Gli attacchi di phishing riguardano tanto la manipolazione del comportamento umano quanto la tecnologia. Questa affermazione racchiude il motivo per cui è così difficile prevenire le campagne di phishing che portano a ransomware, credenziali rubate e altri attacchi informatici.
Negli anni '70, ci fu una campagna sulla guida in stato di ebbrezza con lo slogan "Pensa, prima di bere, prima di guidare". È stata una campagna efficace, che ha contribuito a ridurre gli incidenti di guida legati all'alcol nel Regno Unito. Far sì che la gente "pensi" prima di agire non è così facile come sembra. Infatti, non è il pensare e l'avere una reazione istintiva a un'e-mail su cui le campagne di phishing fanno affidamento. Il phishing è un affare serio con un recente rapporto che ha scoperto che il 95% dei leader IT crede che i dati siano a rischio dal canale e-mail.
Quindi, come può il business medio sperare di avere lo stesso successo della campagna di guida in stato di ebbrezza degli anni 70 quando si tratta di contrastare gli assi nella manica di un criminale informatico?
Attacchi di phishing e comportamento umano
Questa difficoltà di prevenzione si riflette nella natura di successo degli attacchi di phishing: Nel 2019 pre-pandemia, le statistiche di phishing erano spaventose, con la compagnia assicurativa Beazley che ha riscontrato un aumento del 105% degli attacchi ransomware nel Q1 2019. Ma il 2020 ha visto gli attacchi di phishing andare fuori scala. L'FBI ha pubblicato un rapporto che mostra che il phishing è stato di gran lunga il più prevalente dei crimini segnalati alla sua sezione reclami, IC3. Una delle forze trainanti del successo del phishing negli ultimi 12 mesi è stata la pandemia di Covid-19, che ha fornito opportunità a bizzeffe ai phisher per sfruttare il comportamento umano: ciò è evidenziato da un impressionante aumento del 30.000 % delle minacce basate su Covid-19 nel corso del 2020; la maggior parte di questi attacchi ha utilizzato siti web dannosi ed e-mail di phishing.
Il phishing (e le sue varianti, Vishing/Smishing/Pharming) è un vettore di attacco prevalente perché la tecnica funziona. Funziona perché utilizza il naturale comportamento umano per compiere un'azione che avvantaggia il criminale informatico dietro un attacco. Essere in grado di manipolare una persona legittima per fare un'azione illegittima è il segno distintivo della truffa, anche prima dell'avvento delle tecnologie moderne. Ma la tecnologia può ingannare anche gli utenti esperti, poiché i modelli di utilizzo della tecnologia diventano "hard-coded" man mano che si acquisisce familiarità con un sistema.
L'e-mail, per esempio, è una tecnologia quotidiana che usiamo continuamente. Nel 2020, 306,4 milioni di email sono state inviate e ricevute ogni giorno. Aprire un'email e cliccare su un link è quasi una seconda natura, un comportamento istintivo per un compito regolare. È su questa ripetitività, e sulla mancanza di pensiero necessario all'azione, che il phisher si concentra.
5 Caratteristiche tipiche del phishing
Gli attacchi di phishing vogliono catturare le persone prima che pensino troppo. Per fare questo, le campagne devono assicurare che certi criteri siano soddisfatti e che le circostanze siano ottimizzate:
- Fonte affidabile: Un modo per rimuovere il processo di pensiero è quello di far sentire il destinatario dell'email al sicuro. Le campagne di phishing tipicamente si mascherano da marchi noti. In un'analisi di quali marchi vengono utilizzati dai phisher, Microsoft risulta ripetutamente in cima come uno dei marchi preferiti dai phisher per lo spoofing. Altri marchi spacciati includono Netflix e PayPal.
- Il richiamo del click: Mentre il 79% delle persone dice di saper riconoscere un'email di phishing, quasi la metà continuerà a cliccare su un link in un'email sospetta. Le ragioni di questo comportamento sono probabilmente dovute all'addestramento implicito che tutti noi abbiamo subito per utilizzare i contenuti di internet. Cliccare è quasi una risposta pavloviana quando un'email contiene un link. I designer dell'esperienza utente (UX) hanno usato questo tipo di condizionamento per aiutare le persone ad usare la tecnologia più facilmente; i criminali informatici usano la stessa manipolazione psicologica per farci cliccare su un link di phishing per iniziare la fase successiva del phish.
