In occasione del Data Protection Day 2024, Tony Fergusson, CISO EMEA di Zscaler, ci spiega come sta evolvendo il fenomeno del phishing, tra vishing e quishing
Nelle sue fasi iniziali, gli attacchi di phishing erano spesso molto semplicistici e si basavano sull’impersonificazione di fonti affidabili attraverso comunicazioni scritte, ad esempio e-mail e lettere, per ottenere l’accesso a dati sensibili. In occasione della Giornata europea della protezione dei dati personali, appena trascorsa, Zscaler ha analizzato da vicino come gli avversari hanno adattato le loro tecniche sulla scia dell’evoluzione dell’intelligenza artificiale. Con la crescente popolarità degli strumenti di intelligenza artificiale generativa (GenAI), gli attacchi di phishing basati sulla voce, noti anche come “vishing“, sono diventati la nuova norma e le aziende devono contrastare questa evoluzione modernizzando la propria sicurezza informatica.
Il phishing come fase di ricognizione di un attacco più grande
Per capire il ruolo che il phishing sta giocando nel settore delle minacce informatiche, dobbiamo guardare all’anatomia di un attacco. Mentre il ransomware finisce in prima pagina quando i criminali informatici sono in grado di monetizzare i loro sforzi dopo aver distribuito con successo il payload alla fine di un ciclo di attacco, c’è meno informazione sul ciclo complessivo di un attacco, che spesso inizia con qualcosa di semplice come il phishing. La fase di riconoscimento all’inizio di un attacco gioca un ruolo ancora più importante nella strategia di difesa. Quando i criminali informatici cercano di capire come si presenta la superficie di attacco di un’azienda, utilizzano il phishing come meccanismo per raccogliere informazioni personali riservate, come le credenziali, o per tentare di scaricare un malware zero-day per ottenere l’accesso a un particolare computer. Poiché gli avversari utilizzano le ultime tendenze tecnologiche, come l’intelligenza artificiale, per ingannare gli utenti, le aziende dovrebbero concentrarsi maggiormente sulla riduzione della superficie di attacco e sull’applicazione di meccanismi avanzati di analisi comportamentale.
Gli attacchi di phishing diventano sempre più personalizzati
Dalle semplici truffe via e-mail si è passati ad attacchi molto più personalizzati che utilizzano le tecnologie più recenti come gli strumenti di intelligenza artificiale per trarre in inganno gli utenti. Data la crescente consapevolezza degli utenti nei confronti delle campagne di phishing tradizionali, i criminali informatici hanno inventato canali e tecniche diverse. Più di recente, le telefonate false o “vishing” hanno guadagnato popolarità. In questo caso, la voce legittima di un dirigente aziendale viene imitata con l’aiuto di uno strumento di clonazione vocale. Questi strumenti definiscono prima le caratteristiche di una voce umana e poi applicano l’intelligenza artificiale per addestrare il sistema a imitare la voce quando recita diversi messaggi. Utilizzato insieme alle tecniche di phishing tradizionali, il vishing rende sempre più difficile per gli utenti riconoscere una chiamata legittima.
Ma non si tratta solo di clonazione vocale: l’ultima evoluzione del phishing che avrà un impatto nel 2024 è il “Quishing“. Si tratta di un codice QR inviato via e-mail con un link dannoso nascosto dietro l’immagine. Questo ne rende difficile la verifica e spesso non viene rilevato dagli strumenti di sicurezza. Ciò aumenta il rischio soprattutto per i dipendenti che utilizzano i propri dispositivi mobili personali, poiché la maggior parte di essi non è adeguatamente protetta. Per contrastare l’evoluzione delle tecniche di phishing è fondamentale che Zero Trust diventi la soluzione standard di sicurezza. Ma la mentalità Zero Trust non deve essere implementata solo a livello tecnologico, bensì anche a livello personale.
Non fidarsi e verificare sempre
Le aziende devono adattare le loro strategie di cybersecurity per combattere efficacemente la crescente minaccia degli attacchi di phishing sempre più sofisticati e proteggere le informazioni sensibili con l’aiuto di un approccio Zero Trust. Oggi i dipendenti si fidano troppo delle soluzioni di sicurezza disponibili e non prestano sufficiente attenzione quando ricevono comunicazioni sospette. Una telefonata da parte di una persona che si pensa di conoscere, ma con una richiesta che sembra insolita o inaspettata, deve sempre essere verificata. Prima di agire, il dipendente dovrebbe cercare di autenticare quella persona. In un ambiente di lavoro ibrido come quello odierno, dove l’interazione faccia a faccia non è sempre possibile, è consigliato utilizzare un altro canale per verificare le informazioni iniziali.
Ad esempio, se una potenziale chiamata di vishing avviene tramite WhatsApp, l’utente preso di mira dovrebbe rispondere al telefono, inviare un messaggio su Slack o utilizzare l’e-mail per verificare che il collega al telefono sia effettivamente la persona che dice di essere. Inoltre, per garantire la sicurezza dell’account ed evitare ulteriori violazioni, i dipendenti devono assicurarsi di non condividere mai dati personali o password al telefono o via e-mail, anche se richiesto. Nessuno internamente dovrebbe avere bisogno di usare la password di un altro collega per accedere ai dati o alle risorse del sistema; quindi, non è necessario condividere questo tipo di dettagli con nessun altro.
Poiché il phishing è spesso solo l’inizio della catena di violazione, dovrebbe ricevere maggiore attenzione costantemente e non solo durante il Data Protection Day. Le aziende dovrebbero preoccuparsi delle nuove capacità dell’intelligenza artificiale usate per rafforzare gli attacchi di phishing. Riconoscendo e affrontando queste sfide, le aziende possono incoraggiare una cultura della cybersecurity più resiliente e salvaguardare efficacemente i dati sensibili. Il principio alla base dovrebbe essere quello di portare l’approccio Zero Trust nella cultura aziendale, il che significa che i dipendenti devono essere formati a non fidarsi implicitamente di una fonte di informazioni, ma piuttosto a verificare sempre attraverso un altro strumento. Questo aspetto diventerà ancora più importante, dato che in futuro l’intelligenza artificiale svolgerà un ruolo fondamentale nelle campagne di disinformazione.