Cos’è lo spear phishing?

Aziende hackerate attraverso un'unica e-mail. Somme incredibili di denaro rubate o pagate come riscatto. Tutto perché un dipendente ha cliccato su un link pericoloso. Purtroppo, gli attacchi di phishing colpiscono moltissime aziende ogni anno. Sono difficili da prevenire, ma se impari a conoscerli potrai individuarli prima che sia troppo tardi. Vediamo quindi cos'è lo spear phishing.

Come funziona un attacco di spear phishing?

Quando un hacker vuole rubare denaro a un'azienda o installare un malware sui suoi sistemi, è probabile che prenda di mira l'anello più debole: i dipendenti. Individua una persona che abbia abbastanza potere e accessi all'interno dell'azienda, su cui incentra la propria ricerca di informazioni.

Potrebbe sfruttare i social media della vittima o quelli dei suoi amici. I tweet, le storie pubbliche di Instagram e i geotag possono essere utili per tracciare l'identikit di una persona. Anche il sito web dell'azienda può essere una fonte efficace, per non parlare di ciò che un malintenzionato potrebbe scoprire intercettando le comunicazioni online del suo bersaglio.

Una volta che conosce bene la persona, può imitarne lo stile nelle e-mail inviate ai colleghi. Può anche scrivere direttamente alla vittima, fingendo di essere un cliente importante e chiedendo favori o piccoli lavori da svolgere.

Questo tipo di attacco viene chiamato "spear phishing" perché prende di mira una persona specifica. Come un pescatore che usa una fiocina per catturare un unico pesce di grandi dimensioni, l'hacker sfrutta uno strumento di ingegneria sociale su misura per indurre una persona a compiere un'azione.

Spear phishing vs. phishing

Il phishing è l'attacco di ingegneria sociale più comune su internet. Un normale attacco di phishing è rivolto a un pubblico generale, agli utenti che utilizzano un particolare servizio, ecc. Gli hacker inviano centinaia e persino migliaia di e-mail, aspettandosi che almeno alcune persone rispondano. Gran parte di questi messaggi sono scritti male e contengono caratteri strani e molti errori di battitura.

Lo spear phishing implica una ricerca e una lunga preparazione. Gli hacker prendono di mira una persona specifica, quindi dedicano più tempo a fare in modo che l'e-mail di phishing risulti realistica. Questi messaggi falsi sono così ben scritti che possono essere difficili da riconoscere anche per un professionista, per non parlare delle persone che devono rispondere a decine di e-mail ogni giorno. Questa strategia è più difficile da mettere in atto rispetto ai normali tentativi di phishing. Ma se l'hacker riesce nel suo intento, ottiene tutte le informazioni e gli accessi necessari per portare a termine il suo attacco.

Esempio di spear phishing

Immagina di ricevere un'e-mail di lavoro del tipo: "Ciao Susie, potresti occuparti di questa fattura? Grazie!". Se ti chiami Susie, gestisci spesso le fatture in azienda e il tuo capo conclude sempre le e-mail con "Grazie!", scaricherai la fattura in allegato ed effettuerai il bonifico.

Potresti scoprire che si trattava di un'e-mail falsa nel giro di poche ore o addirittura il giorno successivo, senza però riuscire a recuperare il denaro dell'azienda. L'hacker ha monitorato le e-mail del capo, ha scoperto chi è responsabile delle fatture, il suo indirizzo di posta elettronica e il suo nome e ha scritto un'e-mail, copiando perfettamente il tono di voce abituale del capo. Ha persino falsificato il nome del mittente e ha inviato il messaggio. L'unica cosa che avrebbe potuto insospettire il destinatario era l'indirizzo e-mail. Tuttavia, gli utenti di solito non lo controllano per ogni messaggio ricevuto.

Come prevenire lo spear phishing?

Le aziende e le organizzazioni sono i bersagli più comuni dello spear phishing. Ci sono diverse misure che ogni azienda può adottare per ridurre il rischio di spear phishing. Tuttavia, la maggior parte delle imprese si concentra sulla formazione del personale.

Sia che tu esternalizzi le operazioni informatiche o che tu abbia un reparto interno dedicato, discuti la questione con i responsabili dei sistemi di posta elettronica. Prendi in considerazione misure standard come filtri antispam, antivirus e filtri dei browser. Raccomandazioni come non cliccare, non scaricare e simili non sono efficaci per chi deve gestire più fatture ogni giorno. Prova quindi a modificare le procedure. Ad esempio, fai in modo che qualsiasi transazione finanziaria venga confermata da almeno due persone prima di procedere con il pagamento.

Analogamente, le aziende dovrebbero esortare i propri dipendenti a utilizzare l'autenticazione a due fattori laddove possibile. In questo modo, anche se una password viene violata, l'account ad essa associato rimarrà al sicuro perché l'hacker non potrà accedervi senza il secondo fattore. Potrebbe essere necessario un po' di tempo per abituarsi, soprattutto per i dipendenti meno esperti in ambito tech, ma alla lunga ne varrà la pena. Avrai così la certezza che, anche se qualcuno viene ingannato da un'e-mail di phishing, gli account dell'azienda rimarranno al sicuro.

Un altro fattore importante da tenere presente è la cultura aziendale. Per molti dipendenti è difficile mettere in discussione i propri capi. Pertanto, se ricevono un'e-mail di spear phishing, fanno tutto ciò che viene richiesto loro senza porsi alcuna domanda. Si tratta di un'abitudine difficile da modificare, poiché richiede un cambiamento nel modo in cui i dipendenti comunicano tra loro. Ma se gestisci informazioni sensibili, potrebbe essere una buona strategia da adottare.

Misure per la cybersecurity personale

Se un hacker vuole attaccare l'azienda per cui lavori, potrebbe cercare di contattarti tramite il tuo indirizzo e-mail personale. Per quanto riguarda i consigli di cybersecurity personale, ci sono alcune misure che si possono adottare per evitare di cadere in un attacco di spear phishing:

  • Fai attenzione alle e-mail, anche se provengono da colleghi o amici. Se in questi messaggi vengono richieste informazioni personali in modo inaspettato, verifica l'identità del mittente prima di inviare qualsiasi dato. Utilizzi un linguaggio informale nelle e-mail di lavoro? In tal caso, un messaggio più formale del solito da parte di un collega è un campanello di allarme. Leggilo con attenzione prima di fare qualsiasi cosa.

  • Non condividere troppe informazioni online. Se possibile rendi i tuoi account privati, in modo che solo le persone che conosci possano vedere ciò che pubblichi. Anche in questo caso, evita di condividere troppe informazioni personali. Non utilizzare geotag, non rivelare i piani per le vacanze o informazioni di identificazione personale, come il numero di telefono, i dati della carta di credito, la data di nascita, ecc. In questo modo, per l'hacker sarà più difficile tracciare il tuo identikit.

  • Usa un software aggiornato e scansiona i tuoi dispositivi alla ricerca di malware di tanto in tanto. Questi software possono infiltrarsi nel tuo laptop o smartphone in vari modi e senza che tu te ne accorga, quindi assicurati di effettuare scansioni e aggiornamenti periodici dei tuoi dispositivi.

  • Utilizza password complesse e completamente diverse per ogni account. In questo modo, anche se uno di essi viene compromesso, gli altri rimarranno al sicuro. Utilizza un gestore di password per memorizzare tutte le password in sicurezza. In questo modo, non dovrai ricordarne o scriverne nessuna. Hai bisogno di aiuto per creare nuove password? Prova a utilizzare il nostro generatore di password per ottenere risultati ottimali.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.