscere quali sono i modelli di attacco più comuni nel proprio settore di appartenenza;
- utilizzare l’autenticazione a due fattori per i propri sistemi. Incoraggiare gli utenti ad utilizzare l’accesso a due fasi per le applicazioni di social networking;
- applicare rapidamente le patch;
- monitorare tutti gli accessi: esaminare i log-in per identificare più facilmente le attività dannose;
- crittografare i dati: se i dispositivi rubati sono criptati, è molto più difficile, per gli attaccanti, accedere ai dati;
- formare il personale: sviluppare la consapevolezza della sicurezza all’interno della propria organizzazione è fondamentale, dato soprattutto l’incremento nel numero di attacchi di phishing;
- conoscere i dati e proteggerli di conseguenza, limitando anche l’accesso. (P.A.)