Identificare e prevenire gli attacchi di Spear Phishing
Pubblicato su: 27 Set 2022
Ultima modifica il: 24 Lug 2025
Lo spear phishing è una seria minaccia per le organizzazioni di tutto il mondo, ma questo phishing altamente mirato può essere difficile da prevenire.
Un rapporto della società di sicurezza Ivanti evidenzia il tasso di successo dello spear phishing: quasi tre quarti (73%) delle organizzazioni ha dichiarato a Ivanti che il personale IT viene preso di mira dallo spear phishing e quasi la metà dei tentativi (47%) va a buon fine.
Cos’è lo Spear Phishing?
Lo spear phishing è una forma di phishing altamente mirata. Una campagna di phishing invia in genere un’email di massa a molte persone, ma le campagne di spear phishing si concentrano su una o poche persone; queste persone di solito lavorano o sono associate a una specifica organizzazione.
Lo spear phishing arriva spesso tramite e-mail, ma può anche essere un phishing telefonico (Vishing) o un phishing tramite messaggio mobile (SMShing).
Lo spear phishing utilizza tattiche avanzate di ingegneria sociale per realizzare un’efficace campagna di spear phishing basata su informazioni raccolte su un obiettivo. Le informazioni necessarie per perfezionare un’email di spear phishing vengono raccolte con qualsiasi mezzo, compresi i post sui social media, i siti web aziendali, gli account online violati, ecc.
È noto che i criminali informatici instaurano un rapporto con l’obiettivo via e-mail o telefono, guadagnando la fiducia del dipendente e incoraggiandolo a condividere dettagli personali o aziendali. Una volta che il criminale informatico dispone di informazioni sufficienti sull’obiettivo, crea un’e-mail personalizzata che sembra legittima.
L’obiettivo di un tentativo di spear phishing è in genere quello di rubare le credenziali di accesso. Queste credenziali possono poi essere utilizzate per accedere alla rete aziendale. Il risultato dell’ingegneria sociale di un dipendente è un’infezione da malware, incluso il ransomware, e il furto di dati, Business Email Compromise (BEC) e altre forme di attacco informatico.
L’utilizzo dell’autenticazione a più fattori (MFA) può aiutare a ridurre il rischio di un attacco, ma non è una garanzia: una recente campagna di phishing che ha preso di mira gli utenti di Office 365 è stata in grado di aggirare l’MFA utilizzata dai dipendenti.
Come i criminali informatici utilizzano gli attacchi di Spear Phishing
I criminali informatici utilizzano lo spear phishing per concentrare l’attacco su un’azienda specifica. Queste campagne possono colpire direttamente (un dipendente) o indirettamente, ad esempio concentrandosi su un fornitore della catena di approvvigionamento per attaccare un’organizzazione più in alto nella catena di approvvigionamento.
Spesso gli attacchi di spear phishing fanno parte di un ciclo di attacchi in cui vengono rubati i dati, comprese le password; questo porta all’infezione di malware, al furto di ulteriori credenziali e al furto di dati. Il processo inizia con un’e-mail, un Vishing o un SMS. Lo spear phishing spesso comporta una pianificazione strategica di alto livello, che può richiedere diverse fasi coreografiche per raggiungere l’obiettivo dell’hacker.
Esempi di attacchi di Spear Phishing
Spear Vishing: un L’attacco di phishing su Twitter nel 2020 ha fatto notizia quando gli hacker sono riusciti a inviare tweet da diversi account di alto profilo, tra cui Joe Biden, Barack Obama, Bill Gates ed Elon Musk. L’attacco a Twitter si è incentrato su una telefonata di phishing (Vishing) ai dipendenti presi di mira, finché uno di loro non ha fornito agli aggressori le credenziali di accesso agli strumenti interni. Queste credenziali sono state poi utilizzate per aumentare i privilegi a un livello superiore.
