Secondo l’Internet Crime Complaint Center (IC3) dell’FBI, la criminalità informatica ha causato, solo nel 2019, perdite per 3,5 miliardi di dollari, prevalentemente imputabili al Business Email Compromise (BEC), cifra che, peraltro, non tiene conto delle perdite non segnalate. Lo scorso anno, IC3 ha ricevuto 467.361 segnalazioni, più di 1.300 al giorno, e le violazioni dell’e-mail erano imputabili nel 93% dei casi al phishing. Inoltre, gli attacchi possono essere all’origine di una varietà di costi indiretti e immateriali, come spese legali, sanzioni normative, interruzione delle attività, danni alla reputazione del marchio e altre conseguenze gravi.
Gli esperti di Barracuda Networks hanno analizzato in modo approfondito i principali tipi di minacce e-mail e il loro impatto sulle aziende.
Contrastare gli attacchi e-mail sempre più complessi
Esistono ben 13 tipi di minacce e-mail. Alcuni di questi attacchi sono utilizzati insieme ad altri; ad esempio, molti messaggi spam includono URL di phishing e non è raro che un account compromesso venga utilizzato in frodi informatiche interne o laterali.
1. Spam
Lo spam ha per le aziende un costo in perdite pari a circa 20 miliardi di dollari all’anno. Riduce la produttività inondando la posta in arrivo di messaggi indesiderati, sovraccarica i server addetti all’elaborazione dei messaggi e può essere utilizzato per la distribuzione di malware e per gli attacchi di phishing su larga scala.
2. Malware
Il 94% di malware viene distribuito tramite e-mail. Nel 2019 i costi imputabili al ransomware potrebbero aver raggiunto 170 miliardi di dollari, cifra che comprende non solo i riscatti pagati, ma anche la perdita di produttività, di dati e altri danni causati dall’attacco. L’importo medio del riscatto è più che raddoppiato, passando da 41.198 dollari nel terzo trimestre del 2019 a 84.000 dollari nel quarto.
3. Esfiltrazione di dati
Secondo un report IBM, l’esfiltrazione di dati, o furto di dati, ha causato un costo totale medio pari a 3,92 milioni di dollari nel 2019. Per alcuni settori, come quello sanitario, questo numero può quasi raddoppiare. La perdita di dati può causare perdite finanziarie e avere un impatto duraturo sulla reputazione di un’organizzazione.
4. Phishing tramite URL
In circa il 32% delle violazioni, il metodo utilizzato è il phishing e molti di questi attacchi includono link dannosi a siti web contraffatti. L’uso di URL nelle e-mail di phishing è molto diffuso ed efficace; purtroppo, circa il 4% dei destinatari di una campagna di phishing clicca sul link dannoso ed è sufficiente che anche una sola persona compia questa azione per aprire le porte agli hacker.
Considerato il tasso di successo, non sorprende che le perdite registrate nel 2019 a causa del phishing abbiano raggiunto quasi 58 milioni di dollari. Si tratta di un dato sconfortante, considerato che, secondo un recente sondaggio, solo il 57% delle organizzazioni dispone di una protezione degli URL.
5. Truffa
La truffa rappresenta il 39% di tutti gli attacchi di Spear Phishing. I truffatori utilizzano una varietà di tecniche diverse, che spaziano dalle finte vincite alla lotteria agli investimenti fraudolenti. Non è insolito che cerchino di lucrare sulle tragedie, come gli uragani, la crisi innescata dal COVID-19 e altri disastri. I truffatori fanno leva sull’empatia, sulle paure o sulla generosità delle persone. Purtroppo, sono numerosi coloro che cadono vittima delle truffe e-mail, condividendo inconsapevolmente informazioni sensibili o effettuando pagamenti. L’FBI ha registrato perdite segnalate per milioni di dollari a seguito di queste truffe.
6. Spear Phishing
In un sondaggio di Barracuda sui trend della sicurezza dell’e-mail, Email Security Trends, il 43% delle organizzazioni ha dichiarato di avere subito un attacco di Spear Phishing negli ultimi 12 mesi. Tuttavia, solo il 23% afferma di aver implementato una protezione specifica per lo Spear Phishing.
Gli impatti causati dagli attacchi di Spear Phishing includono l’infezione malware dei computer e della rete, perdite monetarie dirette tramite bonifici bancari e danni alla reputazione. In molti casi, gli attacchi di Spear Phishing determinano il furto di credenziali e di account e-mail e gli account compromessi sono spesso utilizzati per sferrare successivi attacchi di Spear Phishing. Per fermare questo circolo vizioso le organizzazioni necessitano di una protezione dallo Spear Phishing dedicata.
7. Impersonificazione del dominio
Negli ultimi mesi, i ricercatori Barracuda hanno registrato un forte aumento degli attacchi di impersonificazione del dominio utilizzati per facilitare il conversation hijacking. Un’analisi di circa 500.000 attacchi e-mail mensili mostra un aumento del 400% degli attacchi di impersonificazione del dominio utilizzati per il conversation hijacking.
8. Impersonificazione del marchio
L’impersonificazione è utilizzata nel 47% di tutti gli attacchi di Spear Phishing. Microsoft è il marchio più soggetto a impersonificazione in questo tipo di attacco; l’impersonificazione di Microsoft è infatti una delle tecniche più utilizzate dai criminali informatici per prendere il controllo di un account. Le credenziali Microsoft e Office 365 sono di grande valore perché consentono agli hacker di penetrare nelle organizzazioni e sferrare ulteriori attacchi.
