Cos’è lo spear phishing?

Come tutte le truffe di phishing, lo spear phishing consiste nel manipolare le vittime attraverso storie false e scenari fraudolenti. Gli attacchi di spear phishing possono essere condotti attraverso messaggi e-mail, messaggi di testo, app di chat o telefonate.

Secondo il rapporto Cost of a Data Breach di IBM, il phishing è la causa più comune di violazioni dei dati. Lo spear phishing è una delle forme di phishing più efficaci, perché i criminali informatici adattano le loro truffe in modo che risultino il più convincenti possibili per le loro vittime.

In un rapporto di Barracuda che ha preso in esame 50 miliardi di e-mail, i ricercatori hanno scoperto che lo spear phishing rappresentava meno dello 0,1% delle e-mail, ma ha condotto al ⁶⁶ % delle violazioni riuscite. Mentre secondo il Report Cost of a Data Breach la violazione media causata dal phishing costa 4,76 milioni di dollari, gli attacchi di spear phishing possono arrivare fino a 100 milioni di dollari.²

Lo spear phishing, una forma di attacco di ingegneria sociale fa leva sulla natura umana piuttosto che sulle vulnerabilità della rete. Per contrastare efficacemente questo problema, i team di cybersecurity devono combinare la formazione dei dipendenti a strumenti avanzati di rilevamento delle minacce, formando una solida difesa contro questa minaccia insidiosa.

Il phishing è una categoria ampia che include qualsiasi attacco di ingegneria sociale che utilizza messaggi fraudolenti per manipolare le vittime. Lo spear phishing è un sottoinsieme del phishing che si concentra su un obiettivo accuratamente scelto.

Un attacco di phishing classico, chiamato anche "bulk phishing", è caratterizzato dall'elevata quantità di destinatari. Gli hacker creano messaggi fraudolenti che sembrano provenire da aziende, organizzazioni o persino celebrità fidate.

Gli hacker inviano questi messaggi di phishing a centinaia o migliaia di persone, sperando di indurne alcune a visitare siti web falsi o a fornire informazioni preziose come i numeri di previdenza sociale.

Tuttavia, gli attacchi di spear phishing sono attacchi mirati, rivolti a persone specifiche che hanno accesso alle risorse che i criminali informatici desiderano.

Gli spear phisher puntano su una determinata persona o gruppo, come un dirigente aziendale o i direttori regionali delle vendite di un'azienda. Conducono ricerche approfondite sulla vita personale e professionale dei loro obiettivi e utilizzano le loro scoperte per creare messaggi ingannevoli altamente credibili.

La maggior parte degli attacchi di spear phishing segue un processo in quattro fasi:

1. Definire un obiettivo 
2. Scegliere la vittima
3. Svolgere ricerche sulla vittima 
4. Creare e inviare il messaggio di phishing

Molte truffe di spear phishing mirano a rubare ingenti somme di denaro alle organizzazioni. Gli spear phisher possono farlo in diversi modi. Alcuni inducono le vittime a effettuare un pagamento o un bonifico bancario a un fornitore fraudolento. Altri manipolano gli obiettivi per fare condividere numeri di carte di credito, numeri di conto bancario o altri dati finanziari.

Le campagne di spear phishing possono avere anche altri obiettivi dannosi:

• Diffondere ransomware o altri malware. Ad esempio, un criminale informatico può inviare un allegato e-mail dannoso camuffato da innocuo documento Microsoft Word. Quando la vittima apre il file, installa automaticamente il malware sul suo dispositivo.
  
  
• Rubare credenziali di accesso, come nomi utente e password che l’hacker può utilizzare per mettere in atto un attacco più ampio. Ad esempio, l’hacker potrebbe inviare al target un link dannoso a una pagina web fraudolenta che richiede di "aggiornare la password". Questo sito web falso invia all'hacker tutte le credenziali inserite dalle vittime.
  
  
• Rubare informazioni sensibili, come dati personali di clienti o dipendenti, proprietà intellettuale o segreti commerciali. Ad esempio, lo spear phisher potrebbe fingere di essere un collega e chiedere alla vittima di condividere rapporti riservati.

