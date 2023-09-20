Spear phishing e phishing: qual è la differenza?

Autore

Annie Badman

Staff Writer

IBM Think

La risposta semplice: lo spear phishing è un tipo speciale di attacco di phishing.

Il phishing è qualsiasi attacco informatico che utilizza messaggi e-mail, SMS o chiamate vocali dannosi per indurre le persone a condividere dati sensibili (ad esempio numeri di carte di credito o numeri di previdenza sociale), scaricare malware, visitare siti web dannosi, inviare denaro alle persone sbagliate. Il phishing è il vettore o il metodo di attacco di criminalità informatico più comune: nel 2022 sono stati segnalati all'FBI 300.479 attacchi di phishing.

La maggior parte del phishing è il bulk phishing: messaggi impersonali che sembrano provenire da un mittente noto e affidabile (ad esempio, un brand di livello globale), inviati in massa a milioni di persone nella speranza che una piccola percentuale di destinatari abbocchi.

Lo spear phishing è un phishing mirato. In particolare, i messaggi di spear phishing sono

  • inviati a un individuo o a un gruppo di individui specifici
  • altamente personalizzati, basati sulla ricerca
  • e creati per sembrare provenire da un mittente che ha una relazione con il destinatario, ad esempio un amico o un collega che il destinatario conosce, o qualcuno nei confronti del quale il destinatario ha delle responsabilità, come un supervisore o un dirigente aziendale.

Gli attacchi di spear phishing sono molto più rari degli attacchi di phishing, ma perseguono ricompense molto più grandi o più preziose e, se hanno successo, hanno un impatto molto maggiore rispetto alle truffe di bulk phishing. Secondo un recente report, le e-mail di spear phishing hanno rappresentato solo lo 0,1 percento di tutte le e-mail in un periodo di 12 mesi, ma hanno rappresentato il 66 percento delle violazioni dei dati negli stessi 12 mesi. In un attacco di spear phishing di alto profilo, i truffatori hanno rubato più di 100 milioni di dollari da Facebook e Google spacciandosi per fornitori legittimi e inducendo i dipendenti a pagare fatture fraudolente.

Cosa c'è di diverso in un attacco di spear phishing?

Gli attacchi di spear phishing impiegano diverse strategie che li rendono più difficili da identificare e più convincenti rispetto agli attacchi di bulk phishing.

Credibilità basata su ricerche approfondite

Per rendere i loro attacchi mirati più credibili, gli spear phisher effettuano ricerche sui loro mittenti e sui loro obiettivi, in modo da poter impersonare i mittenti in modo efficace e presentare una storia credibile ai bersagli.

Molti spear phisher conoscono i loro mittenti e le loro vittime attraverso i social media. Poiché le persone condividono informazioni liberamente sui social media e altrove online, i criminali informatici sono in grado di trovare informazioni pertinenti e dettagliate senza dover scavare troppo. Ad esempio, studiare la pagina LinkedIn di una vittima aiuterà un truffatore a comprendere meglio le responsabilità lavorative di un dipendente e a scoprire quali fornitori utilizza la sua organizzazione, in modo da poter impersonare in modo più efficace un mittente affidabile di una fattura fittizia.

Secondo un rapporto di Omdia, gli hacker possono creare e-mail di spear phishing convincenti in pochissimo tempo con una semplice ricerca su Google. Alcuni hacker riescono addirittura a entrare negli account e-mail aziendali o nelle app di messaggistica e passare ancora più tempo a leggere le conversazioni per raccogliere più contesto sui rapporti tra le persone.

Tattiche specifiche di social engineering

Le tattiche di social engineering utilizzano la manipolazione psicologica per indurre le persone a credere a false premesse o a intraprendere azioni avventate. Sulla base delle loro ricerche, i truffatori di spear phishing possono creare situazioni credibili, o pretesti, come parte dei loro messaggi, ad esempio, "Abbiamo deciso di rivolgerci a un nuovo studio legale per la questione del terreno, puoi pagare la fattura allegata per coprire la loro commissione di acconto?" Possono creare un senso di urgenza per spingere i destinatari ad agire in modo avventato, ad esempio: "Il pagamento è già scaduto, invia i fondi prima di mezzanotte per evitare di incorrere in more per il ritardo". Alcuni utilizzano il social engineering anche per mantenere la truffa segreta, ad esempio: " Sii discreto, non diffondere la voce fino all'annuncio della conclusione dell'affare questa settimana".

Più tipi di messaggi

Sempre più spesso, le truffe di spear phishing combinano messaggi provenienti da più media per aumentare la credibilità. Ad esempio, i messaggi di spear phishing includono numeri di telefono che il bersaglio può chiamare per la conferma, e ai numeri rispondono rappresentanti fraudolenti. Alcuni truffatori hanno dato seguito alle e-mail di spear phishing con SMS fraudolenti (chiamati smishing). Più recentemente, i truffatori hanno dato seguito alle e-mail di spear phishing con false telefonate (chiamate vishing) che utilizzavano imitazioni della voce del presunto mittente create con l'intelligenza artificiale.

Tipi di spear phishing

Gli attacchi di spear phishing si dividono ulteriormente in sottotipi, in base al bersaglio a cui sono destinati o alla persona che impersonano.

Compromissione dell'e-mail aziendale (BEC)

La BEC (Business Email Compromise), o compromissione dell'e-mail aziendale, è una truffa via e-mail di spear phishing il cui intento è estorcere con l'inganno denaro o dati sensibili a un business.