9. Ricatto
Il ricatto rappresenta circa il 7% degli attacchi di Spear Phishing, la stessa percentuale di Business Email Compromise. La probabilità che i dipendenti vengano presi di mira da un ricatto o che subiscano un attacco di Business Email Compromise è la stessa.
Secondo l’FBI, il costo degli attacchi di estorsione, incluso il ricatto, è stato di oltre 107 milioni di dollari nel 2019. In media, gli autori di attacchi chiedono qualche centinaio o migliaio di dollari, un importo che mediamente le persone sono in grado di pagare. A causa dell’elevato volume di attacchi, tanti piccoli pagamenti, sommati, fruttano una bella cifra ai criminali.
Il più delle volte il ricatto resta sommerso a causa della natura volutamente imbarazzante e sensibile delle minacce. I team IT sono spesso all’oscuro di questi attacchi perché i collaboratori non segnalano le e-mail, indipendentemente dal fatto che paghino o meno il riscatto.
10. Business Email Compromise
Sebbene costituisca solo il 7% degli attacchi di Spear Phishing, secondo l’FBI il Business Email Compromise ha causato perdite per oltre 1,7 miliardi di dollari solo nel 2019. Gli account Gmail sono utilizzati per lanciare il 47% degli attacchi di Business Email Compromise.
Le truffe dello stipendio rappresentano una forma diffusa di attacco BEC. Prendono di mira i reparti di risorse umane con l’obiettivo di causare il trasferimento dello stipendio di un dipendente su un conto diverso e fraudolento. Spacciandosi per dipendenti, gli hacker forniscono nuovi dettagli del conto per l’accredito della retribuzione. Le truffe dello stipendio rappresentano l’8% degli attacchi BEC, ma sono cresciute di oltre l’800% negli ultimi tempi.
11. Conversation hijacking
Negli ultimi mesi si è verificato un incremento pari a oltre il 400% degli attacchi di impersonificazione del dominio utilizzati per facilitare il conversation hijacking. Sebbene il volume del conversation hijacking negli attacchi di impersonificazione del dominio sia estremamente basso rispetto ad altri tipi di attacchi di phishing, questi attacchi sono molto sofisticati e personalizzati e ciò li rende efficaci, difficili da rilevare e costosi.
12. Phishing laterale
Nel phishing laterale, gli autori di attacchi utilizzano gli account sabotati di recente per inviare e-mail di phishing a destinatari ignari, ad esempio i contatti stretti all’interno dell’azienda e i partner presso organizzazioni esterne, per provocare una diffusione dell’attacco su vasta scala. Poiché provengono da un account e-mail legittimo e i messaggi sembrano essere inviati da colleghi o partner affidabili, questi attacchi hanno in genere un’elevata percentuale di successo.
In uno studio recente, i ricercatori hanno scoperto che 1 organizzazione su 7 ha subito un attacco di phishing laterale. Questi attacchi, che prendono di mira un’ampia gamma di vittime e organizzazioni, possono essere estremamente dannosi per la reputazione del marchio di un’azienda, soprattutto se determinano ulteriori attacchi diffusi in altre organizzazioni.
Oltre il 55% di questi attacchi prende di mira persone che hanno un qualche collegamento professionale o personale con l’account sabotato. Non sorprende che in circa l’11% dei casi riescano a compromettere ulteriori account, determinando un numero ancora maggiore di attacchi di phishing laterale.
13. Furto di account
Da una recente analisi degli attacchi di furto di account è emerso che il 29% delle organizzazioni ha subito in un mese una compromissione dei propri account Microsoft Office 365 da parte di hacker. Oltre 1,5 milione e mezzo di e-mail dannose e di spam sono state inviate da account Office 365 compromessi in un periodo di 30 giorni.
Come proteggersi efficacemente dalle minacce e-mail in continua evoluzione
Gli attacchi e-mail si sono evoluti per aggirare le difese tradizionali e comportano la necessità da parte delle organizzazioni di mettere in campo misure di protezione non a livello di gateway ma anche ad altri livelli. Ogni azienda dovrebbe implementare la giusta combinazione di tecnologie e persone per disporre di una protezione e-mail efficace.
- Blocco degli attacchi di volume elevato presso il gateway. I gateway sono alla base della sicurezza e-mail. Bloccano la maggior parte dei messaggi dannosi, inclusi quelli spam, gli attacchi di phishing su larga scala, il malware, i virus e gli attacchi zero-day. Se non vengono controllati, questi attacchi scatenano una situazione di caos all’interno dell’organizzazione, incidendo sulla produttività e infettando i computer.
- Protezione degli utenti a livello di posta in arrivo. Per quanto siano importanti, i gateway, da soli, non bastano. L’implementazione della difesa della posta in arrivo basata su API sblocca l’accesso alle comunicazioni e-mail storiche e interne, necessarie per proteggere gli utenti dagli attacchi altamente mirati che sfuggono ai gateway.
- Attività di sensibilizzazione degli utenti riguardo alle minacce più recenti. Alcuni attacchi di phishing evolutivi e sofisticati, compresi quelli che utilizzano tattiche di Social Engineering, possono non essere rilevati dal gateway per la sicurezza dell’e-mail. È possibile proteggersi da questo tipo di minacce offrendo ai dipendenti corsi di formazione in materia di sicurezza. Con la simulazione e la formazione continue, i dipendenti saranno in grado di riconoscere e segnalare contenuti dannosi, trasformandoli in un livello di difesa.