Email di spear phishing: un’email di spear phishing ha impersonato il Dipartimento del Lavoro degli Stati Uniti (DoL) per colpire diverse organizzazioni. L’obiettivo dell’email di spear phishing era quello di rubare le credenziali di accesso a Office 365. L’email si basava su domini abilmente camuffati per far sembrare l’email legittimamente proveniente dal DoL.
Inoltre, l’e-mail fingeva di provenire da un dipendente senior del Dipartimento della Difesa che invitava l’organizzazione destinataria a presentare un’offerta per un progetto governativo. Cliccando sul “pulsante dell’offerta”, il dipendente veniva portato su un sito di phishing dove venivano rubate le credenziali di accesso a Office 365.
Come riconoscere un’e-mail di Spear Phishing
Queste e-mail sono notoriamente difficili da individuare, semplicemente perché la loro creazione ha richiesto molto lavoro. Tuttavia, ci sono alcuni punti da controllare che possono aiutare i dipendenti a identificare i segni rivelatori.
- Spesso le email di spear phishing sfruttano posizioni di autorità, ad esempio il supporto IT, per costringere un dipendente a compiere un’azione, ad esempio inserire una password in una pagina web fittizia. Controlla l’indirizzo e-mail del mittente. Potrebbe assomigliare a quello reale, ma con alcune sottili differenze.
- Il formato dell’email corrisponde a quello a cui sei abituato? Ad esempio, se l’e-mail è presumibilmente dell’assistenza IT, il modo in cui è scritta e formattata rispecchia le precedenti e-mail dell’assistenza IT?
- L’e-mail richiede l’inserimento di troppi dati o di informazioni che non sembrano necessarie? Ad esempio, ti viene chiesto di accedere a un’applicazione cloud dell’azienda dopo aver cliccato su un link in un’e-mail senza un motivo convincente – sembra semplicemente sospetto?
Un’altra cosa poco tecnologica che puoi fare per prevenire un incidente di spear phishing è controllare due volte il presunto mittente dell’email: chiamalo per verificare che l’email provenga davvero da lui.
Proteggersi da un attacco
I livelli di protezione sono il modo migliore per affrontare la minaccia dello spear phishing. Ecco i sei modi migliori per proteggere te stesso e la tua azienda da un attacco:
Non condividere troppo sui social media
I criminali informatici raccolgono le informazioni necessarie per creare email credibili da molte fonti, compresi i social media. Quindi metti in atto una politica che spieghi i pericoli dell’eccessiva condivisione dei dati sui social media.
Non cliccare sui link sospetti delle e-mail di phishing
Questo dovrebbe diventare il mantra di tutti i luoghi di lavoro. Anche se un dipendente non inserisce le credenziali dopo aver cliccato su un link dannoso, l’hacker avrà probabilmente un controllo di chi ha cliccato e continuerà a inviare e-mail di phishing sempre più sofisticate a quell’organizzazione.
Usa un’autenticazione robusta
Anche se non è a prova di errore, un’autenticazione robusta aiuta a contrastare il phishing in modo stratificato. Crea password forti e uniche e aggiungi l’MFA dove è supportato.
Non condividere mai informazioni sensibili online
Va da sé che la condivisione di informazioni sensibili personali o aziendali non dovrebbe essere fatta pubblicamente e online, perché potrebbero essere raccolte e utilizzate per colpire i dipendenti o i fornitori della catena di approvvigionamento.
Sii cauto e vigile
Istruisci tutti i membri del personale e i collaboratori sulle tattiche utilizzate dai criminali informatici. Assicurati che questa formazione venga effettuata regolarmente e utilizza una piattaforma di phishing simulata per inviare messaggi di phishing simulati ai dipendenti più a rischio.
Incoraggiare i dipendenti a segnalare gli incidenti
Una volta addestrato il personale a riconoscere i segni rivelatori del phishing, incoraggia i dipendenti a segnalare gli incidenti. Questo aiuta a costruire la resilienza informatica, a mantenere la conformità alle normative e offre le informazioni necessarie per agire rapidamente prima che un incidente si trasformi in un vero e proprio attacco informatico.
