Il phishing ha fatto molta strada rispetto alle ovvie email “hai vinto un premio” che intasavano le caselle di posta. Oggi la maggior parte dei dipendenti è molto più consapevole delle e-mail sospette e le aziende hanno investito molto in filtri, formazione e simulazioni per individuarle.
Quindi gli attaccanti si sono adattati.
Invece di concentrarsi esclusivamente sulla posta elettronica, si stanno spostando sempre più verso gli strumenti che i tuoi dipendenti utilizzano ogni giorno per portare a termine il lavoro. Piattaforme come Microsoft Teams e Slack sono diventate centrali nel modo in cui le organizzazioni comunicano, collaborano e condividono le informazioni e questo cambiamento ha aperto una nuova superficie di attacco molto efficace.
Non si tratta di sostituire il phishing via e-mail, ma di espanderlo in spazi in cui le persone si sentono più a loro agio, si fidano di più e stanno molto meno in guardia.
Perché le piattaforme interne sono più sicure delle email
C’è un semplice motivo per cui gli aggressori prendono di mira gli strumenti di messaggistica interna: le persone si fidano di loro.
Le e-mail ci hanno insegnato a essere cauti. Controlliamo gli indirizzi dei mittenti, ci interroghiamo sugli allegati inaspettati e ci pensiamo due volte prima di cliccare sui link. Le app di messaggistica, invece, sono veloci, informali e familiari. Sono il luogo in cui si fanno domande veloci, si condividono file e si prendono decisioni in tempo reale.
Questo cambiamento di mentalità è importante.
Il rapporto di IBM Rapporto sul costo di una violazione dei dati dimostra costantemente che le credenziali rubate sono uno dei modi più comuni con cui gli aggressori accedono ai nostri sistemi. Una volta entrati, questi account possono essere utilizzati per inviare messaggi interni convincenti e molto più difficili da individuare.
Quando un messaggio appare in Teams o Slack, non sembra una minaccia esterna. Sembra un collega che chiede aiuto, che condivide un documento o che chiede qualcosa di urgente. Questo presupposto fa abbassare la guardia alle persone senza che se ne rendano conto.
Come gli aggressori sfruttano le app di messaggistica
La meccanica di questi attacchi non è particolarmente complessa. Ciò che li rende efficaci è il contesto.
Con la diffusione del lavoro remoto e ibrido, le piattaforme di collaborazione sono diventate fondamentali per le operazioni quotidiane. I dati provenienti dalle L’Ufficio per le statistiche nazionali mostra quanto questi strumenti siano ormai integrati nei luoghi di lavoro moderni, il che li rende naturalmente un obiettivo interessante per gli aggressori.
Uno degli scenari più comuni inizia con un account compromesso. Un aggressore ottiene l’accesso a un utente legittimo, spesso grazie alle credenziali rubate da una precedente violazione o a un’email di phishing andata a buon fine. Da lì, inizia a inviare messaggi internamente.
Poiché l’account è reale, tutto è confermato. Il nome è familiare, l’immagine del profilo è corretta e il tono corrisponde al modo in cui quella persona comunica di solito.
Un messaggio tipico può sembrare una rapida richiesta di revisione di un documento, di approvazione di una fattura o di controllo di un link condiviso. Potrebbe fare riferimento a un progetto in corso o utilizzare un linguaggio del tutto normale all’interno dell’organizzazione.
La natura informale delle piattaforme di messaggistica gioca un ruolo importante in questo caso. I messaggi sono più brevi, meno strutturati e spesso inviati di fretta. C’è meno controllo, meno verifiche e c’è una maggiore convinzione che ciò che stai vedendo sia legittimo.
Anche i file e i link vengono condivisi molto più liberamente. Nelle e-mail, un allegato inaspettato potrebbe destare sospetti. In Teams o Slack, spesso fanno parte dei flussi di lavoro quotidiani.
Il rischio della velocità e dell’informalità
Le piattaforme di messaggistica interna sono progettate per la velocità. È proprio questo che le rende preziose e che le rende rischiose.
