Lo spear phishing è un tipo di attacco di phishing che prende di mira uno specifico individuo o gruppo di individui all’interno di un’organizzazione e tenta di indurli con l’inganno a divulgare informazioni sensibili, a scaricare malware o a inviare o autorizzare involontariamente pagamenti all’aggressore.
Come tutte le truffe di phishing, lo spear phishing può essere condotto tramite e-mail, SMS o telefonate. La differenza consiste nel fatto che, invece di rivolgersi a migliaia o milioni di potenziali vittime con tattiche di "bulk phishing", gli spear phisher si rivolgono a individui o gruppi di individui specifici, ad esempio i direttori regionali delle vendite di un'azienda, con truffe personalizzate basate su ricerche approfondite.
Secondo il report Cost of a Data Breach 2023 di IBM, il phishing è stata la seconda causa più comune di violazione dei dati nel 2022. McKinsey fa notare che il numero di attacchi di spear phishing è aumentato di quasi sette volte dall'inizio della pandemia. I criminali informatici stanno approfittando del crescente numero di lavoratori da remoto che possono essere più suscettibili alle truffe di phishing a causa di una scarsa sicurezza informatica e dell’abitudine di collaborare con colleghi e responsabili principalmente tramite e-mail e app di chat.
Il report IBM ha inoltre rilevato che, mentre gli attacchi di phishing hanno avuto il costo medio più alto per violazione pari a 4,91 milioni di dollari, i costi degli attacchi di spear phishing possono superare notevolmente anche tale cifra. Ad esempio, in un attacco di alto profilo gli spear phisher hanno sottratto a Facebook e Google oltre 100 milioni di dollari fingendosi fornitori legittimi e inducendo i dipendenti a pagare fatture fraudolente.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
In un classico attacco di phishing di massa, gli hacker creano messaggi fraudolenti che sembrano provenire da aziende, organizzazioni o persino personaggi famosi. oi "lanciano l’attacco e pregano", inviando questi messaggi di phishing indiscriminatamente al maggior numero possibile di persone e sperando che almeno una manciata di esse sia indotta a fornire informazioni preziose come numeri di previdenza sociale, numeri di carte di credito o password degli account.
Gli attacchi di spear phishing, invece, sono attacchi mirati rivolti a individui specifici che hanno accesso a risorse specifiche.
Stabilire un obiettivo
La maggior parte degli attacchi di spear phishing mira a rubare ingenti somme di denaro alle organizzazioni, inducendo qualcuno a effettuare un pagamento o un bonifico bancario a un fornitore o a un conto corrente fraudolento, oppure a divulgare i numeri delle carte di credito, i numeri dei conti bancari o altri dati riservati o sensibili.
Ma le campagne di spear phishing possono avere altri obiettivi dannosi:
Diffusione di ransomware o altri malware, ad esempio, l'autore della minaccia può inviare un allegato e-mail dannoso, come un file Microsoft Excel che installa malware quando viene aperto.
Rubare credenziali, come nomi utente e password, che l’hacker può utilizzare per realizzare un attacco più ampio. Ad esempio, l’hacker potrebbe inviare al target un link dannoso a una pagina web fraudolenta che permette di "aggiornare la password".
Rubare dati personali o informazioni sensibili, come dati personali di clienti o dipendenti, dati finanziari aziendali o segreti commerciali.
Scelta di uno o più obiettivi
Successivamente, lo spear phisher identifica un obiettivo adatto. Una persona o un gruppo di persone con accesso diretto alle risorse desiderate o che possono fornire tale accesso indirettamente scaricando un malware.
Spesso i tentativi di spear phishing prendono di mira dipendenti di medio livello, di basso livello o nuovi assunti, con privilegi di accesso alla rete o al sistema elevati, che possono essere meno rigorosi nel seguire le politiche e le procedure aziendali. Le vittime tipicamente includono i responsabili finanziari autorizzati a effettuare pagamenti, gli amministratori IT con accesso a livello di amministratore alla rete e i responsabili delle risorse umane con accesso ai dati personali dei dipendenti. (Altri tipi di attacchi di spear phishing sono rivolti esclusivamente ai dipendenti di livello dirigenziale; si veda "Spear phishing, whaling e BEC", più avanti).
Ricerca sull’obiettivo
L’aggressore fa ricerca sull’obiettivo per ottenere informazioni da sfruttare per impersonare qualcuno vicino alla vittima, una persona o un’organizzazione di cui l’obiettivo si fida o una persona a cui l’obiettivo deve rendere conto.
Grazie al numero di informazioni che le persone condividono liberamente online sui social media e altrove, i criminali informatici riescono a trovare queste informazioni senza troppa fatica. Secondo un report di Omdia gli hacker possono creare un'e-mail di spear phishing convincente dopo circa 100 minuti di ricerche generiche su Google. Alcuni hacker possono entrare negli account di posta elettronica aziendali o nelle app di messaggistica e dedicare ancora più tempo a osservare le conversazioni per raccogliere informazioni più dettagliate.
