Questa \u00e8 solo una delle tante statistiche allarmanti che rivelano quanto il phishing sia stato devastante nel recente passato sia per le persone che per le aziende. Eventi recenti, sviluppi tecnologici (IA e deep fake) e dati circostanti indicano in modo preoccupante \u2013 come scoprirai in questo articolo \u2013 che la minaccia del phishing potrebbe diventare ancora pi\u00f9 grande e insidiosa di quanto non sia gi\u00e0.<\/p>\n
E potremmo non essere completamente preparati per questo.<\/p>\n
Statistiche di phishing: il danno fatto<\/h2>\n
Condividi questa immagine sul tuo sito<\/strong><\/p>\n Le statistiche sul phishing mostrano una tendenza al rialzo, un'impennata inconfondibile che non si osservava negli ultimi 3 anni. Greg Aaaron, APWG Senior Research Fellow, ha dichiarato: "Questo \u00e8 il periodo peggiore per il phishing che l'APWG abbia visto in tre anni, dal quarto trimestre del 2016".<\/p>\n Secondo Verizon<\/a>, il 32% delle violazioni dei dati segnalate nel 2018 sono state il risultato di attacchi di phishing. La situazione \u00e8 peggiorata ulteriormente nel 2019 con il phishing responsabile del 90%<\/a> delle violazioni dei dati<\/strong>. Le statistiche suggeriscono che gli hacker si affidano ancora prevalentemente all'ingegneria sociale e ai trucchi della fiducia piuttosto che alla forza bruta e ad altri attacchi pi\u00f9 sofisticati per accedere a informazioni sensibili di utenti\/imprese.<\/p>\n L'efficacia e l'elevata percentuale di successo degli attacchi di phishing per i criminali informatici pu\u00f2 essere stimata anche dal fatto che ogni mese vengono creati fino a 1,5 milioni di siti Web di phishing .<\/a><\/strong> Un'attivit\u00e0 cos\u00ec straordinariamente elevata pu\u00f2 essere sostenuta solo se gli agenti dietro il phishing ne traggono un notevole profitto.<\/p>\n In effetti, a livello di impresa, le perdite medie subite dalle aziende di medie dimensioni compromesse dal phishing sono di 1,6 milioni di dollari<\/a>.<\/strong> Non c'\u00e8 da stupirsi che il phishing abbia un posto speciale nel cuore di ogni hacker.<\/p>\n Il successo duraturo del phishing \u00e8 semplicemente il risultato della nostra tendenza umana a essere tentati di compiere un'azione, soprattutto quando ci fidiamo della fonte.<\/p>\n Salvatore Stolfo, CTO di Alluresecurity<\/a> osserva opportunamente:<\/p>\n \u00c8 vero che l'IA pu\u00f2 essere decodificata e utilizzata dagli avversari per prendere di mira le persone con attacchi informatici. Ma la realt\u00e0 \u00e8 che quando si tratta di phishing, gli aggressori non hanno nemmeno bisogno di essere cos\u00ec esperti di tecnologia per avere successo. Ed \u00e8 per questo che il phishing continua a persistere come vettore di attacco top. Attinge al nostro istinto di base di fidarci e fare clic su un collegamento che riteniamo provenga da una fonte legittima, come la tua banca, o un marchio che conosci e di cui ti fidi come Microsoft, Netflix o PayPal.<\/p>\n<\/blockquote>\n I metodi e le strategie per il phishing diventeranno solo pi\u00f9 sofisticati con il tempo. In effetti, i miglioramenti nelle tecniche sono gi\u00e0 evidenti, puntando verso un ambiente di cybersecurity gravemente precario nei tempi a venire.<\/p>\n<\/p>\n Condividi questa immagine sul tuo sito<\/strong><\/p>\n Abbiamo gi\u00e0 assistito al cambiamento delle norme in materia di phishing via e-mail. Tradizionalmente, l'approccio del fucile \u00e8 pi\u00f9 comunemente impiegato quando l'hacker vuole attirare quante pi\u00f9 persone possibile. Ma \u00e8 molto pi\u00f9 probabile che gli attacchi alla sicurezza aziendale abbiano successo se eseguiti in modo mirato, una tecnica nota come spear-phishing.