In un attacco BEC, un criminale informatico (o un gruppo di criminali informatici) invia a dipendenti dell'organizzazione presa di mira e-mail che fingono di provenire da un manager o da un collega, oppure da un fornitore, partner, cliente o altro affiliato conosciuto dal destinatario. Le e-mail sono scritte per indurre i dipendenti a pagare fatture fraudolente, effettuare bonifici bancari su conti bancari fasulli o inviare informazioni sensibili a qualcuno che presumibilmente ne ha bisogno. (Nei casi più rari, le truffe BEC possono avere l'intento di diffondere ransomware o malware chiedendo alle vittime designate di aprire un allegato o fare clic su un collegamento dannoso.)

Alcuni truffatori BEC fanno l'ulteriore passo di rubare o ottenere le credenziali dell'account e-mail del mittente (nome utente e password) e inviare l'e-mail direttamente da esso. Ciò fa sì che la truffa appaia ancora più autentica di una inviata anche da un account di e-mail falsificato o imitato con la massima cura.

In un tipo speciale di attacco BEC, chiamato frode del CEO, il truffatore si maschera da dirigente di alto rango, facendo pressioni sui dipendenti di livello inferiore affinché trasferiscano fondi o divulghino dati sensibili.

Whale phishing

Il whale phishing è un attacco di spear phishing che prende di mira le vittime di più alto profilo e valore, o "whale", compresi i membri del consiglio di amministrazione, i dirigenti e obiettivi non aziendali come celebrità e politici. I whale phisher sanno che queste persone hanno cose che solo obiettivi di alto valore possono fornire, tra cui ingenti somme di denaro, accesso a informazioni di grande valore o altamente riservate e una reputazione che vale la pena proteggere. Non sorprende che gli attacchi di whaling richiedano in genere ricerche più dettagliate rispetto ad altri attacchi di spear phishing.

Esempio di un attacco di spear phishing

Nell’agosto 2022, il gigante delle comunicazioni basate su cloud Twilio ha subito un sofisticato attacco di spear phishing che ha compromesso la sua rete.

I phisher hanno preso di mira i dipendenti di Twilio utilizzando SMS falsi che sembravano provenire dal reparto IT dell’azienda. I messaggi affermavano che le password dei dipendenti erano scadute o che i loro orari erano cambiati e li indirizzavano a un sito web falso che richiedeva loro di inserire nuovamente le credenziali di accesso. Per rendere la truffa di phishing ancora più realistica, gli hacker hanno incluso “Twilio”, “Okta” e “SSO” (abbreviazione di Single Sign-On) nell’URL del sito web falso per convincere ancora di più i dipendenti a cliccare sul collegamento dannoso.

Utilizzando le credenziali di accesso dei dipendenti che hanno creduto ai messaggi, i truffatori si sono introdotti nella rete aziendale di Twilio.

La truffa di phishing, che un esperto ha definito “uno degli hack a lungo termine più sofisticati della storia”, ha fatto notizia non solo per la sua complessità, ma anche per la posizione unica di Twilio come azienda B2B al servizio di molte altre aziende tecnologiche. Di conseguenza, molte altre aziende tecnologiche si sono trovate implicate nella truffa, tra cui Authy di proprietà di Twilio, un servizio di autenticazione a due fattori, e Signal, un’app di messaggistica crittografata che utilizzava Twilio per i servizi di verifica SMS.

Alla fine, l’attacco a Twilio ha avuto un impatto su oltre 163 delle sue organizzazioni clienti, inclusi 1.900 account Signal, dimostrando che attacchi di spear phishing come questo stanno diventando sempre più comuni.

Come anticipare lo spear phishing e i tentativi di phishing

Gli strumenti di sicurezza delle e-mail, il software antivirus e l'autenticazione a più fattori sono tutte le prime linee di difesa critiche contro il phishing e il spear phishing. Le organizzazioni si affidano inoltre sempre più alla formazione sulla consapevolezza della sicurezza e a simulazioni di phishing per istruire meglio i propri dipendenti sui pericoli e sulle tattiche degli attacchi di phishing e spear phishing.

Tuttavia, nessun sistema di sicurezza è completo senza funzionalità di rilevamento e risposta alle minacce all'avanguardia in grado di trovare i criminali informatici in tempo reale e mitigare l'impatto di campagne di phishing di successo.

IBM® QRadar SIEM applica il machine learning e l'analisi del comportamento degli utenti (UBA) al traffico di rete insieme ai log tradizionali, per un rilevamento più intelligente delle minacce e una correzione più rapida. In un recente studio di Forrester, QRadar SIEM ha aiutato gli analisti della sicurezza a risparmiare più di 14.000 ore in tre anni identificando i falsi positivi, a ridurre del 90% il tempo dedicato alle indagini sugli incidenti e a ridurre del 60% il rischio di subire una grave violazione della sicurezza.* Con QRadar SIEM, i team di sicurezza con risorse limitate dispongono della visibilità e dell'analisi di cui hanno bisogno per rilevare rapidamente le minacce e intraprendere azioni immediate e informate per ridurre al minimo gli effetti di un attacco.

*Il Total Economic Impact™ of IBM® QRadar SIEM è uno studio condotto da Forrester Consulting per conto di IBM e pubblicato nell'aprile 2023. Lo studio si basa sui risultati previsti per un'organizzazione composita, modellata a partire da quattro clienti IBM intervistati per l'occasione. I risultati effettivi variano in base alle configurazioni e alle condizioni del singolo cliente e, pertanto, non è possibile indicare un risultato ipotizzabile a livello generale.

 