Quando si riceve un messaggio che chiede qualcosa di urgente, spesso si è spinti a rispondere rapidamente. Che si tratti di un manager che chiede informazioni, di un collega che chiede l’accesso o di un compito finanziario che richiede un’attenzione immediata, l’istinto è quello di agire piuttosto che fare domande.
È qui che gli aggressori ottengono un vantaggio.
Non hanno bisogno di creare messaggi altamente sofisticati. Devono solo creare messaggi credibili che si adattino all’ambiente. Spesso è sufficiente un semplice “puoi dare un’occhiata a questo” con un link.
Più lo stile di comunicazione è informale, più è facile integrarsi. Non ci si aspetta una grammatica perfetta o una struttura formale. Anzi, a volte i messaggi troppo curati possono sembrare più sospetti di quelli informali.
Questo cambiamento mette in discussione molti dei tradizionali corsi di formazione sul phishing, che tendono a concentrarsi sull’individuazione di segnali rossi evidenti nelle e-mail. Questi segnali sono molto meno rilevanti in un ambiente di messaggistica.
Indicatori del mondo reale che indicano la crescita di questo fenomeno
È sempre più evidente che gli aggressori si stanno espandendo oltre la posta elettronica e stanno prendendo di mira attivamente gli strumenti su cui i dipendenti fanno affidamento ogni giorno.
Il Centro nazionale di sicurezza informatica del Regno Unito continua ad avvertire che il phishing rimane uno dei metodi di attacco più comuni ed efficaci, ma il modo in cui viene sferrato si sta evolvendo insieme alle abitudini sul posto di lavoro. Man mano che la comunicazione si sposta verso le piattaforme di collaborazione, il comportamento degli aggressori cambia di pari passo.
Allo stesso tempo, una ricerca di Verizon mostra che il 74% delle violazioni coinvolge un elemento umano, tra cui il phishing e l’uso di credenziali rubate. Una volta che gli aggressori ottengono l’accesso, gli strumenti interni come le piattaforme di messaggistica diventano un passo successivo naturale, consentendo loro di muoversi lateralmente e di colpire altri dipendenti in modo molto più convincente.
Dati del Dipartimento britannico per la scienza, l’innovazione e la tecnologia Il dato è confermato anche dalla portata del problema, con il phishing che viene costantemente indicato come il tipo di attacco informatico più comune subito dalle organizzazioni del Regno Unito. Sebbene la maggior parte di questi attacchi sia ancora associata alla posta elettronica, ciò evidenzia quanto il phishing sia ancora efficace, indipendentemente dal canale utilizzato.
Ciò che conta non è solo il fatto che questi attacchi si stiano verificando, ma anche il modo in cui si stanno adattando. Poiché le organizzazioni continuano ad affidarsi a strumenti come Microsoft Teams e Slack per le comunicazioni quotidiane, gli aggressori stanno seguendo questo cambiamento, inserendosi in ambienti che sembrano familiari, affidabili e con minori probabilità di essere messi in discussione.
Perché la formazione tradizionale di sensibilizzazione alla sicurezza è insufficiente
La maggior parte dei programmi di sensibilizzazione alla sicurezza è ancora fortemente incentrata sulla posta elettronica.
Ai dipendenti viene insegnato a passare il mouse sui link, a controllare gli indirizzi dei mittenti e a cercare segni di spoofing. Si tratta sempre di abilità importanti, ma non si applicano completamente alle piattaforme di messaggistica.
In Teams o Slack, non c’è un indirizzo del mittente ovvio da verificare allo stesso modo. Spesso il messaggio proviene da qualcuno che il dipendente conosce già. Il contesto è interno, non esterno.
Questo crea un divario tra ciò che le persone sono addestrate a cercare e ciò che effettivamente sperimentano giorno per giorno.
Se i dipendenti vengono addestrati a riconoscere il phishing solo nelle e-mail, è molto più probabile che non lo notino in altri canali.
