I trucchi dei cybercriminali per ingannare i dipendenti

I dipendenti delle aziende sono esposti a un numero crescente di phishing grazie a nuovi trucchi. Come contrastarli lo spiega  Brian Foster  di Mobileiron

 

Come in una partita di calcio, quella cui si assiste è una  lotta continua tra attaccanti e difensori. E come nel calcio gli schemi e i modi  con cui i Cybercriminali possono ingannare i dipendenti delle aziende sono numerosi.

Gli attacchi di phishing sono in costante aumento e sono andati ben oltre le false e-mail bancarie piene di link dannosi, nonostante queste siano ancora in circolazione.

Gli hacker di oggi prendono di mira gli utenti mobile su più canali, usano messaggi di testo e SMS, piattaforme di social media e quasi tutte le app mobile che consentono la condivisione di link.

Grazie al fatto che molte delle nostre informazioni personali sono online, osserva  in proposito Brian Foster, SVP Product Management di MobileIron, gli hacker possono personalizzare gli attacchi per renderli più difficili da individuare e hanno maggiori probabilità di successo.

È ormai pratica comune inviare e ricevere inviti per entrare in contatto con persone che condividono o il background aziendale, anche se non ci si conosce  personalmente.

Questo è il motivo per cui i criminali informatici creano spesso falsi profili fingendosi colleghi o conoscenti per connettersi con le persone e quindi ottenere l’accesso ai dati personali.

Per sembrare più legittimi, i truffatori si uniscono a gruppi di social media e pubblicano collegamenti dannosi a un sito che può essere utilizzato per raccogliere informazioni personali o credenziali di accesso.

Questi dati vengono poi utilizzati per attacchi di phishing contro un maggior numero di persone e organizzazioni. Non deve quindi sorprendere, evidenzia Foster,  che il phishing oggi sia responsabile di quasi un quarto (22%) di tutte le violazioni dei dati.

Il rischio degli smart worker

 Un contributo alla crescita del rischio lo dà lo smart working. Con tante aziende che passano al lavoro remoto il tempo in cui i confini di sicurezza venivano controllati dall’IT è ormai tramontato.

Le app e i dati aziendali ora sono ovunque, su qualsiasi dispositivo o rete utilizzata dai dipendenti per lavoro, inclusi gli endpoint personali e il Wi-Fi domestico.

“I criminali informatici sono pienamente consapevoli dell’incremento di chi opera in smart working e stanno, di conseguenza, affinando i loro attacchi di phishing. Sanno che con poche informazioni su un dipendente e sulla relativa azienda (facilmente ricavabili dai profili dei social media), possono lanciare una campagna di spear phishing contro qualsiasi organizzazione, con conseguenze ovviamente disastrose” osserva Foster.

Ad esempio, gli aggressori hanno utilizzato lo spear phishing telefonico nell’attacco a Twitter lanciato lo scorso 15 luglio per ottenere l’accesso ad account Twitter di alto profilo.

L’hacker aveva solo 17 anni e utilizzava tecniche di hacking di base che in realtà esistono da sempre.

Ha prima contattato un dipendente di Twitter e, fingendosi un collega fidato, è riuscito a indurlo a condividere le proprie credenziali.

L’hacker è stato quindi in grado di falsificare il numero di telefono del dipendente di Twitter tramite lo scambio di SIM e probabilmente ha ottenuto le informazioni di cui aveva bisogno per entrare nei profili social di quel dipendente.

Una volta che l’hacker è riuscito a reindirizzare il numero di telefono della vittima al proprio dispositivo, ha potuto intercettare le password monouso (One Time Password-OTP) utilizzate per l’autenticazione a più fattori (Multifactor Authentication- MFA) ed elevare rapidamente i suoi privilegi all’interno dell’azienda.

Cosa se ne trae come insegnamento? L’aggressione a Twitter ha dimostrato che un hacker non ha bisogno di far parte di una organizzazione globale di criminali informatici per fare danni e, se questo attacco ha funzionato contro un colosso come Twitter, potrebbe funzionare con qualsiasi azienda.

Un problema: MFA e OTP non bastano

Con così tanti dipendenti che lavorano da casa, è probabile che questi utilizzino un mix di dispositivi personali e di proprietà dell’azienda. E se un’azienda si affida principalmente a difese del tipo MFA e OTP per fornire un accesso sicuro, è facile rischiare che un hacker abile nel recuperare i dati di account social e con capacità di scambio di SIM, possa scalfire livelli di sicurezza di un’azienda agendo su uno smart worker alla volta.

Questo è il motivo per cui non possiamo permetterci che i dipendenti siano la prima linea di difesa contro gli attacchi di phishing. Il suggerimento è che le imprese forniscano l’adeguata formazione sull’importanza della sicurezza per evitare gli attacchi di phishing, ma l’IT dovrebbe anche automatizzare gli approcci zero-trust che possano impedire che questo tipo di truffe raggiungano i dipendenti”, mette in guardia Foster .

Ad esempio, continua il manager, le aziende devono garantire che i lavoratori da remoto possano accedere alle app aziendali solo dai dispositivi gestiti dall’IT e non dall’iPad di famiglia o dallo smartphone del coniuge.

Questo è in parte il motivo per cui così tante aziende hanno cominciato ad implementare soluzioni di gestione dei dispositivi mobile (Mobile Device Management-MDM).

Ma con il phishing e altre minacce mobili in aumento, le soluzioni MDM devono andare oltre la configurazione di base dei dispositivi.

Non è sufficiente impostare l’email aziendale e inviare gli aggiornamenti delle app ai dispositivi dei dipendenti. Si dovrebbero rafforzare gli approcci di sicurezza zero-trust che garantiscano che solo utenti, dispositivi, app, siti web e servizi cloud affidabili possano accedere alle app e ai dati aziendali.

Ciò elimina virtualmente il rischio di credenziali rubate e OTP intercettati e impedisce ai dispositivi non controllati, compromessi o sottoposti a jailbreak di accedere ai dati aziendali.