Successivamente, lo spear phisher identifica un bersaglio. Il bersaglio è qualcuno in grado di consentire agli hacker di accedere alle risorse che desiderano, direttamente (ad esempio effettuando un pagamento) o indirettamente (ad esempio scaricando spyware).

I tentativi di spear phishing spesso prendono di mira dipendenti di livello medio, basso o nuovi con privilegi di rete o di sistema elevati. Questi dipendenti possono essere meno rigorosi nel seguire le policy aziendali rispetto agli obiettivi di livello superiore. Potrebbero anche essere più suscettibili alle tattiche dei criminali informatici, come ad esempio un truffatore che finge di essere un dirigente senior.

Le vittime tipicamente includono i responsabili finanziari autorizzati a effettuare pagamenti, gli operatori IT con accesso di amministratore alla rete e i responsabili HR con accesso ai dati personali dei dipendenti.

Altri tipi di attacchi di spear phishing sono rivolti esclusivamente ai dirigenti aziendali. Per maggiori informazioni, consultare la sezione “Spear phishing, whaling e BEC”.

L'aggressore effettua ricerche sul bersaglio, cercando informazioni che gli consentano di impersonare una fonte attendibile vicina a quest'ultimo, come un amico, un collega o un superiore.

Grazie alla quantità di informazioni che le persone condividono liberamente sui social media e altrove online, i criminali informatici possono trovare queste informazioni senza fare troppa fatica. Molti hacker riescono a creare un'e-mail di spear phishing convincente dopo solo un paio d'ore di ricerca su Google.

Alcuni hacker si spingono anche oltre. Essi violano gli account di posta elettronica aziendali o le app di messaggistica e passano parecchio tempo a osservare il proprio obiettivo per raccogliere informazioni ancora più dettagliate.

Utilizzando le loro ricerche, gli spear phisher creano messaggi di phishing mirati che appaiono altamente credibili. La chiave è che questi messaggi contengono dettagli personali e professionali che il bersaglio crede erroneamente che solo una fonte fidata possa conoscere.

Immaginiamo ad esempio che Jack sia il responsabile della contabilità fornitori di ABC Industries. Guardando il profilo LinkedIn pubblico di Jack, un utente malintenzionato potrebbe trovare il suo ruolo professionale, le sue responsabilità, l'e-mail aziendale, il nome e il ruolo del suo superiore e i nomi e i ruoli dei suoi business partner.

L'hacker può utilizzare questi dettagli per inviare un'e-mail credibile, sostenendo di provenire dal capo di Jack:

Ciao Jack,

so che ti occupi delle fatture di XYZ Systems.Mi hanno appena fatto sapere che stanno aggiornando la procedura di pagamento e che tutti pagamenti futuri dovranno essere accreditati su un nuovo conto bancario. Ecco l’ultima fattura con i nuovi dati del conto. Puoi inviare il pagamento oggi?

La fattura allegata è falsa e il “nuovo conto bancario” appartiene al truffatore. Jack consegna il denaro direttamente all'aggressore nel momento in cui effettua il pagamento.

Un'e-mail di phishing contiene generalmente segnali visivi che conferiscono ulteriore autenticità alla truffa. Ad esempio, l'aggressore potrebbe utilizzare un indirizzo e-mail che mostra il nome del superiore di Jack ma nasconde l'indirizzo e-mail fraudolento utilizzato dall'aggressore.

L'aggressore potrebbe anche creare una falsa e-mail di un collega e inserire una firma con il logo dell'azienda ABC Industries.

Un truffatore abile potrebbe persino hackerare l'account di e-mail del superiore di Jack e inviare il messaggio da lì, non fornendo quindi a Jack alcun motivo per insospettirsi.

Alcuni truffatori conducono campagne ibride di spear phishing che abbinano le e-mail di phishing a messaggi di testo (chiamati "SMS phishing" o "smishing") o telefonate (chiamate "voice phishing" o "vishing").

