La natura evolutiva e sofisticata delle campagne di phishing ha permesso alle minacce di cybersecurity via e-mail di penetrare nelle organizzazioni in modo più efficace che mai. Il phishing delle credenziali è stata la minaccia preferita nel 2023, rappresentando il 91% delle segnalazioni di minacce attive pubblicate. Ciò rappresenta un aumento del 67% del volume rispetto al 2022, che può essere attribuito alla maggiore efficacia dei cyberattacchi che sfruttano le credenziali rubate, in particolare in ambienti privi di una solida autenticazione a più fattori (MFA).
Ne è un esempio il cyberattacco di Change Healthcare, in cui le credenziali rubate sono state utilizzate per accedere a un server privo di MFA. Questa mancanza è stata attribuita alla recente acquisizione dell'azienda da parte di UnitedHealth, che stava aggiornando i sistemi. Questa violazione ha esposto i dati sanitari sensibili di milioni di americani, sottolineando la necessità cruciale di un'igiene informatica di base, tra cui una solida gestione delle password e l'MFA.
Andare oltre l'MFA e le password uniche
Sebbene l'implementazione di queste misure di sicurezza fondamentali sia essenziale, esse rappresentano solo una parte di una strategia di sicurezza completa. Affidarsi esclusivamente a password complesse non è sufficiente. Le password non devono essere riutilizzate, poiché la compromissione di una singola password su una piattaforma può lasciare un individuo vulnerabile agli attori delle minacce che tentano spesso di riutilizzare le stesse credenziali su altri account.
Il recente incidente di RockYou2024 ha fatto trapelare quasi dieci miliardi di password uniche su un popolare forum di hacking, ribadendo la necessità di password uniche. Gli esperti di sicurezza sottolineano da tempo la necessità di evitare il riutilizzo delle password e di sfruttare i gestori di password per migliorare la protezione degli account. Alcuni gestori di password offrono persino funzioni avanzate in grado di scansionare i database di password trapelati e di avvisare gli utenti di potenziali vulnerabilità.
Sebbene l'implementazione dell'MFA sia importante per costituire un livello di difesa contro gli attori delle minacce, non è infallibile e deve essere considerata una pratica di sicurezza integrata da altre difese. L'emergere di kit di aggiramento dell'MFA ha dimostrato che queste misure di sicurezza possono essere aggirate. Un esempio recente è rappresentato dai kit di phishing per il bypass di Tycoon 2FA. Quando le persone cadono vittime di questi attacchi sofisticati, concedono inavvertitamente agli attori delle minacce l'accesso ai loro account, aggirando di fatto le protezioni MFA.
Ciò sottolinea il ruolo critico della vigilanza umana nella salvaguardia da queste minacce in evoluzione. In sostanza, questi kit di phishing hanno riportato la corsa agli armamenti del phishing al punto in cui eravamo prima dell'avvento dell'MFA, dove la difesa principale contro la compromissione degli account risiede nella capacità degli individui di riconoscere ed evitare i tentativi di phishing.
La necessità di una vigilanza umana
Gli attori delle minacce sono alla continua ricerca di nuovi modi per violare i sistemi. Gli aggressori sfruttano i punti deboli delle organizzazioni, prendendo di mira i dipendenti con truffe per la scadenza delle password ed e-mail di phishing sempre più realistiche. Per combattere efficacemente questa crescente minaccia, le organizzazioni devono adottare un approccio proattivo completo che vada oltre le misure tecniche. Investire nella formazione e nell'educazione alla sicurezza è fondamentale per mettere la forza lavoro in condizione di diventare la prima linea di difesa contro i cyberattacchi.
La formazione dei dipendenti in tutta l'azienda è una delle azioni più importanti che un'organizzazione può intraprendere per difendersi dagli attori delle minacce, in particolare per educare il personale sui pericoli delle e-mail di phishing provenienti da fonti apparentemente credibili. Tra questi, le richieste urgenti di informazioni personali o di link e allegati sospetti.
L'alfabetizzazione informatica di base sta diventando sempre più comune, ma instillare un vero senso di sospetto quando si tratta di interazioni e attività online richiede tempo e investimenti seri da parte dell'azienda. Dotando i dipendenti delle conoscenze e delle competenze necessarie per riconoscere e segnalare i tentativi di phishing, le organizzazioni possono ridurre significativamente il rischio di attacchi riusciti. La realtà è che un singolo dipendente che cade vittima di un attacco di phishing può avere conseguenze catastrofiche per l'intera organizzazione, con il potenziale di significative violazioni dei dati, perdite finanziarie e danni alla reputazione.
Le organizzazioni devono stabilire un meccanismo di segnalazione diretto e dotare i dipendenti degli strumenti necessari per eliminare rapidamente le minacce di phishing. La formazione dei dipendenti per individuare i messaggi dannosi può ridurre significativamente il rischio di cadere vittima di queste truffe e di compromettere i dati sensibili. L'offerta di formazione continua e di risorse, insieme all'incoraggiamento di una comunicazione aperta sulle potenziali minacce, favorisce una cultura positiva di consapevolezza della cybersecurity. I dipendenti devono sentirsi a proprio agio nel segnalare attività sospette senza timore di essere puniti, comprendendo che la loro vigilanza contribuisce alla sicurezza dell'organizzazione.
Investendo in soluzioni sia tecniche che umane, le organizzazioni possono creare un sistema di difesa più resiliente, in grado di resistere a sofisticati attacchi informatici. Questo approccio completo non solo migliora la sicurezza immediata, ma getta anche le basi per una protezione a lungo termine contro le minacce in evoluzione.
