Email Threat Report di FireEye denuncia la crescita nel Q1 del 2019 degli attacchi alle email aziendali con un costante incremento per tutta la prima metà dell’anno. I cyber criminali impersonificano dirigenti, senior manager e partner della supply chain per indurre i dipendenti ad agire, autorizzando bonifici fraudolenti o fornendo informazioni riservate. Gli attacchi di impersonificazione possono costare alle aziende miliardi di dollari e danneggiare seriamente la loro reputazione.
Nonostante la diffusione delle app di messaggistica, quando si tratta di lavoro, la posta elettronica resta il metodo di comunicazione preferito. Il suo utilizzo continuerà a cambiare e di conseguenza anche i cyber criminali adegueranno le loro tecniche ai cambiamenti del panorama in continua evoluzione. Le minacce trasmesse tramite email cambiano e si materializzano ogni minuto, da sofisticati attacchi ransomware a tattiche di impersonificazione come BEC (Business Email Compromise), a Ceofraud e campagne di phishing mirate.
Gli attacchi di impersonificazione aumentano e allo stesso modo il report indica un incremento del 17% degli attacchi di phishing nel primo trimestre 2019 rispetto all’ultimo trimestre 2018. L’utilizzo prevalente di Microsoft Office 365 ha portato i cyber criminali a prendere di mira principalmente Office 365, insieme a OneDrive che fa parte anch’esso della suite Microsoft Office. Spesso l’intento è quello di raccogliere le credenziali aziendali per potersi appropriare degli account.
Gabriele Zanoni, Consulting Systems Engineer di FireEye Per un utente inconsapevole, un’email di phishing può spesso apparire come un messaggio legittimo proveniente dal team di supporto aziendale che chiede, ad esempio, di riconfermare i dati del proprio account. Gli aggressori ingannano i destinatari falsificando gli indirizzi email e l’utilizzo del brand, facendosi fornire password e altre informazioni riservate. Office 365, Dropbox, Slack e altri servizi SaaS sono obiettivi popolari per gli hacker, e una volta ottenuto l’accesso a un account, possono insediarsi nella rete per espandere il loro accesso all’interno dell’organizzazione.
Le conseguenze di un furto di account di un utente:
utilizzare account validi per realizzare spear phishing con privilegi elevate;
compromissione delle email aziendali dei dirigenti (BEC);
colpire clienti e partner;
effettuare ricognizione dell’ambiente;
accedere alle VPN o ad altri servizi cloud per infiltrarsi ulteriormente nell’azienda colpita.
Come proteggersi I professionisti del settore IT sanno quanto sia importante un’efficace sicurezza delle email e il phishing è lo strumento più potente che gli aggressori possiedono nel loro arsenale.
FireEye Email Security Server Edition, offre agli amministratori IT la possibilità di ispezionare visivamente, in maniera istantanea e in ogni momento, le pagine web a cui gli URL incorporati sono collegati. Questo servizio integra varie firme, analisi e plugin per l’apprendimento automatico, così da rilevare attacchi di email phishing basati su URL.
FireEye PhishVision utilizza tecniche di deep learning e compila e confronta screenshot di brand affidabili e di uso comune con le pagine web e di login a cui fanno riferimento gli URL contenuti in una email.
La funzione URL screenshot della soluzione di FireEye illustra l’aspetto degli URL di phishing dannosi per il destinatario. Questa funzionalità è utile per fornire all’analista, per scopi di reporting e sensibilizzazione degli utenti, una panoramica di come può essere convincente la landing page dove inserire le credenziali. Possedere la capacità di analizzare le minacce di raccolta delle credenziali, aiuta i team IT a ridurre i rischi. Questa funzionalità consente, inoltre, di adottare misure di risposta adattiva da correlare con altre tecnologie interne e convalidarle se ci sia stato un impatto sull’organizzazione. Riducendo i tempi di latenza tra il rilevamento e la risposta, i responsabili della sicurezza limitano i danni e prevengono le minacce future.
FireEye, inoltre, fornisce una prioritizzazione completa degli avvisi per aiutare gli amministratori IT a comprenderne la gravità, oltre all’intelligence sulle tattiche, le tecniche, le procedure e le analisi forensi approfondite, come l’endpoint, il comportamento della rete e la metodologia globale di attacco.