Ad esempio, invece di allegare una fattura falsa, l'e-mail potrebbe chiedere a Jack di chiamare la contabilità fornitori di XYZ Systems a un numero di telefono segretamente controllato da un truffatore.

Poiché utilizzano diverse modalità di comunicazione, gli attacchi di spear phishing ibridi sono spesso ancora più efficaci degli attacchi di spear phishing standard.

Oltre a conquistare la fiducia delle vittime, gli attacchi di spear phishing spesso utilizzano tecniche di ingegneria sociale per fare pressione psicologica sui loro obiettivi, inducendoli a compiere azioni che non dovrebbero fare e che normalmente non farebbero.

Un esempio è l'impersonificazione di un alto funzionario aziendale, come nell'e-mail di spear phishing descritta nella sezione precedente. I dipendenti sono condizionati a rispettare l'autorità e hanno paura di non seguire gli ordini di un dirigente, anche se sono fuori dall'ordinario.

Altre tattiche comuni di ingegneria sociale includono:

• Pretesto: inventare una storia o una situazione realistiche che la vittima riconosce e con cui può identificarsi. Ad esempio, un truffatore potrebbe fingersi un addetto ai sistemi informatici e dire alla vittima che è giunto il momento di effettuare l'aggiornamento periodico della password.

• Creare un senso di urgenza: ad esempio, un phisher potrebbe fingersi un fornitore e affermare che il pagamento di un servizio critico è in ritardo.

• Fare leva su emozioni forti: suscitare paura, senso di colpa, gratitudine o avidità o fare riferimento a qualcosa a cui tiene la vittima può offuscarne il giudizio e renderla più vulnerabile alla truffa. Ad esempio, un truffatore che si spaccia per il superiore della vittima potrebbe promettere una "ricompensa" per "averla aiutata con una richiesta dell'ultimo minuto".

La crescente disponibilità dell'intelligenza artificiale (AI), in particolare dell'AI generativa (gen AI), sta rendendo più facile per gli spear phisher lanciare attacchi sofisticati e altamente efficaci.

Secondo l'X-Force Threat Intelligence Index di IBM, a un truffatore occorrono 16 ore per creare manualmente un'e-mail di phishing.Grazie all'AI, i truffatori possono creare messaggi di questo tipo in soli cinque minuti.

Per gli spear phisher, in particolare, l'AI può semplificare alcune delle parti più difficili della truffa. Ad esempio, i truffatori possono utilizzare l'AI per automatizzare l'estrazione di informazioni dai profili dei social media delle vittime. Possono fornire agli strumenti di AI campioni di testi scritti dalle persone che cercano di impersonare, consentendo all'AI di generare messaggi di phishing più credibili.

I truffatori possono anche utilizzare l'intelligenza artificiale per creare documenti falsi convincenti, come fatture false, modelli di e-mail, rapporti e altri materiali. Gli hacker possono persino utilizzare video e registrazioni vocali generati dall'AI per rendere ancora più difficile distinguere tra truffe e comunicazioni reali.

Esistono due sottotipi importanti di attacchi di spear phishing: il whaling (o "whale phishing") e la compromissione delle e-mail aziendali (BEC).

La differenza principale tra il whaling e il comune spear phishing è che gli attacchi whaling prendono di mira specificamente le vittime più in vista e di maggior valore. Si pensi ai membri del consiglio di amministrazione, ai dirigenti, alle celebrità o ai politici. I "balenieri" sono alla ricerca di prede che solo questi obiettivi possono fornire, come ingenti somme di denaro o l'accesso a informazioni altamente riservate.

Gli attacchi BEC sono truffe di spear phishing che puntano specificamente a derubare le organizzazioni. Due forme comuni di BEC includono:

• Frode da CEO: il truffatore si finge un dirigente di livello C falsificando o dirottando un account e-mail, un'app di chat o un altro canale di comunicazione. Il truffatore invia un messaggio a uno o più dipendenti di livello inferiore, ordinando loro di trasferire fondi su un conto fraudolento o di effettuare un acquisto da un fornitore fraudolento.
  
