roxon.best

Come funzionano gli attacchi di phishing

Che

cos'è un attacco di phishing

Il phishing è un tipo di attacco di ingegneria sociale spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri di carta di credito. Si verifica quando un utente malintenzionato, mascherato da entità attendibile, induce una vittima ad aprire un'e-mail, un messaggio istantaneo o un messaggio di testo. Il destinatario viene quindi indotto con l'inganno a fare clic su un collegamento dannoso, che può portare all'installazione di malware, al blocco del sistema nell'ambito di un attacco ransomware o alla rivelazione di informazioni sensibili.

Un attacco può avere risultati devastanti. Per gli individui, ciò include acquisti non autorizzati, furto di fondi o furto di identità.

Inoltre, il phishing viene spesso utilizzato per prendere piede nelle reti aziendali o governative come parte di un attacco più ampio, come un evento di minaccia persistente avanzata (APT). In quest'ultimo scenario, i dipendenti sono compromessi al fine di Aggira i perimetri di sicurezza, distribuisci malware all'interno di un ambiente chiuso o ottieni l'accesso privilegiato ai dati protetti.

Un'organizzazione che soccombe a un attacco di questo tipo subisce in genere gravi perdite finanziarie, oltre a un calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda dell'ambito, un tentativo di phishing potrebbe degenerare in un incidente di sicurezza da cui un'azienda avrà difficoltà a riprendersi.

Esempi di attacchi di phishing

Di seguito viene illustrato un tentativo di phishing comune:

  • un'e-mail contraffatta apparentemente proveniente da myuniversity.edu viene distribuita in massa al maggior numero possibile di membri della facoltà.
  • L'e-mail afferma che la password dell'utente sta per scadere. Vengono fornite istruzioni per andare da myuniversity.edu/renewal a rinnovare la password entro 24 ore.

Facendo clic sul collegamento possono verificarsi diverse cose. Ad esempio:

  • l'utente viene reindirizzato a myuniversity.edurenewal.com, una pagina fasulla che appare esattamente come la vera pagina di rinnovo, dove vengono richieste sia le password nuove che quelle esistenti. L'aggressore, monitorando la pagina, dirotta la password originale per ottenere l'accesso alle aree protette della rete universitaria.
  • L'utente viene indirizzato alla pagina di rinnovo della password effettiva. Ciò si traduce in un attacco XSS riflesso, che offre all'autore un accesso privilegiato alla rete universitaria.

Il

phishing via

e-mail

è un gioco di numeri. Un utente malintenzionato che invia migliaia di messaggi fraudolenti può ottenere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade nella truffa. Come visto sopra, ci sono alcune tecniche utilizzate dagli aggressori per aumentare le loro percentuali di successo.

Per prima cosa, faranno di tutto per progettare messaggi di phishing per imitare le e-mail reali di un'organizzazione falsificata. Utilizzando La stessa frase, i caratteri tipografici, i loghi e le firme fanno apparire i messaggi legittimi.

Inoltre, gli aggressori di solito cercano di spingere gli utenti all'azione creando un senso di urgenza. Ad esempio, come mostrato in precedenza, un'e-mail potrebbe minacciare la scadenza dell'account e mettere il destinatario su un timer. L'applicazione di tale pressione fa sì che l'utente sia meno diligente e più incline all'errore.

Infine, i link all'interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio con errori di ortografia o sottodomini aggiuntivi. Nell'esempio precedente, l'URL myuniversity.edu/renewal è stato modificato in myuniversity.edurenewal.com. Le somiglianze tra i due indirizzi offrono l'impressione di un collegamento sicuro, rendendo il destinatario meno consapevole del fatto che è in corso un attacco.

Spear phishing

Lo spear phishing si rivolge a una persona o a un'azienda specifica, anziché a utenti casuali di applicazioni. È una versione più approfondita di phishing che richiede conoscenze specifiche su un'organizzazione, inclusa la sua struttura di potere.

Un attacco potrebbe svolgersi come segue:

  1. un autore cerca i nomi dei dipendenti all'interno del reparto marketing di un'organizzazione e ottiene l'accesso alle ultime fatture di progetto.
  2. Fingendosi il direttore marketing, l'aggressore invia un'e-mail a un project manager (PM) dipartimentale utilizzando una riga dell'oggetto che recita Fattura aggiornata per le campagne Q3. Il testo, lo stile e il logo incluso duplicano il modello di email standard dell'organizzazione.
  3. Un link nell'e-mail reindirizza a un documento interno protetto da password, che in realtà è una versione contraffatta di una fattura rubata.
  4. Al PM viene richiesto di effettuare l'accesso per visualizzare il documento. L'aggressore ruba le sue credenziali, ottenendo l'accesso completo alle aree sensibili all'interno della rete dell'organizzazione.

Fornendo a un utente malintenzionato credenziali di accesso valide, il phishing è un metodo efficace per eseguire la prima fase di un APT.

La

protezione dagli attacchi di phishing richiede l'adozione di misure sia da parte degli utenti che delle aziende.

Per gli utenti, la vigilanza è fondamentale. Un messaggio falsificato spesso contiene errori sottili che ne rivelano la vera identità. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come mostrato nell'esempio di URL precedente. Gli utenti dovrebbero anche fermarsi e pensare al motivo per cui ricevono un'e-mail del genere.

Per le aziende, è possibile adottare una serie di misure per mitigare sia gli attacchi di phishing che quelli di spear phishing:

  • l'autenticazione a due fattori (2FA) è il metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni sensibili. La 2FA si basa sul fatto che gli utenti abbiano due cose: qualcosa che conoscono, come una password e un nome utente, e qualcosa che hanno, come i loro smartphone. Perfino quando i dipendenti sono compromessi, la 2FA impedisce l'uso delle loro credenziali compromesse, poiché queste da sole non sono sufficienti per ottenere l'accesso.
  • Oltre a utilizzare la 2FA, le organizzazioni dovrebbero applicare rigorose politiche di gestione delle password. Ad esempio, ai dipendenti dovrebbe essere richiesto di cambiare frequentemente le proprie password e di non essere autorizzati a riutilizzare una password per più applicazioni.
  • Le campagne educative possono anche aiutare a ridurre la minaccia di attacchi di phishing applicando pratiche sicure, come non fare clic su collegamenti e-mail esterni.

Protezione dal phishing di Imperva Imperva

offre una combinazione di soluzioni per la gestione degli accessi e la sicurezza delle applicazioni web per contrastare i tentativi di phishing:

  • Imperva Login Protect consente di implementare la protezione 2FA per gli indirizzi URL nel sito web o nell'applicazione web. Ciò include gli indirizzi con parametri URL o pagine AJAX, dove normalmente si applica la protezione 2FA più difficile da implementare. La soluzione può essere implementata in pochi secondi con pochi clic del mouse. Non richiede alcuna installazione hardware o software e consente una facile gestione dei ruoli e dei privilegi degli utenti direttamente dalla dashboard di Imperva.
  • Lavorando all'interno del cloud, Imperva Web Application Firewall (WAF) blocca le richieste dannose ai margini della rete. Ciò include la prevenzione dei tentativi di iniezione di malware da parte di utenti interni compromessi, oltre agli attacchi XSS riflessi derivanti da un episodio di phishing.