<\/p>\n Cisco afferma che<\/a> il 95% di tutti gli attacchi alle reti di sicurezza aziendali sono possibili grazie allo spear-phishing. In un attacco di spear-phishing, un hacker potrebbe impersonare un membro reale, spesso di alto profilo, di un'organizzazione o di un settore nel tentativo di ingannare il destinatario dell'e-mail per divulgare le sue informazioni.<\/p>\n Le e-mail di spear-phishing sono state sfruttate appieno come metodo di infezione principale utilizzato dal 71%<\/a> dei gruppi di hacker nel 2017. L'alto tasso di successo dello spear-phishing \u00e8 semplicemente il risultato di una rappresentazione meglio mascherata, che attira anche i pi\u00f9 attenti a essere truffato.<\/p>\n Dennis Bell, un esperto IT e fondatore di Byblos Coffee,<\/a> prevede che:<\/p>\n Nel 2021, lo Spear phishing sarebbe pi\u00f9 diffuso… AI e ML possono essere utilizzati per identificare i migliori obiettivi in \u200b\u200bbase a ci\u00f2 che fanno online. Possono persino raccogliere informazioni su chi ha pi\u00f9 accesso alla propria rete aziendale. Una volta che AI \u200b\u200be ML hanno creato i profili, possono iniziare a inviare materiali di phishing personalizzati in base alle vulnerabilit\u00e0 del bersaglio.<\/p>\n<\/blockquote>\n L'abuso dell'IA e il conseguente sviluppo di tecnologie come un deep fake \u00e8 un altro duro colpo alle nostre speranze di un Internet libero dal phishing. Prima dell'intelligenza artificiale, i phisher potevano solo mascherarsi dietro e-mail e siti Web progettati in modo intelligente. Con l'intelligenza artificiale e il deep fake, possono persino impersonare il volto e la voce di qualsiasi persona scelgano, dando alle frodi di ingegneria sociale una dimensione completamente nuova.<\/p>\n Kim Martin, VP Marketing<\/a> presso la societ\u00e0 di biometria ID R&D<\/a>, sottolinea:<\/p>\n I truffatori utilizzano l'apprendimento automatico e l'intelligenza artificiale per condurre sofisticati attacchi di phishing in cui impersonano utenti reali e autorizzati attraverso progressi nel linguaggio sintetico. In uno scenario recente ha coinvolto una voce "deep fake" che ha indotto un CEO a trasferire $ 243.000 a un fornitore ungherese. Il CEO pensava che la richiesta provenisse dal suo capo. Con queste capacit\u00e0, i truffatori hanno trovato un nuovo veicolo per l'ingegneria sociale e un modo per superare l'autenticazione basata sulla biometria se non sono disponibili le protezioni adeguate.<\/p>\n<\/blockquote>\n I progressi nell'elaborazione del linguaggio naturale aprono un'altra strada per gli attori delle minacce. L'uso dell'apprendimento automatico per comporre corrispondenze ufficiali progettate per truffare il personale aziendale \u00e8 una possibilit\u00e0 molto reale oggi e quasi sicuramente diventer\u00e0 pi\u00f9 diffuso in futuro.<\/p>\n L'elaborazione del linguaggio naturale \u00e8 uno dei campi pi\u00f9 attivamente ricercati nell'IA, in grado di comprendere i linguaggi umani e comunicare in modo efficace utilizzando gli stessi. Poich\u00e9 queste capacit\u00e0 migliorano nel tempo, notare la differenza tra il linguaggio umano e quello originato dalla macchina sar\u00e0 una sfida enorme. Come sottolinea l'esperta di privacy digitale Attila Tomaschek<\/a> :<\/p>\n un criminale informatico potrebbe iniettare un malware in un thread di posta elettronica esistente che ha la capacit\u00e0 di sfruttare AI e ML per analizzare la lingua e il contesto del thread per apprendere ed emulare il linguaggio umano naturale e quindi personalizzare e-mail di phishing convincenti e dal suono naturale a obiettivi individuali". Sottolinea anche come i chatbot basati sull'intelligenza artificiale possono indurre le vittime a fare clic su collegamenti dannosi.