  

• Compromissione dell'account di posta elettronica (EAC): il truffatore ottiene l'accesso all'account di posta elettronica di un dipendente di livello inferiore, ad esempio un responsabile finanziario o delle vendite. Il truffatore utilizza l'account per inviare fatture fraudolente ai fornitori, impartire ad altri dipendenti l'ordine di effettuare pagamenti fraudolenti o richiedere l'accesso a dati riservati.

Gli attacchi BEC riusciti sono tra le minacce informatiche più costose, con un totale di 2,9 miliardi di dollari di perdite segnalate nel 2023, secondo l'Internet Crime Report del Federal Bureau of Investigation (FBI).³

Gli attacchi di phishing sono tra gli attacchi informatici più difficili da combattere, perché gli strumenti di cybersecurity tradizionali non sono sempre in grado di rilevarli. Gli attacchi di spear phishing sono particolarmente difficili da intercettare perché la loro natura mirata e i contenuti personalizzati li rendono ancora più convincenti per le persone comuni.

Tuttavia, ci sono delle misure che le organizzazioni possono adottare per rafforzare le proprie difese contro lo spear phishing e ridurre le probabilità di successo di un attacco: 

• Formazione sulla sensibilizzazione alla sicurezza
• Controlli per la gestione delle identità e degli accessi
• Controlli di cybersecurity

Poiché gli attacchi di spear phishing hanno come obiettivo le persone e non le vulnerabilità del sistema, la formazione dei dipendenti è una linea di difesa importante. La formazione sulla sicurezza può includere:

• Tecniche per riconoscere le e-mail sospette, come indirizzi e-mail contraffatti, ortografia e grammatica scadenti, posta in gioco insolitamente alta e richieste insolite.
  
  
• Consigli su come evitare la condivisione eccessiva sui social network.
  
  
• Politiche e processi organizzativi per contrastare le truffe, come non aprire allegati indesiderati e confermare richieste di pagamento insolite tramite un secondo canale prima di effettuare il pagamento.
  
  
• Simulazioni di spear phishing e test di penetrazione, che possono aiutare i dipendenti ad applicare ciò che apprendono e aiutare i team addetti alla sicurezza a identificare le vulnerabilità ai fini della correzione.

Gli strumenti IAM, come il controllo degli accessi basato sui ruoli e l'autenticazione a più fattori (MFA), possono impedire agli hacker di accedere agli account utente e ai dati sensibili. Ad esempio, se i dirigenti attivano l'MFA sui loro account di e-mail, gli hacker hanno bisogno di qualcosa di più di una semplice password per impossessarsi di questi account.

Nessun  controllo di sicurezza preso singolarmente può fermare del tutto lo spear phishing. L'uso combinato di diversi strumenti può invece aiutare a prevenire gli attacchi di spear phishing o ridurre al minimo i danni che causano.

• Gli strumenti di sicurezza delle e-mail, come i filtri antispam e i gateway di posta elettronica sicuri, possono aiutare a rilevare e deviare in tempo reale le e-mail di spear phishing.

• Il software antivirus può aiutare a neutralizzare le infezioni da malware o ransomware derivanti dallo spear phishing.

• I gateway web sicuri, i firewall e altri filtri del web possono bloccare i siti web dannosi verso i quali le e-mail di spear phishing indirizzano gli utenti.

• Le patch di sistema e software possono chiudere le vulnerabilità tecniche comunemente utilizzate dagli autori di spear phishing.

• Gli strumenti di protezione degli endpoint, come le soluzioni di rilevamento e risposta degli endpoint (EDR) e unified endpoint management (UEM) , possono impedire ai truffatori di assumere il controllo dei dispositivi, impersonare gli utenti o installare malware.

• Le soluzioni di sicurezza aziendali, come le piattaforme di gestione degli incidenti e degli eventi di sicurezza (SIEM) e di orchestrazione, automazione e risposta della sicurezza (SOAR), possono aiutare a rilevare e intercettare attività di rete dannose legate agli attacchi di spear phishing.