PHISHING TRENDS – Q1 2019
Con il termine “phishing” viene comunemente definito l’insieme di attività volte a rubare dati personali (tipicamente nomi utente, password, dati identificativi e dati bancari e finanziari) tramite tecniche di social engineering[i] e sotterfugi tecnologici.
Le più diffuse tecniche di ingegneria sociale fanno uso di mail falsificate (spoofed) che pretendono di rappresentare comunicazioni legittime da imprese e società; facendo uso di siti web contraffatti – dei veri e propri cloni di pagine ufficiali – tentano di indurre l’utente ad inserire i propri dati o le proprie credenziali. Tali dati verranno poi riutilizzati per scopi malevoli o rivenduti a terzi.
[i] Dal Jargon File: Termine usato per descrivere tecniche di cracking che si basano su punti deboli nel wetware (“1. il sistema nervoso umano […] 2. esseri umani connessi ad un sistema informatico”, ibidem) piuttosto che nel software; l’obiettivo è indurre le persone a rivelare password o altre informazioni che compromettano la sicurezza del sistema di destinazione.
Il fenomeno nel primo trimestre 2019
Il rapporto presenta due importanti novità nel panorama delle attività di phishing nel primo trimestre 2019.
Si denota innanzitutto un cambio di target: se negli ultimi anni il fenomeno era immediatamente associato all’ambito bancario e finanziario, i primi tre mese del 2019 hanno visto un importante aumento delle attività di phishing nei confronti di servizi di Webmail e – più in generale – del mondo SAAS[i]. Tali servizi sono stati il bersaglio del 36% delle attività di phishing, seguiti al secondo posto dai sistemi di pagamento, con il 27%. Il grafico a lato, estratto dal report APWG, mostra la distribuzione dei target.
[i] “Software-as-a-Service”. Rientrano in questa categoria, tra gli altri, anche i servizi di Cloud Storage.
Il secondo aspetto è relativo al mutamento dei canali di phishing: si riscontra infatti un sensibile aumento (58% del totale delle pagine, contro il 46% dell’ultimo trimestre 2018) delle pagine di phishing che fanno uso di canali cifrati (HTTPS). Tale mutamento è sicuramente da ricondursi alla semplicità – sia tecnologica che economica – con cui si possa acquisire un certificato SSL da poter utilizzare sulla propria pagina malevola.
L’uso opportuno di tale certificato fa sì che tutti i moderni browser non presentino alcuna segnalazione all’utente che cercasse di consultare la pagina malevola, inducendo l’utente a ritenere legittima la medesima.
Il grafico seguente, estratto dal report APWG, mostra la percentuale di utilizzo di HTTPS nei siti di phishing:
Contromisure
Le possibili contromisure tecnologiche al phishing sono molteplici, ma sono da ritenersi di poca efficacia dal momento che le attività di phishing, e più in generale il mondo del Social Engineering, non sfruttano vulnerabilità tecniche ma la disattenzione degli utenti. Ne consegue che l’arma più efficace per combattere un tale fenomeno sia la costante sensibilizzazione degli utenti.
Un tale approccio – da intendersi assolutamente come un processo che acuisca negli utenti l’attenzione piuttosto che le paure – può facilmente essere trasformato in un percorso di formazione continua, avendo cura di personalizzare i momenti formativi secondo gli utenti ed i dati da essi trattati.
Si noti altresì che le attività di formazione, a tutela dei dati aziendali gestiti, rientrano negli obblighi previsti dalla General Data Protection Regulation (GDPR)[i].
[i] Art. 39 “Compiti del responsabile della protezione dei dati” e Art. 47 “Norme vincolanti d’impresa”
20 giugno 2019