La pandemia ha presentato molte sfide per la sicurezza informatica, in particolare i tentativi di phishing correlati a COVID-19 rivolti ai dipendenti che lavorano da casa. Tuttavia, gli esperti di sicurezza intervenuti alla conferenza virtuale Exabeam Spotlight20 hanno avvertito di un aumento degli attacchi di spear-phishing e di acquisizione di account.
“Dopo la chiusura, che nella metà di marzo, inizialmente era abbastanza tranquillo, ma all’inizio di aprile abbiamo assistito a un forte aumento di spam e spearphishing, attacchi di phishing molto mirati che non abbiamo mai visto prima”, ha affermato Michael St. Vincent, CISO presso The Cosmopolitan of Las Vegas.
Mentre il suo team era preparato per l’aumento degli attacchi di phishing ed era in grado di avvisare le persone prese di mira su ciò che stava accadendo, St. Vincent ha affermato che il passaggio allo spear-phishing mirato a seguito del coronavirus e delle chiusure è stato drammatico.
Non è raro vedere e-mail di spear phishing inviate al CEO o al CFO con richieste finanziarie specifiche, ad esempio, ma in questo caso tali richieste provenivano da e-mail dall’aspetto specifico e legittimo di capi dipartimento con messaggi ben congegnati.
Tyler Warren, direttore della sicurezza IT di Prologis, ha riscontrato un aumento simile delle e-mail di spam e spear-phishing nello stesso lasso di tempo. Il messaggio di spam COVID-19 era un tipico spam, ha detto, scritto male e inviato a chiunque, ma anche lui ha visto evolversi lo spear phishing più specifico e ben congegnato.
L’uso di account violati
Cosa rende questi attacchi di spear phishing più pericolosi di altri attacchi di phishing? È a causa del modo in cui gli aggressori inviano l’e-mail: utilizzano gli account di clienti e fornitori che sono stati vittime di una violazione dei dati. E stanno usando quei conti, ha detto Warren, per richiedere cose come i pagamenti delle fatture o per modificare i pagamenti in un nuovo conto bancario.
“Siamo abituati a vedere questo tipo di email perché abbiamo clienti in tutto il mondo”, ha osservato, il che rende più difficile distinguere le email di spear-phishing che utilizzano account email legittimi.
Ciò ha creato un effetto a cascata negli attacchi di phishing. Gli anelli più deboli, quelli che seguono le indicazioni in un’email di phishing meno sofisticata, hanno già svolto il loro lavoro per gli hacker. Ciò ha prodotto un nuovo tipo di rischio di terze parti, in cui gli account compromessi sono noti all’utente e sono progettati per apparire come una richiesta aziendale legittima. Questo cambia il modo in cui i team di sicurezza devono rispondere.
Verificare tutto
“Questo è un rischio di terze parti molto pesante”, ha detto Warren. Formi i tuoi dipendenti per le truffe di phishing e cosa dovrebbero cercare, ma questo tipo di email sembra e appare come se provenisse da una fonte attendibile.
Per quanto possa sembrare scrupoloso, la raffinatezza di queste e-mail di spear phishing significa che i lavoratori devono verificare tutto prima di dare seguito alla richiesta. E questo significa una telefonata al “mittente”, ha consigliato Warren, perché una verifica tramite e-mail tornerà semplicemente al criminale informatico, che ovviamente dirà di sì, sono la persona reale e questa è una richiesta reale.
Quando si lavora in ufficio, i dipendenti possono facilmente contattare i team di sicurezza e IT per verificare le email di phishing, anche se solo inoltrando quell’email al team. Ma c’è una mentalità diversa delle persone che lavorano da remoto; potrebbero sentirsi come se non avessero lo stesso tipo di sicurezza o supporto IT.
Con il passaggio dal lavoro in loco a quello remoto, la leadership era preoccupata per il modo in cui i team IT e di sicurezza si sarebbero avvicinati alla difesa di reti e dispositivi. Il consiglio di St. Vincent alla sua leadership era di attenersi ai processi già in atto. Se qualcosa sembrava insolito, o “phishing”, voleva che i dipendenti contattassero il team di sicurezza e li informassero.
“Non sapevamo cosa sarebbe successo”, ha detto St. Vincent.
Questo enorme sforzo di lavoro da casa è stata una nuova esperienza per tutti, dopotutto.
“Spam: pensavamo che sarebbe successo e così è stato, anche se molto di più di quanto ci aspettassimo.” Inoltre, era diverso dal previsto, poiché si trattava di spear phishing estremamente ben mirato e artigianale.
Questo spear-phishing ha rimodellato il rischio di terze parti in un momento in cui i dipendenti potrebbero abbassare la guardia quando si tratta di sensibilizzazione al phishing. I team di sicurezza ora devono essere più consapevoli delle violazioni dei dati che coinvolgono clienti e fornitori regolari ed essere alla ricerca di tentativi di utilizzare questo tipo di acquisizione dell’account per il guadagno finanziario degli attori delle minacce.