Cisco ha pubblicato una vera e propria guida, articolata in 5 consigli, per prevenire e contrastare una delle più temute e diffuse minacce informatiche dei nostri tempi: il phishing, ossia l’invio di e-mail di massa progettate per raccogliere credenziali da un ampio gruppo di persone.
La logica del phishing
La logica di base di questa minaccia informatica è che se un criminale riesce a raggiungere un numero sufficiente di persone con una campagna di phishing, statisticamente qualcuno ”abboccherà all’amo”. Il phishing inizia generalmente con una e-mail o un’altra comunicazione fraudolenta (ad esempio un Sms), nella quale il mittente sembra essere affidabile, inviata allo scopo di attirare una vittima. Se l’inganno riesce, la vittima viene persuasa a fornire informazioni riservate, spesso su un sito web truffa. Qualche volta, nel computer del malcapitato viene anche scaricato un malware.
I diversi tipi di phishing e le loro insidie
A volte ai criminali informatici è sufficiente ottenere informazioni sulla carta di credito, o su altri dati personali della vittima a scopo di lucro. Altre volte, le e-mail di phishing vengono inviate per rubare le credenziali di accesso dei dipendenti o altre informazioni utili a sferrare un attacco più sofisticato contro un’azienda specifica. Attacchi informatici come il ransomware o minacce avanzate persistenti (Apt) spesso iniziano proprio con il phishing.
Esistono diversi tipi di phishing: lo spear phishing (che prende di mira singoli individui, e non un gruppo di persone); il whaling, cioè quando i criminali informatici prendono di mira un “pesce grosso”, ad esempio un Ceo; il pharming, che dirotta gli utenti verso un sito web fraudolento che sembra perfettamente in regola; il deceptive phishing (letteralmente phishing ingannevole), che è il più comune. In quest’ultimo caso, un attaccante tenta di ottenere dalle vittime informazioni riservate da utilizzare per rubare denaro o lanciare altri attacchi. Un esempio particolarmente comune di deceptive phishing consiste in una e-mail falsa proveniente da una banca, che chiede di fare clic su un link e verificare i dettagli del proprio conto corrente.
I cinque consigli di Cisco per contrastare il phishing
Cisco, azienda leader mondiale, ha quindi pensato che un modo per proteggere la propria organizzazione dal phishing è un’adeguata formazione specifica che coinvolga tutti i dipendenti, compresi i dirigenti di alto livello che spesso sono essi stessi un obiettivo. È importante insegnare loro come riconoscere una e-mail di phishing, e cosa fare quando ne ricevono una; altrettanto fondamentali appaiono gli esercizi di simulazione per valutare come i dipendenti reagiscono a un attacco di phishing nelle sue diverse fasi. L’azienda ha quindi fornito quindi cinque consigli principali nella lotta contro il phishing:
In primo luogo, implementare un solido processo di autenticazione: in questo senso, l’autenticazione a più fattori (Mfa) riduce significativamente il rischio di accesso non autorizzato ai dati, ma non tutti i metodi di autenticazione sono uguali. L’utilizzo di chiavi di sicurezza WebAuthn o Fido2 offre il massimo livello di garanzia per un accesso sicuro. Inoltre, un ulteriore livello di sicurezza potrebbe essere la richiesta di inserire un codice univoco dal dispositivo di accesso nell’app Duo Mobile.
In secondo luogo, ridurre la dipendenza dalle password con il Single Sign-On (Sso), che consente al contempo l’accesso continuo a più applicazioni con un solo set di credenziali. Con un minor numero di credenziali da ricordare, gli utenti sono meno propensi a riutilizzare o creare password deboli, che possano essere facilmente prese di mira dai criminali informatici.
In terza battuta, creare e mantenere aggiornato un inventario dettagliato dei dispositivi. È infatti difficile impedire l’accesso da dispositivi di cui non si è a conoscenza. La visibilità di tutti i dispositivi che accedono alle varie risorse è il primo passo per garantire che ogni tentativo di accesso sia legittimo.
Come quarto consiglio, l’applicazione di criteri di accesso adattivi. È cruciale garantire che gli utenti giusti, con i dispositivi giusti, accedano alle applicazioni giuste. Perciò è necessaria la creazione di policy di sicurezza granulari, attraverso cui è possibile applicare un modello di accesso a privilegi minimi, e consentire che gli utenti e i loro dispositivi soddisfino standard rigorosi prima di poter accedere alle risorse critiche. Infine, il monitoraggio continuo di attività di accesso insolite, perché l’utilizzo dell’analisi comportamentale può rivelarsi fondamentale nel monitorare i modelli di accesso unici degli utenti. Questa pratica aiuta a individuare le attività sospette e a bloccare le violazioni prima ancora che si verifichino.
