Un recente report pubblicato da Netskope rivela i nuovi attacchi phishing per rubare i dati e l’aumento di false applicazioni cloud di terze parti per ingannare gli utenti. Intitolato “Cloud and Threat Report: Phishing”, il report descrive le nuove tendenze nei metodi di distribuzione del phishing, come ad esempio false pagine di login e false applicazioni cloud di terze parti realizzate ad hoc per imitare applicazioni legittime.
I nuovi attacchi phishing per rubare i dati
E ancora: gli obiettivi degli attacchi di phishing, dove viene ospitato il contenuto fraudolento. Le informazioni presentate nel report si basano su dati anonimi raccolti da Netskope Security Cloud relativi a un sottoinsieme di clienti Netskope che hanno concesso l’autorizzazione. Le statistiche si basano su un periodo di tre mesi, dal 1° luglio 2022 al 30 settembre 2022.
Come sta cambiando la metodologia
L’e-mail è ancora il mezzo principale per fornire link di phishing a finte pagine di login finalizzate alla sottrazione di nomi utente, password, codici MFA (multi factor authentication) e altro ancora. Il report rivela però che gli utenti cliccano più frequentemente i link di phishing provenienti da altri canali. Come ad esempio siti web e blog personali, social media e i risultati dei motori di ricerca. Il report descrive anche l’aumento di false applicazioni cloud di terze parti, realizzate per ingannare gli utenti ad autorizzare l’accesso ai propri dati e risorse in cloud.
Nuovi attacchi phishing per rubare i dati, lo rivela Netskope
Questa tendenza recente è particolarmente preoccupante perché l’accesso ad applicazioni di terze parti è ubiquo e offre agli attaccanti un’ampia superficie di attacco. In media, gli utenti nelle organizzazioni hanno concesso l’accesso ai loro dati e applicazioni Google a più di 440 applicazioni di terze parti. Un’organizzazione ha mediamente fino a 12.300 plugin diversi che accedono ai dati, una media di 16 plugin per utente. Altrettanto allarmante, oltre il 44% di tutte le applicazioni di terze parti che accedono a Google Drive hanno accesso a dati sensibili o a tutti i dati di un utente, incentivando ulteriormente i criminali a creare false applicazioni cloud di terze parti.
Le previsioni di Netskope
Ray Canzanese, Threat Research Director, Netskope Threat Labs
La prossima generazione di attacchi di phishing è già tra di noi. Questa nuova tendenza di false applicazioni di terze parti è qualcosa che stiamo monitorando e tracciando per i nostri clienti. Prevediamo che questi tipi di attacchi aumenteranno nel tempo. Quindi le organizzazioni devono garantire che i nuovi percorsi di attacco, come le autorizzazioni Oauth, siano limitati o bloccati. I dipendenti dovrebbero anche essere consapevoli di questi attacchi ed esaminare le richieste di autorizzazione allo stesso modo in cui esaminano e-mail e messaggi di testo.
Cosa si può fare
Nel report Netskope Threat Labs include i passi che le organizzazioni possono intraprendere per identificare e controllare l’accesso a siti o applicazioni di phishing. Come il passaggio a una piattaforma cloud SSE (Security Service Edge) con un Secure Web Gateway (SWG), l’abilitazione di principi di zero trust con privilegio minimo di accesso ai dati e monitoraggio continuo. Oppure l’utilizzo di Remote Browser Isolation (RBI) per ridurre il rischio di navigazione per i domini appena registrati.
Altri risultati del report
I dipendenti continuano a fare clic su collegamenti malevoli. È dimostrato che un solo clic è sufficiente per compromettere un’organizzazione. Sebbene sensibilizzazione e formazione aziendale sul phishing siano in aumento, in media 8 utenti su 1.000 in azienda hanno fatto clic su un collegamento di phishing. Oppure hanno tentato in altro modo di accedere a contenuti di phishing.
Gli utenti vengono attirati da siti web falsi realizzati per imitare pagine di accesso legittime. Gli attaccanti ospitano questi siti web principalmente su domini appartenenti alla categoria “content server” (22%) seguiti da domini di nuova registrazione (17%). Una volta che gli utenti inseriscono informazioni personali in un sito falso, o concedono l’accesso ai propri dati, gli attaccanti sono in grado di acquisire nomi utente, password e codici di autenticazione a più fattori (MFA).
I nuovi attacchi phishing
L’ubicazione geografica gioca un ruolo nella percentuale di accesso a contenuti di phishing. L’Africa e il Medio Oriente hanno la più alta percentuale di utenti che accedono a contenuti di phishing. In Africa, la percentuale è superiore alla media di oltre il 33% e in Medio Oriente è più del doppio della media. Gli attaccanti utilizzano spesso la paura, l’incertezza e il dubbio (FUD) per adescare le proprie vittime e cercano anche di monetizzare illecitamente le principali notizie. Soprattutto in Medio Oriente, gli attaccanti sembrano avere successo utilizzando esche che fanno leva sulle questioni politiche, sociali ed economiche che interessano la regione.