Che cosa devono fare le organizzazioni per il futuro
Affrontare questo rischio non richiede una revisione completa, ma richiede un cambiamento di rotta.
Il primo passo consiste nell’espandere la consapevolezza al di là delle e-mail. I dipendenti devono capire che il phishing può avvenire ovunque si comunichi. Questo include le piattaforme di messaggistica, gli strumenti di collaborazione e persino i documenti condivisi.
La formazione dovrebbe includere esempi reali di phishing in Teams o Slack. Questo aiuta le persone a capire che il formato può essere diverso, ma l’intento è lo stesso.
È anche importante rafforzare un messaggio semplice ma spesso trascurato. Interno non significa sempre sicuro.
Incoraggiare la verifica è fondamentale. Se una richiesta sembra insolita, anche se proviene da un collega, i dipendenti devono sentirsi a proprio agio nel verificare attraverso un altro canale. Potrebbe trattarsi di una telefonata veloce, di un messaggio separato o di parlare direttamente con la persona.
Anche le simulazioni possono svolgere un ruolo prezioso. Invece di concentrarsi solo su scenari basati sulle e-mail, le organizzazioni possono eseguire esercizi che simulano le interazioni reali con le app di messaggistica. Questo aiuta a creare familiarità e fiducia nell’individuare comportamenti sospetti in un contesto più realistico.
Infine, le organizzazioni dovrebbero esaminare le modalità di gestione degli accessi e degli account. Poiché molti di questi attacchi si basano su credenziali compromesse, il rafforzamento dei metodi di autenticazione e il monitoraggio dei comportamenti insoliti possono ridurre significativamente il rischio.
Rafforza la tua difesa dove è più importante
Poiché il phishing si sposta al di là delle e-mail e arriva alle piattaforme interne come Microsoft Teams e Slack, le organizzazioni devono preparare i dipendenti alle minacce che è più probabile che affrontino.
Con la simulazione avanzata di phishing di MetaCompliance simulazione avanzata di phishing puoi rispecchiare gli attacchi del mondo reale attraverso campagne mirate e automatizzate, personalizzate in base al ruolo e al rischio. Questo aiuta i dipendenti a riconoscere i messaggi sospetti, a rispondere con sicurezza e a costruire una consapevolezza duratura, assicurandoti che il tuo programma si evolva di pari passo con le minacce emergenti.
Grazie a una reportistica chiara e a informazioni utili, puoi monitorare i cambiamenti di comportamento nel tempo, identificare le aree di rischio e dimostrare agli stakeholder progressi misurabili.
Se il phishing si evolve, il tuo approccio alla simulazione e alla formazione dovrebbe evolversi con esso. Mettiti in contatto con il nostro team per saperne di più.
Domande frequenti sul phishing
Il phishing può davvero avvenire attraverso le app di messaggistica interna?
Sì, e e‘s sempre più comuni. Gli aggressori spesso utilizzano account compromessi per inviare messaggi attraverso piattaforme affidabili come Microsoft Teams o Slack, facendo apparire i messaggi come legittimi.
Perché i dipendenti sono più propensi a fidarsi di questi messaggi?
Gli strumenti interni sono familiari e vengono utilizzati quotidianamente per la collaborazione. I messaggi sono spesso informali e veloci, il che riduce il livello di controllo rispetto alle e-mail.
A cosa devono prestare attenzione i dipendenti nelle piattaforme di messaggistica?
Richieste inaspettate, azioni urgenti, link sconosciuti o messaggi che sembrano leggermente fuori contesto sono tutti segnali di allarme, anche se provengono da un collega conosciuto.
Come possono le organizzazioni ridurre questo rischio?
Ampliando la formazione di sensibilizzazione al di là delle e-mail, incoraggiando la verifica di richieste insolite e facendo simulazioni che riflettono scenari di messaggistica reali.
L'email è ancora un rischio o si è spostata completamente?
Email rimane Un vettore di attacco importante, ma gli aggressori utilizzano sempre più spesso più canali, comprese le piattaforme interne, per migliorare le loro possibilità di successo.