Gli hacker sfruttano la natura umana per rendere gli attacchi tramite phishing e ransomware più efficaci. È questa l’indicazione generale che emerge dall’edizione 2016 del Verizon Data Breach Investigations Report, il rapporto annuale del provider di telecomunicazioni wireless che ha analizzato oltre 2.260 violazioni accertate e circa 100.000 incidenti di sicurezza segnalati nel corso del 2015. Tra le offensive che stanno conoscendo una regolarità di diffusione maggiore c’è l’attacco a 3 fasi, di cui sempre più sono destinatarie le aziende.
Cresce l’attacco a tre fasi – Il report di quest’anno definisce la diffusione, con grande regolarità, di una modalità di attacco a tre fasi. Numerose aziende diventano preda di questa tipologia d’attacco, che comprende: l’invio di una mail di phishing che include un link a un sito web dannoso o un allegato malevolo; il download del malware sul Pc dell’utente (nella maggior parte dei casi, il malware ruba le credenziali di numerose applicazioni attraverso un key-logging); l’uso di credenziali per futuri attacchi, come l’accesso, ad esempio, a siti web di terze parti come banche o siti di e-commerce.
“L’obiettivo è capire come i cyber-criminali operino – sottolinea Bryan Sartin, executive director Verizon Risk Team -. Avendo individuato le modalità utilizzate, siamo in grado di prevenire, rilevare e rispondere al meglio agli attacchi”.
Fragilità umana fattore decisivo – I dati di quest’anno non segnalano infatti particolari new entry fra i tipi di offensive utilizzate dai cyber-criminali, che anzi hanno capito come a prescindere dal mezzo utilizzato il fattore decisivo sia lo sfruttamento della fragilità umana. Innanzitutto, bisogna evidenziare che l’89% di tutti gli attacchi analizzati da Verizon nasconde o implica motivazioni finanziarie o di spionaggio.
Per riuscire nel proprio intento, gli hacker sfruttano spesso vulnerabilità conosciute ma irrisolte, nonostante le patch siano disponibili da mesi, se non addirittura anni. Le password deboli, predefinite o sottratte continuano a interessare gran parte (63%) delle violazioni, ma anche gli attacchi ransomware sono in crescita, precisamente del 16% rispetto al 2014. La criticità, spiega il report, risiede principalmente nel fatto che le difese di base sono, ancora oggi, gravemente assenti in diverse organizzazioni.
Phishing tra le minacce più pericolose – Una modalità in sensibile ascesa rispetto allo scorso anno è il phishing, che si verifica quando un utente finale riceve un’e-mail da una fonte fraudolenta. È allarmante, sottolinea Verizon, notare come nel 30% dei casi questi messaggi di phishing vengano aperti (+23% rispetto al 2014) e come il 13% di questi utenti abbia cliccato sull’allegato malevolo o sul link dannoso, permettendo l’infiltrazione di un malware e l’accesso dei cyber-criminali.
Questa tecnica è estremamente efficace e offre agli attaccanti una serie di vantaggi, come tempi molto stretti di compromissione del sistema e la possibilità di concentrarsi su individui e organizzazioni specifiche.
Alla lista di errori commessi dal singolo individuo vanno aggiunti quelli perpetrati dalle organizzazioni stesse, che nel 26% dei casi riguarda l’invio di dati sensibili al destinatario errato. Altri errori presenti in questa categoria sono: eliminazione non corretta di informazioni aziendali, errori nella configurazione dei sistemi informatici, furto o smarrimento di dispositivi come laptop o smartphone.
“Potremmo affermare che le nostre conclusioni riconducano tutte ad un tema comune: l’elemento umano – commenta Sartin -. Nonostante i progressi nella ricerca sull’information security e in termini di soluzioni e strumenti per la cyber-detection, continuiamo ad assistere agli stessi errori che conosciamo ormai da più di un decennio. C’è da chiedersi come sia ancora possibile”.
Le regole di una buona protezione basilare – I ricercatori notano come misure di base ben implementate continuino ad essere più importanti di sistemi complessi. Una buona protezione comprende le seguenti regole:
· riconoscere quali sono i modelli di attacco più comuni nel proprio settore di appartenenza;
· utilizzare l’autenticazione a due fattori per i propri sistemi. Incoraggiare gli utenti ad utilizzare l’accesso a due fasi per le applicazioni di social networking;
· applicare rapidamente le patch;
· monitorare tutti gli accessi: esaminare i log-in per identificare più facilmente le attività dannose;
· crittografare i dati: se i dispositivi rubati sono criptati, è molto più difficile, per gli attaccanti, accedere ai dati;
· formare il personale: sviluppare la consapevolezza della sicurezza all’interno della propria organizzazione è fondamentale, dato soprattutto l’incremento nel numero di attacchi di phishing;
· conoscere i dati e proteggerli di conseguenza, limitando anche l’accesso.
“Il report di quest’anno dimostra ancora una volta che non esiste un sistema che si possa definire impenetrabile – conclude Sartin -. Spesso, però, anche una difesa di base è in grado di scoraggiare i cyber-criminali, che cercheranno, quindi, un bersaglio più facile”.
