Le email che attaccano le vulnerabilità delle persone, e non dei sistemi
Di tanto in tanto, l’email viene data per morta, assassinata di volta in volta da questo o quel servizio di messaggistica, social network o tool di collaborazione. La realtà dei fatti ci parla invece di un numero dei messaggi in costante aumento (la stragrande maggioranza costituito da spam che non arriva neanche a destinazione, va detto). Sono altresì in aumento i malware diffusi attraverso la posta elettronica, come allegato o link malevolo contenuto nel messaggio, ma anche messaggi fraudolenti che – pur non veicolando alcun payload – possono arrecare danni molto seri alle aziende: dal furto di credenziali (phishing) al dirottamento di bonifici destinati a fornitori reali verso le coordinate bancarie di conti controllati dall’attaccante.
Soprattutto questo ultimo tipo di attacchi non prende di mira i sistemi e le infrastrutture, ma sfrutta la vulnerabilità delle persone. Per questo l’azienda di cybersecurity Proofpoint, che ha aperto i suoi uffici italiani lo scorso settembre, sta puntando la sua strategia sul proteggere le persone più che i sistemi, seguendo e analizzando le nuove (o antiche) tecniche di attacco che prendono di mira dipendenti, collaboratori e partner.
Tra tutte le più grandi campagne di attacco condotte via email nell’ultimo anno, sono state sfruttate tre sole vulnerabilità software, tra l’altro note da anni. Tutte le altre facevano leva su vulnerabilità umane, come la ricerca di gratificazione, il timore di contrariare un superiore, la curiosità.
Come spiega Ryan Kalember, VP Strategies di Proofpoint, “l’evoluzione dell’aspetto tecnologico della sicurezza e il pensionamento di alcune tecnologie estremamente vulnerabili, come le applet java o Adobe Flash, hanno chiuso molte porte utilizzate in precedenza per gli attacchi, e i cyber criminali devono spostarsi su altri canali, come l’email appunto, ma anche i social network e i servizi cloud”, due strumenti questi ormai entrati nel campo di quelli monitorati e protetti dai servizi di Proofpoint. Sui social, Proofpoint offre servizi di brand monitoring e protezione dei profili aziendali, mentre per i servizi cloud sono disponibili i servizi di protezione email attraverso API degli email provider o con l’uso di proxy e tecnologie CASB (Cloud Access Security Broker).
Secondo Luca Maiocchi, Regional Sales Manager Italy, “la principale arma di Proofpoint è costituita dal Threat Intelligence Team, formato da 100 ricercatori che monitorano per conto dei clienti un flusso di circa 22 miliardi di email al giorno. Trattandosi di clienti aziendali, soprattutto nella fascia medio alta delle imprese, Proofpoint ha un punto di osservazione privilegiato sulle minacce indirizzate all’ambito business”.
In particolare crescita ed evoluzione sono gli attacchi basati sull’impersonificazione di dirigenti, fornitori o clienti, che possono manipolare i dipendenti per far rivelare informazioni sensibili o compiere azioni dannose. La maggior parte di questi attacchi sfrutta una qualche variante di un problema di sicurezza che è vecchio quanto l’email, tanto da essere espressamente dichiarato nella RFC del protocollo SMTP, come sottolinea Maiocchi: la posta elettronica come la conosciamo non prevede alcuna autenticazione del mittente. È quindi facilissimo modificare il mittente, il campo reply-to o anche creare un dominio apparentemente simile a quello da impersonare (per esempio invertendone due lettere), e inviare email a nome di chiunque.
Per Maiocchi, “moltissimi di questi attacchi potrebbero essere rilevati se le aziende implementassero il sistema di validazione DMARC (Domain-based Message Authentication, Reporting & Conformance). Il suo utilizzo è in crescita, e sempre più aziende negli USA e UK impongono ai propri partner di utilizzarlo sui propri server di posta”, ma la penetrazione è ancora insufficiente.