I dirigenti di alto livello sono sempre più coinvolti da violazioni di ingegneria sociale con una incidenza di dodici volte maggiore rispetto al passato. Gabe Bassett di Verizon ci spiega le evidenze del Report.
L’ultima edizione del Verizon Data Breach Report (DBIR) evidenzia i maggiori trend di attacco che hanno caratterizzato l’anno trascorso e fornisce una prospettiva del panorama della minaccia, che ogni azienda deve essere preparata ad affrontare.
Le evidenze
I principali risultati emersi dallo studio possono essere sintetizzati in:
- I C-Level, ovvero i dirigenti di alto livello, che hanno accesso ai dati aziendali più sensibili sono diventati il bersaglio principale degli attacchi di social engineering. Fra questi sono in aumento anche gli attacchi motivati da ragioni finanziarie. Un attacco pretexting (letteralmente “creazione di un pretesto”), rivolto ai Top Manager può spingerli a divulgare delle informazioni o a comportarsi in modo atipico nel loro contesto di riferimento, facendo raccogliere grandi dividendi agli attaccanti, a causa dell’autorità, spesso incontrastata, dei dirigenti e del loro accesso privilegiato ai sistemi critici. Con pochissimo tempo a loro disposizione e costantemente sotto pressione per le consegne, i Senior Executive leggono rapidamente cliccando rapidamente e senza sufficiente controllo su un’e-mail prima di passare alla successiva o addirittura si avvalgono di assistenti che gestiscono la posta elettronica in loro vece, rendendo più probabile l’apertura di e-mail sospette. Gli attacchi di social engineering a scopo economico pari al 12% di tutte le violazioni analizzate costituiscono un elemento chiave del rapporto di quest’anno, evidenziando la necessità critica di garantire che i dipendenti di ogni livello e grado, vengano sensibilizzati sull’impatto potenziale della criminalità informatica.
- Gli attacchi al personale delle Risorse Umane sono diminuiti rispetto all’anno scorso: i risultati hanno evidenziato come quest’anno l’impatto sul settore HR sia diminuito di 6 volte rispetto all’anno scorso.La compromissione di account di posta web-based attraverso l’utilizzo di credenziali rubate è un fenomeno in ascesa pari al 98% dei casi, e fra questi il 60% riguarda l’hacking di applicativi web.
- Una violazione su quattro è ancora associata allo spionaggio.
- Gli attacchi ransomware sono ancora molto diffusi tanto da rappresentare il 24% degli incidenti malware analizzati e si posizionano in seconda posizione rispetto ai software malevoli più diffusi, a meno che non vi sia un target di alto profilo.
- Le tecnologie di pagamento Chip e Pin hanno raggiunto livelli di sicurezza significativi: Il numero di violazioni relative alle carte di pagamento realizzate tramite la compromissione dei terminali fisici è in diminuzione rispetto a quelle relative alle applicazioni web.
- Gli attacchi di cripto-mining sono crollati: questo tipo di attacchi non sono rientrati tra le 10 principali varietà di malware e hanno rappresentato solo il 2% circa degli incidenti.
- Il ricorso a soluzioni in Cloud coniugato a “errori di configurazione” nel Cloud aumenta progressivamente, tanto che l’analisi ha rilevato un sostanziale orientamento verso la violazione degli account e-mail su cloud attraverso l’uso di credenziali rubate.
- Le minacce provenienti dall’esterno rimangono quelle più diffuse: gli attori esterni alle organizzazioni rappresentano ancora il principale motore degli attacchi (69% delle violazioni), contro un valore delle minacce provenienti dall’interno pari al 34%.
I numeri del rapporto
Il rapporto 2019 si basa su un’analisi dettagliata di 41.686 incidenti di sicurezza, tra cui 2.013 violazioni dei dati confermate fornite da 73 fonti di dati, sia enti pubblici sia privati, che coprono 86 paesi in tutto il mondo e quest’anno per la prima volta include anche i dati raccolti dall’FBI Internet Crime Complaint Center (IC3). Dai rapporti dell’IC3 relativi agli attacchi di Business e-mail Compromise (BEC) e di Computer Data Breach (CDB), l’impatto subito dalle imprese è costato un valore in perdite dirette pari a 8.000 di dollari per gli attacchi BEC e circa 25.000 dollari per i CDB. Tuttavia grazie all’IC3 Recovery Asset Team il 99% del denaro è stato recuperato o congelato prima dei trasferimenti malevoli.
