I ricercatori di Barracuda, con i colleghi dell’Università di Berkeley e di San Diego hanno individuato il lateral phishing, nuovo tipo di attacco di account takeover. Lo studio ha rivelato che negli ultimi sette mesi un’organizzazione su sette ha subito un attacco di questo genere. Tra le organizzazioni vittime del lateral phishing, oltre il 60% ha subìto la compromissione di molteplici account; in alcuni casi, gli account sono stati decine, che hanno a loro volta iniziato a inviare altri attacchi di lateral phishing agli account di colleghi e di utenti di altre aziende.
Uno degli aspetti che più colpiscono di questo nuovo attacco è la quantità di vittime potenziali che il malvivente può raggiungere. In totale, infatti, tramite gli account compromessi i criminali hanno raggiunto 100.000 destinatari unici. Di questi 100.000, circa il 40% era rappresentato da colleghi dell’account compromesso. I rimanenti 60.000 erano di varia natura, da email personali, probabilmente sottratti dalla lista dei contatti delle mailbox compromesse, fino a indirizzi business di personale delle aziende partner.
In virtù della fiducia implicita che nutrono negli account che hanno compromesso, i criminali spesso usano tali account per inviare mail di lateral phishing a decine o centinaia di altre organizzazioni, amplificando la diffusione dell’attacco. Inoltre, indirizzando un così ampio ventaglio di vittime e organizzazioni esterne, questi attacchi portano in definitiva un grosso danno di reputazione all’organizzazione che è stata vittima per prima.
Difendersi dal lateral phishing Tre in particolare le precauzioni da prendere per proteggersi dagli attacchi di laterl phishing:
1. La formazione sulla sicurezza. Potenziare la formazione e assicurarsi che gli utenti siano a conoscenza di questo nuovo tipo di attacchi contribuirà a ridurne le percentuali di successo. A differenza dei tradizionali attacchi phishing, che spesso usano indirizzi falsi o contraffatti per spedire le email, gli attacchi di lateral phishing sono inviati da account legittimi ma compromessi. Di conseguenza, dire agli utenti di verificare le proprietà del mittente o l’intestazione del messaggio in questo caso non serve. In molti casi, gli utenti possono riconoscere l’attacco di lateral phishing controllando accuratamente l’URL di ogni link prima di cliccarlo. Importante è verificare l’effettiva destinazione dei link in tutte le email e non solo il test dell’URL visualizzato nella mail.
2. Tecniche avanzate di identificazione. Il lateral phishing è una sofisticata evoluzione nello spazio degli attacchi veicolati dalla posta elettronica. Poiché queste mail provengono da un account legittimo, gli attacchi sono difficili da riconoscere anche per gli utenti più formati e informati. Le aziende dovrebbero dunque investire in servizi e tecniche avanzate di identificazione basate sull’uso dell’intelligenza artificiale e del machine learning capaci di riconoscere le mail pericolose senza lasciare all’utente tutto il lavoro.
3. Autenticazione a due fattori. Tra le misure più efficaci che le organizzazioni possono adottare per ridurre la pericolosità degli attacchi di lateral phishing c’è l’adozione di tecniche forti di autenticazione a due fattori (2FA), sia basate su un’app sia basate su un token hardware, se disponibile. Per quanto possano comunque essere suscettibili al phishing, le soluzioni non hardware possono aiutare a limitare l’accesso del malvivente agli account compromessi.
