Tra i rischi aziendali in tema di cybersecurity c’è una nuova generazione di attacchi di phishing che si sviluppa attraverso il browser e sfrutta la navigazione in internet bypassando il muro perimetrale che garantisce la sicurezza delle aziende. Lavoro da remoto e utilizzo crescente di tablet o smartphone come veri e propri device aziendali non sono sempre supportati da una protezione adeguata. Gli stessi dipendenti in smart working scelgono di navigare velocemente su internet utilizzando dispositivi non collegati tramite VPN e diventano bersagli facili di attacchi informatici.
Allo stesso tempo e quasi in modo paradossale, anche le modalità di attacchi si evolvono e cambiano. I muri di protezione vengono arginati non più colpendo l’infrastruttura ma puntando all’anello debole della catena: l’essere umano. Oggi, come mostra Andrea Filippo Marini, Chief Business Officer di Ermes attraverso report ed audit prodotti dalla stessa Ermes, il 60% degli attacchi sono mirati, avvengono in modo silente e puntano al furto delle identità digitali. Tra questi, il 66% di quelli totali vengono effettuati durante la navigazione online da app o browser. Gli attacchi di spear phishing a danno dei dipendenti sono complessi e strutturati in due fasi con l’unico obiettivo di colpire in modo preciso. Marini è intervenuto al recente Richmond IT Director Forum, una convention di 3 giorni che solitamente raduna a Rimini decine di CIO, IT manager, Direttori IT e rappresentanti del mondo dell’offerta ma che quest’anno, a causa dell’emergenza sanitaria, si è tenuta interamente online.
Una nuova generazione di phishing: la fase preparatoria
L’idea che abbiamo del phishing è prevalentemente legata ad una metodologia massiva di attacchi a utenti generici attraverso l’invio di email con allegati malevoli. Un’idea molto diversa dalla realtà. Oggi, il phishing è rivolto a pochi dipendenti selezionati e i vettori sono molteplici: oltre le email ci sono le app di messaggistica. Non si utilizzano allegati ma link che conducono a siti malevoli. 6 su 10 vanno a buon fine passando da un 7% degli anni passati ad un 65% di attacchi riusciti.
Allo stesso tempo, lo spear phishing è una modalità molto più complessa che richiede due fasi per essere realizzata. Una prima fase di studio delle identità e preparazione e una seconda di esecuzione dell’attacco.
Nella prima fase, la raccolta di informazioni avviene in diverse modalità.
Un primo modo è il web tracking, i servizi di tracciamento che registrano le attività di un visitatore durante la navigazione su informazioni personali e sensibili e registrano informazioni sui dispositivi come app installate, livello della batteria o posizione geografica. “I web tracker attivi” spiega Andrea Filippo Marini di Ermes “sono circa 30.000 e lo strumento del web filter non è sufficiente ad agire efficacemente contro questo fenomeno. Una situazione allarmante se si pensa che ad oggi l’87% di identità digitali sono perse sul mercato: questo significa che sono in mano di soggetti terzi”. Ogni anno il 13% di web tracker subisce un data breach, oltre il 10% di identità di un’azienda sono in mano malevola.
Un secondo modo è utilizzare i web keylogger. Questi sono uno strumento di aiuto per i webmaster e servizi con finalità di marketing. Una regolamentazione poco chiara e filtri per inibire questo fenomeno poco efficaci, ha permesso non solo di registrare lo scroll del mouse su una pagina ma di andare a catturare tutto quello che digitiamo all’interno, come login o form. “Soprattutto nella navigazione da mobile abbiamo stimato”, spiega Andrea Filippo Marini “che una credenziale ogni dieci servizi a cui accediamo finisce in mani malevoli”.