L’intervista
Ma per tutti gli altri come evitare di cadere vittima di attacchi di Cybercrime? lo abbiamo chiesto a Gabe Bassett, Senior Information Security Data Scientist di Verizon.
Perché i top manager sono i bersagli preferiti tanto da far aumentare l’incidenza di 12 volte?
Sebbene i nostri dati non possano offrirci alcuna risposta in merito al perché, ciò che possiamo constatare è che, nel corso del tempo, i criminali informatici cercano di sferrare l’attacco più semplice. Quale migliore strategia per ottenere denaro se non quella di chiederlo? E ancora, a chi chiederlo se non a quelle persone che all’interno dell’azienda non necessitano di un’ulteriore approvazione per trasferire ingenti somme di denaro? Inoltre, il crescente successo di attacchi di ingegneria sociale come quelli tramite BEC (Business Email Compromise), che rappresentano 370 incidenti, di cui 248 sfociati in violazioni accertate, può essere collegato alla malsana combinazione di un ambiente di lavoro stressante unito ad una mancanza di formazione mirata sui rischi del cyber crime. Alla luce di tutto questo, raccomandiamo a tutte le aziende, una adeguata formazione e l’acquisizione di un metodo per la verifica di qualsiasi trasferimento di denaro o pagamento delle fatture (anche di piccole somme, poiché la richiesta monetaria media nelle e-mail compromesse è intorno ai 24.000 dollari), che non implichi l’utilizzo di e-mail. Ogni anno analizziamo i dati e mettiamo in guardia le aziende sulle ultime tendenze del cybercrime, per consentire loro di rivedere le proprie strategie di sicurezza e proteggere in modo proattivo le attività dalle minacce informatiche. Tuttavia, nonostante i target specifici e i luoghi di attacco cambino nel tempo, ciò che emerge è che le tattiche utilizzate dai criminali informatici, tendenzialmente, restano invariate.
Sono interessati equamente in tutte le organizzazioni oppure ci sono delle specificità fra le diverse organizzazioni?
Nessuna tipologia di azienda può essere indicata come target specifico di questi attacchi. Abbiamo evidenziato che 14 aziende hanno denunciato la vulnerabilità dei loro top manager, il che dimostra che è il personale il target di riferimento e non le aziende appartenenti a settori specifici. Questa stessa dinamica si ripropone anche quando prendiamo in considerazione i luoghi: il cybercrime resta un problema a livello globale e non ristretto a dei confini geografici.
Perché l’ingegneria sociale funziona ancora così bene nonostante le tante campagne di awareness?
In realtà, nessun sistema è perfetto e, se un criminale prova più volte a sferrare un attacco, molto probabilmente qualcuno commetterà un errore. La cosa migliore che possiamo fare è formare le persone con cui abbiamo a che fare, utilizzando strumenti, processi e procedure in grado di prevenire errori da parte di una singola persona.
A fronte dell’aumento di attacchi ai manager si assiste una diminuzione degli attacchi alle HR. Quali possono essere i motivi considerato che si tratta comunque di personale aziendale?
Si, abbiamo constatato una diminuzione di attacchi al personale delle risorse umane, pari a sei volte rispetto al Report dell’anno scorso. È possibile che, avendo ricevuto così tanta attenzione mediatica in passato, le aziende ed i provider si siano dotati di policy e procedure migliori per difendersi contro questa tipologia di attacchi. Inoltre, i top manager, rispetto al personale delle risorse umane, rappresentano un target più veloce e diretto da raggiungere per ottenere informazioni fiscali. Nel caso dell’HR, quest’attività richiederebbe ulteriori passaggi come commettere frodi fiscali, ricevere pagamenti ad un indirizzo tracciabile e poi riciclare il denaro. Un’ipotesi plausibile potrebbe essere che i cyber criminali trovino le frodi fiscali fin troppo complesse, optando quindi per soluzioni più semplici.