Creazione e invio del messaggio
Utilizzando queste ricerche, gli spear phisher possono creare messaggi di phishing mirati che appaiono credibili, provenienti da una fonte o da una persona fidata.
Ad esempio, immagina che "Jack" sia il responsabile della contabilità fornitori presso ABC Industries. Semplicemente guardando il profilo LinkedIn pubblico di Jack, un utente malintenzionato potrebbe trovare la qualifica professionale, le responsabilità, l'indirizzo e-mail dell'azienda, il nome del dipartimento, il nome e il titolo del capo e i nomi e i titoli dei partner commerciali. Quindi usano questi dettagli per inviargli un'e-mail credibile dal suo capo o dal responsabile del reparto:
Ciao Jack,
so che ti occupi delle fatture di XYZ Systems.Mi hanno appena fatto sapere che stanno aggiornando la procedura di pagamento e che tutti pagamenti futuri dovranno essere accreditati su un nuovo conto bancario. Ecco l’ultima fattura con i nuovi dati del conto. Puoi inviare il pagamento oggi?
L’e-mail include tipicamente elementi visivi che rafforzano l’identità del mittente impersonato a colpo d’occhio, come un indirizzo e-mail contraffatto (ad esempio, il nome del mittente impersonato sarà visibile mentre l’indirizzo e-mail fraudolento sarà nascosto), e-mail di colleghi similmente contraffatte in CC, o una firma e-mail con il logo della società ABC Industries. Alcuni truffatori sono in grado di introdursi nell’account di posta elettronica reale del mittente impersonato e di inviare il messaggio da lì, per ottenere il massimo dell’autenticità.
Un'altra tattica consiste nel combinare l'e-mail con il phishing tramite messaggi di testo, detto phising via SMS o smishing o phishing vocale, chiamato vishing. Ad esempio, invece di allegare una fattura, l’e-mail potrebbe chiedere a Jack di chiamare il reparto contabilità fornitori di XYZ Systems, a un numero di telefono fornito da un truffatore.
Gli attacchi di spear phishing fanno un uso massiccio di tecniche di social engineering, che utilizzano la pressione psicologica o la motivazione per ingannare o manipolare le persone e indurle a compiere azioni che non dovrebbero fare e che normalmente non farebbero.
Un esempio può essere l’impersonificazione di un funzionario aziendale di alto livello, come nell’e-mail di spear phishing riportata sopra. I dipendenti sono condizionati a rispettare l’autorità e hanno inconsciamente paura di non seguire gli ordini di un dirigente, anche se non rientrano nella normalità. Gli attacchi di spear phishing si basano su altre tecniche di ingegneria sociale, tra cui:
Pretesto: inventare una storia o una situazione realistica che il bersaglio riconosce e con cui ha familiarità, ad esempio, "la tua password sta per scadere...."
Creare un senso di urgenza, ad esempio fingendosi un fornitore e sostenendo c’è un ritardo nel pagamento di un servizio essenziale
Fare appello alle emozioni o alle motivazioni subconscie: cercare di scatenare la paura, il senso di colpa o l’avidità nell’obiettivo, fare riferimento a una causa o a un evento a cui l’obiettivo tiene, o anche solo essere d’aiuto (ad esempio,"ecco un link a un sito web che vende i pezzi di ricambio del computer che stavi cercando").
La maggior parte delle campagne di spear phishing combina diverse tattiche di ingegneria sociale, ad esempio una nota del diretto superiore dell’obiettivo che recita: "Sto per prendere un aereo e la mia batteria è quasi esaurita, per favore aiutami e fai subito questo bonifico a XYZ Corp. così non dovremo pagare la mora".
Sebbene qualsiasi attacco di phishing che abbia come obiettivo un individuo o un gruppo specifico sia un attacco di spear phishing, esistono alcuni sottotipi degni di nota.
Il whaling(talvolta chiamato whale phishing) è uno spear phishing che prende di mira le vittime di più alto profilo e valore, spesso membri del consiglio di amministrazione o dirigenti di livello C, ma anche obiettivi non aziendali come celebrità e politici. Gli "whaler" sono alla ricerca di prede che solo questi bersagli possono fornire: ingenti somme di denaro o accesso a informazioni estremamente preziose o altamente riservate. Non sorprende che gli attacchi di whaling richiedano in genere ricerche più dettagliate rispetto ad altri attacchi di spear phishing.
La compromissione dell’e-mail aziendale (Business Email Compromise, BEC) è uno spear phishing mirato specificamente a rapinare le organizzazioni. Due forme comuni di BEC includono:
Frode del CEO: il truffatore si spaccia per l’account di posta elettronica di un dirigente di livello C o lo hackera direttamente e invia un messaggio a uno o più dipendenti di livello inferiore chiedendo loro di trasferire fondi su un conto fraudolento o di effettuare un acquisto da un fornitore fraudolento.