Un terzo modo è rappresentato dal browser snoop. Tutti i browser lavorano per eliminare le criticità, rilasciando nuove versioni. I cosiddetti patch, infatti, permettono la risoluzione di vulnerabilità di sicurezza e di bug generici. Allo stesso tempo, gli aggiornamenti vengono gestiti in dominio ed estesi a tutte le macchine e dispositivi aziendali. Ma come aggiunge Marini, in media il 10% fuoriesce dal dominio e non riceve nessun aggiornamento. L’unico modo è effettuare un controllo manuale che per molte aziende è difficile da gestire. Di fatto, il 60% delle violazioni riguarda proprio vulnerabilità per le quali una patch era disponibile ma non applicata.
Spear phishing: la fase esecutiva
Alla prima fase di preparazione in cui vengono recuperate credenziali ed identità digitali fa seguito la fase esecutiva degli attacchi. Le modalità sono spesso silenziose. L’utente colpito, infatti, non è in grado di difendersi perché non è consapevole di aver subito un attacco di spear phishing. Una prima modalità è dovuta alle estensioni malevoli. Di fatto, non esiste nessuno strumento in grado di etichettare una estensione come benevola o malevola.
Il tabnabbing, invece, è una modalità subdola che generalmente si presenta sotto forma di link ad una pagina internet apparentemente normale. Sfruttando l’abitudine ormai diffusa di navigare su più tab o schede, l’utente in seguito al refresh si trova a riloggare la propria identità sulla finta pagina. Un attacco subdolo, difficile da riconoscere soprattutto da mobile.
Il 2019 è stato caratterizzato da un +75% di attacchi di malvertising, considerato secondo veicolo di diffusione di ransomware. Sono banner pubblicitari malevoli, legati alla tipologia di informazioni o attitudini di una persona. Anche in questo caso, la vicinanza tra le abitudini dell’utente e la natura del banner pubblicitario non genera dubbi sulla attendibilità del banner lasciando del tutto inconsapevole la vittima dell’attacco.
Il cybersquatting, invece, è generalmente un dominio fake che diventa particolarmente difficile da individuare da mobile. Anche questo attacco è silente perché l’utente non si accorge del fake e non è in grado di segnalare il dominio malevole.
Crypto jacking è una minaccia emergente che utilizza le risorse della macchina per generare le criptovalute e si infiltra nei browser web fino a compromettere dispositivi e device. In genere, l’utente avverte un rallentamento nella navigazione che per le aziende significa perdita di tempo e denaro.
Prevenzione e difesa delle identità digitali: parametri e audit
Ermes è un tool che lavora in prevenzione, spiega Marini, proteggendo i dipendenti e le loro identità da attacchi di phishing di nuova generazione grazie soprattutto alla sua architettura. Di fatto, è un plugin del browser per pc e una app per il mobile che fa a livello di dispositivo quello che altri sistemi fanno su rete. Il server riceve tracce di traffico dagli agenti ermes e grazie al machine learning, i sistemi di protezione si aggiornano ogni due minuti attraverso il rilascio di nuove regole. La dashboard fornisce tutti i dati in modo automatico. La funzione del server è quella di migliorare le protezioni sui dispositivi.
“In Ermes abbiamo dedicato una parte importante all’audit” continua Andrea Filippo Marini. Su un campione che ha coinvolto 47 clients per oltre 1988 utenti è stata analizzata per quasi un anno, la situazione per valutare la sicurezza della navigazione dei dipendenti e capire come viene costruito un attacco. Durante il periodo di ascolto a fronte di una perdita dell’87% delle identità digitali, è emerso che quasi la totalità degli utenti è tracciata con una pervasività del fenomeno estremamente elevata, 93,18% di users e 62,27% di domains, il gap tra utenti e domini è determinato dalle intranet. Sono state trovate circa 180 web keyloggers. Le informazioni degli utenti tracciati andate perse hanno riguardato servizi personali, professionali ed interessi privati ma anche informazioni sui dispositivi e vulnerabilità del browser. Le micro informazioni oggetto di audit hanno evidenziato le vulnerabilità su cui fare leva: come e chi attaccare, quando l’utente non ha protezione o ha una soglia di attenzione minore. Un esempio è come la somma delle informazioni su carica della batteria, geolocalizzazione ed orari, in poche settimane permette di capire quando un dipendente si sta collegando da casa senza l’utilizzo della VPN.