Il Verizon Data Breach Investigations Report 2016 evidenzia come i cyber-criminali stiano continuando a sfruttare meccanismi di social engineering per attaccare tramite phishing e ransomware.
Il report di quest’anno, infatti, segnala il perpetuarsi di modalità di violazione dei dati già riscontrate negli scorsi anni e che trovano terreno fertile nella fragilità umana. In particolare: • L’89% di tutti gli attacchi implica motivazioni finanziarie o di spionaggio; • La maggior parte degli attacchi sfrutta vulnerabilità conosciute ma irrisolte, nonostante le patch siano disponibili da mesi, se non addirittura anni. Infatti, le dieci vulnerabilità più conosciute hanno riguardato l’85% degli exploit di successo; • Il 63% delle violazioni di dati rilevate ha interessato l’utilizzo di password deboli, predefinite o sottratte. • Il 95% delle violazioni e l’86% degli incidenti di sicurezza segnalati rientra in sole nove tipologie precedentemente individuate; • Gli attacchi ransomware sono in crescita del 16% rispetto ai dai riportati nel report del 2015; • Le difese di base sono, ancora oggi, gravemente assenti in diverse organizzazioni.
Il phishing è il primo motivo di preoccupazione – Una modalità in sensibile ascesa rispetto allo scorso anno è il phishing, che si verifica quando un utente finale riceve un’e-mail da una fonte fraudolenta. È allarmante notare come nel 30% dei casi questi messaggi di phishing vengano aperti – un dato in crescita rispetto a quello registrato nel DBIR 2015 (23%) – e come il 13% di questi utenti abbia cliccato sull’allegato malevolo o sul link dannoso, permettendo l’infiltrazione di un malware e l’accesso dei cyber-criminali. Negli anni precedenti, il phishing è stato un modello di attacco utilizzato esclusivamente per il cyber-spionaggio, ma nel report di quest’anno è presente in sette delle nove tipologie di incidenti individuate. Questa tecnica è estremamente efficace e offre agli attaccanti una serie di vantaggi, come tempi molto stretti di compromissione del sistema e la possibilità di concentrarsi su individui e organizzazioni specifiche.
Alla lista di errori commessi dal singolo individuo vanno aggiunti quelli perpetrati dalle organizzazioni stesse. Classificati come “errori di vario tipo”, questa tipologia di incidenti è al primo posto nella classifica delle violazioni di sicurezza individuate dal report di quest’anno. Infatti, il 26% di questi errori riguarda l’invio di dati sensibili al destinatario errato. Altri errori presenti in questa categoria sono: eliminazione non corretta di informazioni aziendali, errori nella configurazione dei sistemi informatici, furto o smarrimento di dispositivi come laptop o smartphone.
La rapidità con cui viene commessa un’azione di cybercrime rappresenta una tra le crescenti preoccupazioni dei ricercatori di Verizon nel campo della sicurezza. Nel 93% dei casi, gli attaccanti impiegano un minuto o meno per compromettere un sistema, mentre il furto di dati si verifica in pochi minuti nel 28% dei casi.
Nel report di quest’anno, così come già rilevato nell’edizione 2015 dello studio, la compromissione di dispositivi mobili o dell’Internet of Things non rappresenta un fattore significativo. Tuttavia, l’edizione 2016 del DBIR evidenzia come esistano già una serie di prototipi di exploit e che si tratta perciò solo di una questione di tempo prima che si verifichi una violazione su più larga scala che coinvolga dispositivi mobili e IoT. Ciò significa che le organizzazioni non possono abbassare la guardia e devono proteggere i propri smartphone e i vari oggetti connessi.
Importante notare, inoltre, che gli attacchi alle applicazioni web sono saliti al primo posto nella classifica delle violazioni di dati e che il 95% delle violazioni di questo tipo sono legate a motivazioni finanziarie.
Cresce l’attacco a tre fasi – Il report di quest’anno definisce la diffusione, con grande regolarità, di una modalità di attacco a tre fasi. Numerose aziende diventano preda di questa tipologia d’attacco, che comprende: • L’invio di una mail di phishing che include un link a un sito web dannoso o, principalmente, un allegato malevolo; • Il download del malware sul PC dell’utente, punto d’accesso iniziale, mentre malware aggiuntivi possono essere utilizzati per individuare documenti segreti, sottrare informazioni interne (spionaggio) o crittografare file a scopo di estorsione. Nella maggior parte dei casi, il malware ruba le credenziali di numerose applicazioni attraverso un key-logging. • L’uso di credenziali per futuri attacchi, come l’accesso, ad esempio, a siti web di terze parti come banche o siti di e-commerce.
I ricercatori notano come misure di base ben implementate continuino ad essere più importanti di sistemi complessi. Una buona protezione comprende le seguenti regole:
• riconoscere quali sono i modelli di attacco più comuni nel proprio settore di appartenenza; • utilizzare l’autenticazione a due fattori per i propri sistemi. Incoraggiare gli utenti ad utilizzare l’accesso a due fasi per le applicazioni di social networking; • applicare rapidamente le patch; • monitorare tutti gli accessi: esaminare i log-in per identificare più facilmente le attività dannose; • crittografare i dati: se i dispositivi rubati sono criptati, è molto più difficile, per gli attaccanti, accedere ai dati; • formare il personale: sviluppare la consapevolezza della sicurezza all’interno della propria organizzazione è fondamentale, dato soprattutto l’incremento nel numero di attacchi di phishing; • conoscere i dati e proteggerli di conseguenza, limitando anche l’accesso.