Compromissione dell'account e-mail (EAC): il truffatore ottiene l'accesso all'account e-mail di un dipendente di livello inferiore. Ad esempio, un manager del settore finanziario, delle vendite o della ricerca e sviluppo lo utilizza per inviare fatture fraudolente ai fornitori, istruire altri dipendenti a effettuare pagamenti o depositi fraudolenti o richiedere l'accesso a dati riservati.
Gli attacchi BEC condotti con successo sono tra i crimini informatici che comportano maggiori perdite. In uno degli esempi più noti di BEC, gli hacker si sono spacciati per un CEO e hanno convinto il reparto finanziario dell'azienda a trasferire 42 milioni di euro su un conto bancario fraudolento.
Gli attacchi di phishing sono tra gli attacchi informatici più difficili da combattere, perché non sempre possono essere identificati dai tradizionali strumenti di cybersecurity (basati sulla firma); in molti casi, l’aggressore deve solo superare le difese di sicurezza "umane".
Gli attacchi di spear phishing sono particolarmente impegnativi perché la loro natura mirata e i contenuti personalizzati li rendono ancora più convincenti per la persona media. Tuttavia, esistono misure che le organizzazioni possono adottare per contribuire a mitigare l'impatto dello spear phishing, se non a prevenire del tutto gli attacchi di spear phishing:
Formazione sulla sensibilizzazione alla sicurezza. Poiché lo spear phishing sfrutta la natura umana, la formazione dei dipendenti è un’importante linea di difesa contro questi attacchi. La formazione sulla sicurezza può comprendere le seguenti attività:
Insegnare ai dipendenti le tecniche per riconoscere le e-mail sospette, ad esempio controllare i nomi dei mittenti delle e-mail per riconoscere i nomi di dominio fraudolenti.
Consigli su come evitare la condivisione eccessiva sui social network.
Suggerire buone abitudini lavorative, ad esempio non aprire mai allegati non richiesti, confermare richieste di pagamento insolite tramite un secondo canale, telefonare ai fornitori per confermare le fatture, visitare direttamente i siti web anziché cliccare sui link all’interno delle e-mail.
Organizzare simulazioni di spear phishing in cui i dipendenti possano applicare ciò che apprendono.
Autenticazione a più fattori e adattativa. L’implementazione dell’autenticazione a più fattori (che richiede una o più credenziali oltre a nome utente e password) e/o dell’autenticazione adattiva (che richiede ulteriori credenziali quando gli utenti effettuano l’accesso da diversi dispositivi o posizioni) può impedire agli hacker di accedere all’account e-mail di un utente, anche se sono in grado di rubare la password e-mail dell’utente.
Software di sicurezza. Nessun singolo strumento di sicurezza può impedire del tutto lo spear phishing, ma diversi strumenti possono svolgere un ruolo nella prevenzione degli attacchi di spear phishing o nel ridurre al minimo i danni da essi causati:
Alcuni strumenti di sicurezza della posta elettronica, come i filtri antispam e i gateway di posta elettronica sicuri, possono aiutare a rilevare e deviare le e-mail di spear phishing.
Il software antivirus può aiutare a neutralizzare malware noti o infezioni ransomware derivanti dallo spear phishing.
- I gateway web sicuri e altri strumenti di filtraggio web possono bloccare i siti web dannosi collegati alle e-mail di spear phishing.
- Le patch di sistema e software possono chiudere le vulnerabilità tecniche comunemente utilizzate dagli autori di spear phishing.
Le soluzioni per la sicurezza aziendale possono aiutare i team addetti alla sicurezza e i centri operativi per la sicurezza (security operations center, SOC) a rilevare e intercettare il traffico nocivo e l’attività di rete legata agli attacchi di spear phishing. Queste soluzioni includono (ma non solo) l’orchestrazione della sicurezza, l’automazione e la risposta (security orchestration, automation and response, SOAR),la gestione degli incidenti e degli eventi di sicurezza (security incident and event management, SIEM), il rilevamento degli endpoint e la risposta (endpoint detection and response, EDR), il rilevamento e la risposta della rete (network detection and response, NDR) e il rilevamento e la risposta estesa (extended detection and response, XDR).
Individua minacce avanzate che altri semplicemente non riescono a cogliere. QRadar SIEM utilizza gli analytics e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e per focalizzare l'attenzione dove è necessario, mettendo in atto le dovute misure correttive.
IBM Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire le infezioni da malware e gli attacchi di phishing proteggendo i clienti retail e business.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Tenetevi aggiornati sulle novità, le tendenze e le tecniche di prevenzione del phishing su Security Intelligence, il blog della leadership di pensiero ospitato da IBM Security.
Il ransomware è un malware che tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento di un riscatto.
Giunto alla sua 17a edizione, questo rapporto condivide le informazioni più recenti sul panorama delle minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.