I cybercriminali sono sempre più sofisticati nel prendere di mira le persone. I siti web che sembrano legittimi, ma sono in realtà pericolosi, rappresentano una piattaforma comune per le loro campagne.
È facile che le persone abbassino la guardia quando svolgono online attività quotidiane come ricerche, acquisti, pagamenti o social media. Lo confermano i risultati del report State of the Phish 2023 condotto da Proofpoint per analizzare il panorama delle minacce del 2022:
- Oltre un terzo dei lavoratori ha compiuto almeno un’azione rischiosa, come cliccare su un link dannoso, scaricare malware o esporre i propri dati o credenziali di accesso.
- Oltre il 60% dei lavoratori non sa che il testo del link di un’e-mail potrebbe non corrispondere al sito web a cui conduce.
Questi dati mettono in mostra lacune di conoscenza allarmanti.
La nostra ricerca mostra anche che l’84% delle organizzazioni è stato colpito da un attacco di phishing nel 2022 – partiti in gran parte a seguito di clic da parte degli utenti su elementi pericolosi.
Le persone sono la prima linea di difesa di un’azienda e trascorrono molto tempo sul web. Ecco alcuni tra i più recenti trend delle minacce nella navigazione su Internet:
- Chatbot alimentati dalla IA come ChatGPT
- Phishing Multi-Factor Authentication (MFA)
- Attacchi Browser-in-the-Browser (BitB)
Il fascino e il pericolo delle Chatbot IA
Le chatbot basate su intelligenza artificiale sono diventate rapidamente popolari grazie alla loro capacità di fornire assistenza istantanea attraverso interazioni in linguaggio naturale. ChatGPT è la chatbot IA più conosciuta, ma ne esistono altre come Microsoft Bing e Google Bard.
Sono spesso accessibili tramite browser, e l’immediatezza con cui si danno e ricevono informazioni apre molti rischi per la sicurezza e la disinformazione.
Gli utenti potrebbero digitare informazioni personali nel browser in risposta a una chatbot e, come osservato in passato con le iniezioni bancarie, qualsiasi trasmissione di dati sensibili potrebbe diventare un obiettivo per gli attaccanti.
Le chatbot raccolgono i dati per migliorare le loro prestazioni e personalizzare le interazioni e potrebbe anche sollevare problemi di privacy per quanto riguarda le informazioni di identificazione personale (PII). Se i dati non vengono archiviati in modo sicuro o crittografati adeguatamente, potrebbero verificarsi accessi non autorizzati che porterebbero al furto di identità o a violazioni
La minaccia del phishing multi-factor authentication (MFA)
Poiché l’MFA è diventata una pratica di sicurezza standard, le tecniche di phishing MFA “man-in-the-middle” si sono evolute per rubare i token MFA.
In un attacco di questo tipo, la vittima accede a una pagina contraffatta che utilizza un reverse proxy per visualizzare l’interfaccia di login di un servizio legittimo. Il tentativo di accesso sembra procedere normalmente, ma quando l’utente digita il codice MFA e le altre credenziali, il reverse proxy intercetta e ruba il token.
A questo punto l’aggressore può aggirare il livello di sicurezza MFA ed entrare nell’account con la possibilità di accedere a dati sensibili, informazioni personali e finanziarie, rubare l’identità o utilizzare l’account per accedere ad altri sistemi e dati privati.
Gli attacchi browser-in-the-browser (BitB)
Questa forma avanzata di phishing delle credenziali è difficile da individuare. Oltre a creare una pagina di phishing convincente, l’attaccante crea anche una finta finestra pop-up di Single Sign On (SSO), che appare agli quando desiderano accedere a un servizio con le credenziali di siti affidabili come Google, Apple o Twitter.
Il falso login SSO viene creato modificando il codice del sito web di phishing per aggiungere un’altra pagina web separata e incorporata in quella malevola. Se l’utente inserisce le proprie credenziali per il sito legittimo, l’aggressore le raccoglie, ottenendo potenziale accesso a un componente chiave dell’identità digitale della vittima.
Il comportamento delle persone resta la difesa più efficace
I browser web dispongono di funzioni di sicurezza che segnalano possibilità non sicure, ma non impediscono di compiere un’azione pericolosa. Spetta a ciascuno fermarsi, pensare e agire o reagire. Ecco perché la formazione alla sicurezza gioca una parte essenziale per aiutare gli utenti a capire come riconoscere le minacce e applicare le loro conoscenze alle situazioni del mondo reale.
È fondamentale prestare attenzione ai dettagli di un sito e prendere in considerazione elementi e comportamenti relativi alla sua sicurezza, come ad esempio:
- Pop-up che sembrano messaggi del browser e che chiedono di installare o aggiornare un software.
- Download gratuiti come film, musica o video che nascondono software dannoso.
- Offerte gratuite che richiedono informazioni personali in cambio di un omaggio.
- La presenza di marchi noti che creano un falso senso di sicurezza. Anche se il nome è riconoscibile, le immagini sembrano legittime?
- Il nome del dominio principale del sito è corretto (ad esempio “microsoft.com”), ma il resto dell’URL presenta parole o ortografia insolite.
- URL che appaiono nei risultati di ricerca ma non sono link legittimi.
- URL abbreviati da servizi come Bitly e TinyURL che possono mascherare la vera identità di un link.
- Messaggi di avviso del browser che indicano che un sito non è sicuro o non può essere autenticato.
- Funzionalità del browser sospette con certificato di sicurezza mancante.
- Un sito che chiede di inserire informazioni sensibili o finanziarie.
Sono numerose le iniziative di sensibilizzazione alla sicurezza informatica, come il Cybersecurity Awareness Month, istituito ogni anno a ottobre. Ma ogni azienda è chiamata a fare la sua parte per garantirsi un ulteriore livello di sicurezza che gli strumenti tecnologici da soli, anche quando si parla di navigazione web, non sono più in grado di supportare.
Luca Maiocchi, Country Manager di Proofpoint
