Lo smashing, il phishing via SMS, dovrebbe mettere in allarme i CISO. Lo spiega Phil Richards, Chief Security Officer di Ivanti.
Chiunque possieda uno smartphone ha subito almeno una volta un attacco di smishing, una truffa molto simile al phishing ma dove, al posto di utilizzare e-mail fittizie, ci si avvale di SMS. Come il phishing, lo smishing è volto a ingannare il destinatario del messaggio, convincendolo che arrivi da una fonte affidabile. Obiettivo estorcere dati e informazioni sensibili, tra cui le credenziali bancarie. Nonostante gli attacchi di phishing abbiano sfruttato per decenni gli account di posta elettronica, i team IT dovrebbero iniziare a preoccuparsi della progressiva crescita di quest’altra tipologia di cyberattacco.
Ivanti: lo smashing dovrebbe allarmare i CISO
Ancora prima che l’arrivo della pandemia costringesse le organizzazioni ad adottare tempestivamente modalità di lavoro da remoto, quasi l’81% delle stesse ha dichiarato che alcuni dipendenti avevano subito un attacco di smishing sui loro dispositivi mobili. Nel 2020, i numerosi lockdown hanno contribuito a incrementare esponenzialmente questa tipologia di cyberattacco.
Secondo una ricerca pubblicata su Statista a febbraio di quest’anno, negli ultimi mesi del 2020 si è rilevato che il 22,5% degli attacchi di phishing in tutto il mondo ha coinvolto principalmente le istituzioni finanziarie.
Perché oggi le persone sono più vulnerabili allo smishing?
Nonostante gli attacchi di phishing esistano da sempre, ci sono alcune ragioni per cui, attualmente lo smishing rappresenta un grosso rischio per la sicurezza IT:
Prima della pandemia l’email di phishing sui PC aziendali erano molto più semplici da individuare e bloccare. L’adozione dello smart working e il conseguente aumento d’utilizzo di dispositivi personali per accedere a applicazioni e dati aziendali ha cambiato la situazione. A causa delle piccole dimensioni che caratterizzano gli schermi degli smartphone, l’identificazione dell’autenticità dell’URL risulta difficile.
Il vertiginoso incremento del numero di persone che possiedono uno smartphone ha generato un conseguente aumento delle minacce sfruttabili dai cybercriminali.
Generalmente gli utenti di dispositivi mobili sono propensi ad aprire i messaggi di testo molto più frequentemente delle e-mail. Partendo da questo presupposto si deve considerare che il 90% dei messaggi di testo in tutto il mondo vengono aperti e letti quasi immediatamente. Mentre il tasso medio di apertura delle e-mail si aggira intorno al 20%.
Allarme da Ivanti per lo smishing
I dispositivi personali non dispongono della stessa solidità di sicurezza che contraddistingue i dispositivi aziendali.
Spesso la causa principale di questi attacchi è legata alla mancanza di attenzione da parte dell’utente, il quale mediamente controlla il proprio dispositivo mentre sta svolgendo altre attività tra cui guardare un film o interagire con un’altra persona.
Gli hacker conoscono nel dettaglio tutti questi aspetti e sanno perfettamente come sfruttarli per truffare un dipendente, ottenere le sue credenziali. E introdursi all’interno dell’azienda scatenando il panico dei team IT. Dal momento che il nuovo Everywhere Workplace ha abbattuto il tradizionale perimetro di rete, i CISO hanno bisogno di nuove strategie per proteggere le applicazioni e i dati aziendali su qualsiasi rete, dispositivo o cloud, ovunque essi si trovino. La buona notizia è che la maggior parte di loro sembra aver compreso la priorità di garantire la sicurezza dei dispositivi mobili dai cyberattacchi.
La To-Do-List del CISO per garantire la sicurezza mobile
Nel dicembre 2020, Ivanti ha commissionato una ricerca indipendente a Vanson Bourne per comprendere meglio le priorità dei direttori di sicurezza informatica. Lo studio ha rivelato che l’87% dei CISO, di tutta l’area EMEA, ha identificato la sicurezza dei dispositivi mobili come l’obiettivo principale di cybersecurity. Quasi l’80% degli intervistati è a conoscenza del fatto che le password non rappresentano più un mezzo efficace di autenticazione degli utenti. Quasi due terzi (64%) crede che investire in software di rilevamento delle minacce mobili sarà la priorità del 2021.
La User-Experience è un requisito fondamentale per la sicurezza mobile
Naturalmente, per implementare un approccio di sicurezza mobile vincente è necessario migliorare la User-Experience. Ad oggi, considerando la progressiva implementazione dell’Everywhere Workplace e il conseguente aumento dei dipendenti che lavorano da remoto, questo aspetto è fondamentale. Eliminare le password in favore dell’autenticazione a più fattori (MFA) è il primo passo che i CISO possono compiere per mantenere la produttività dei propri dipendenti da remoto.
Ivanti smashing allarme CISO: Ridurre la phishability
Riducendo al minimo le minacce alla sicurezza. Implementando la biometria o altri fattori di autenticazione, l’IT può ridurre la “phishability” delle credenziali di accesso con username e password. In aggiunta l’MFA migliora drasticamente la User-Experience, eliminando la necessità di ricorrere all’utilizzo di password complesse e facilmente dimenticabili. Nonostante l’autenticazione a più fattori sia un passo necessario, l’adozione di un approccio automatizzato alla sicurezza mobile, rappresenta una parte essenziale di qualsiasi strategia di sicurezza mobile.