L’evoluzione del fenomeno phishing nel corso del 2020 è il tema centrale della ricerca Sophos Phishing Insights che, nell’ultima edizione pubblicata di recente, ha coinvolto 5.400 responsabili IT in 30 paesi in Europa, America, Asia, Africa e Medio Oriente. Nel suo report, l’azienda di cybersecurity analizza non solo le evidenze quantitative ma anche le diverse sfaccettature del fenomeno a partire dal primo importante rilievo dei responsabili IT che concordano nel sottolineare quanto sia quasi difficile trovare una definizione “univoca” di attacco phishing.
Per una volta, prima ancora che dai numeri, è quindi illuminante proporre un primo spunto di analisi di Chester Wisniewski, principal research scientist di Sophos, che sottolinea: “Il phishing è un fenomeno con il quale ci confrontiamo da ormai 25 anni e, ad oggi, rappresenta ancora una tattica di cyberattacco estremamente efficace. Uno dei motivi del suo successo è dato dalla sua capacità di evolvere e mutare costantemente, ideando attacchi ad hoc a seconda dell’obiettivo da colpire, o del tema da trattare, anche cavalcando i temi caldi e le preoccupazioni degli utenti, come avvenuto nel caso della pandemia, approfittando di ansie e emozioni tipiche di ognuno di noi”.
Da una parte non è semplice approntare soluzioni sufficientemente intelligenti che siano in grado quindi di “leggere” attraverso le sofisticazioni delle email di phishing. Per certi aspetti, sembra quasi prevalere “la tentazione di sottovalutare questa minaccia, ritenendola di basso livello ]…[ e questo significa sottostimare le conseguenze devastanti che questo tipo di attacco può generare. Spesso, il phishing è solo il primo passo di un attacco multistadio molto più complesso“.
Lo sguardo ai numeri non dovrebbe lasciare dormire sonno tranquilli: il 70% dei responsabili IT che ha partecipato alla survey dichiara di aver rilevato una notevole crescita di attacchi phishing con target le email dei dipendenti. Soprattutto preoccupa il dato che porta all’82% i team IT colpiti da ransomware nel corso del 2020. Lo spaccato italiano abbassa la prima delle due percentuali al 57%, comunque significativa ed elevata, ed è curiosamente la stessa percentuale per cui i casi di phishing sono quelli in cui “email che sembrano provenire da mittenti legittimi invitano a condividere informazioni o millantano un possibile pericolo (ad esempio il blocco di una carta di credito)”.
L’analisi delle diverse interpretazioni del fenomeno sottolinea però anche come per il 62% un attacco phishing sia “una mail contenente un link malevolo” o “una mail con allegato infetto” (54% degli intervistati). Ma quasi un intervistato su tre legge pure negli “Sms che richiedono di condividere dati o informazioni” un tentativo di phishing mentre la definizione di “email attraverso il quale viene tentato il furto di credenziali” è quella che si adatta alla definizione per il 48% del campione.
Le email di phishing quindi possono essere utilizzate in ogni caso per trarre in inganno gli utenti convincendoli a installare malware, o a condividere credenziali, o comunque a cedere dati che possono dare accesso alla rete aziendale, fino alla riuscita di attacchi ransomware multimilionari, al furto di informazioni e del patrimonio di conoscenze preziose per l’azienda che subisce l’attacco, oltre che delle informazioni relative ai clienti che espongono ulteriormente le organizzazioni di ogni tipo.
Sophos, come affrontare il problema del phishing
Il miglior rimedio sarebbe senza dubbio tagliare il male alla radice e quindi impedire che le email di phishing arrivino a destinazione. Proprio per la capacità della minaccia di presentare diverse sfaccettature, tuttavia, è indispensabile affiancare a questo una costante e accurata opera di formazione e sensibilizzazione degli utenti cui spetta in ultimo grado di riconoscere un’email truffaldina prima di fare “clic”.
I numeri del report dicono che nove aziende su dieci hanno già adottato programmi di questo tipo per aiutare gli utenti a riconoscere effettivamente le minacce, bisogna però essere anche consapevoli che proprio per la continua evoluzione delle stesse, i programmi di formazione dovranno tenere conto della diversa alfabetizzazione dei dipendenti. Su questi punti, l’Italia non è posizionata particolarmente bene. Poco più di un’azienda su due (54%) ha effettivamente adottato programmi di training di questo tipo.
Lo ha fatto nel corso dell’ultimo anno il 3% delle aziende, il 36% li ha messi a punto negli ultimi due anni e il 60% fa risalire l’adozione di questi programmi già tra i tre e cinque anni fa. Ma appena una su tre svolge simulazioni di attacco, e una su cinque non ha del tutto implementato programmi per indirizzare questa tipologia di criticità, anche se prevede di farlo nel breve periodo. Sussiste una percentuale minima (2%) di aziende che non hanno alcun programma di questo tipo in corso, e non hanno nemmeno in previsione di attivarlo.
© RIPRODUZIONE RISERVATA