- Condurre per compito: Mantenere l'email focalizzata su un compito semplice aiuta nella rimozione del processo di pensiero. Compiti ripetitivi e riconosciuti come la reimpostazione della password sono i preferiti dai phisher. Questo permette di fare quell'importante "click" senza pensare troppo profondamente alle possibili conseguenze. Se il compito è legato al lavoro, allora è più probabile che il click venga fatto e che l'evento di phishing abbia inizio.
- L'urgenza: Spesso, le email di phishing conterranno una sorta di driver per spingere il comportamento di auto-click. Questi driver sono spesso la minaccia di una disciplina o una preoccupazione sollevata su un'azione, come il pagamento di una bolletta. Alcune campagne di phishing sono altamente mirate (Spear phishing). Queste campagne spesso impersonano un amministratore delegato; il falso amministratore delegato invia poi un'e-mail al dipartimento di contabilità con la richiesta urgente di trasferire denaro su un conto bancario. Il conto è, ovviamente, di proprietà di un truffatore.
- Sovraccarico di lavoro: Uno studio sugli ospedali presi di mira dalle campagne di phishing ha concluso che il personale sovraccarico di lavoro era più propenso a cliccare su un link di phishing. Se non si ha tempo per pensare, si passa alla risposta automatica.
Una nota sugli attacchi di spear phishing. Questo tipo di phishing richiede un livello più profondo di ricognizione per fornire email di phishing più convincenti al bersaglio. Questo livello di dettaglio rende le email di spear phishing ancora più difficili da individuare per i dipendenti. Di conseguenza, gli attacchi e-mail di spear-phishing sono aumentati del 667% durante la pandemia di Covid-19.
Come far cliccare un dipendente su un link di phishing
I criminali informatici sono maestri nel creare le condizioni per una campagna di phishing di successo. Utilizzando tutti i trucchi per far cliccare un utente, come ad esempio marchi spoofed di fiducia, per rendere l'utente una facile esca. Un esempio di questo è stato uno stratagemma di phishing di Office 365 nel 2020. Aveva tutti gli elementi che manipolano gli utenti a cliccare prima di pensare:
- Sono state inviate ai dipendenti delle e-mail spoof fatte apparire come Microsoft Office 365.
- L'e-mail aveva il titolo "Formazione COVID-19 per i dipendenti: Un certificato per luoghi di lavoro salubri". I dipendenti sono stati incoraggiati ad agire sull'e-mail per motivi di lavoro.
- Ai destinatari delle e-mail è stato chiesto di fare clic su un link nell'e-mail che li ha portati a una pagina di login di Office 365 fasulla: la pagina sembrava identica a una vera pagina di Office 365.
- Ad un utente veniva richiesto di inserire le proprie credenziali di Office 365 per accedere e ricevere il certificato. Se lo facevano, quelle credenziali venivano rubate e poi utilizzate per accedere al vero portale di Office 365.
Come impedire a un dipendente di cliccare su un link di phishing
Prevenire i comportamenti hard-coded richiede una formazione specialistica di consapevolezza. I tecnologi hanno progettato i sistemi per essere facili da usare e per rendere il click un'azione facile, questa risposta di auto-click deve essere rotta per prevenire il successo del phishing. Fornendo un test di phishing ben pensato e controllato, un'organizzazione può aiutare a cambiare il comportamento da cui dipendono i criminali informatici. I test di phishing simulati creano un ambiente sicuro per addestrare gli utenti sui modi sottili in cui i phisher manipolano il loro comportamento, in modo che possano stare attenti a questi trucchi. Come parte di un più ampio programma di consapevolezza della sicurezza, la simulazione di phishing è efficace nel prevenire il successo del phishing che si traduce in credenziali rubate, esposizione dei dati e infezione da ransomware.