<\/p>\n<\/blockquote>\n Il fatto pi\u00f9 allarmante tra tutti questi \u00e8 che questa non \u00e8 una previsione futuristica troppo lontana dai giorni nostri per iniziare a preoccuparsi. Queste sono capacit\u00e0 molto reali che gi\u00e0 esistono in misura quasi spaventosa.<\/p>\n L'apprendimento automatico pu\u00f2 anche rendere gli attacchi di phishing non rilevabili. Nel tempo, l'e-mail pu\u00f2 imparare a bypassare i filtri e-mail, utilizzando un linguaggio sempre pi\u00f9 realistico per apparire completamente legittimo. Su questo, condivide Will Pearce, Senior Security Consultant presso Silent Break Security<\/a><\/p>\n Adversarial Machine Learning ha la capacit\u00e0 di rendere non rilevabili i tentativi di phishing: alcune ricerche pubblicate nel 2019 chiamate "Proof-Pudding" hanno fatto proprio questo. Il filtro antispam di Proofpoint stava perdendo i punteggi di previsione dello spam, la ricerca ha raccolto un set di dati e ha addestrato un modello per emettere parole che avrebbero assicurato che le e-mail di phishing non venissero rilevate. I sistemi di Machine Learning sono una nuova superficie di attacco che generalmente non \u00e8 ben compresa.<\/p>\n<\/blockquote>\n Considerando che semplici algoritmi possono essere utilizzati per determinare anche informazioni nascoste sui profili Facebook<\/a>, la combinazione di deep fake e contraddittorio ML amplier\u00e0 notevolmente la gamma di attacchi a disposizione di un phisher medio.<\/p>\n Un attacco omografico sfrutta il fatto che molte lettere nell'alfabeto della maggior parte delle lingue moderne sono simili. Ad esempio, la lettera B \u00e8 \u03b2 in greco. Sapendo questo, un sito Web di phishing dannoso pu\u00f2 utilizzare un nome di dominio che assomiglia esattamente a un altro dominio legittimo. La differenza di un piccolo carattere \u00e8 spesso impossibile da notare, soprattutto sugli schermi di dispositivi palmari pi\u00f9 piccoli come gli smartphone.<\/p>\n Ad esempio: https:\/\/www.the\u00edndependent.com\/<\/a> differisce dal dominio di The Independent solo per un carattere: la ‘\u00ed' per la ‘i'. Questi domini simili si aggiungono solo all'arsenale di tecniche a disposizione dei moderni phisher.<\/p>\n Condividi questa immagine sul tuo sito<\/strong><\/p>\n Le capacit\u00e0 tecnologiche rappresentano solo un'area di opportunit\u00e0 tra le tante che i phisher stanno sfruttando per lanciare attacchi informatici sempre pi\u00f9 devastanti. Sfruttando il panico creato dal misterioso coronavirus, i truffatori stanno lanciando campagne di phishing per indurre le persone a fare clic su collegamenti dannosi e a fornire informazioni sensibili.<\/p>\n Il caso pi\u00f9 notevole di tali exploit di phishing \u00e8 stato segnalato da Kaspersky<\/a> in cui e-mail di phishing che fingono di essere inviate dal CDC rubano le tue informazioni quando fai clic su un collegamento che richiede l'accesso a Outlook. Le e-mail provengono da un dominio cdc-gov.org, sebbene il dominio del CDC legittimo sia cdc.gov.<\/p>\n Basti dire che \u00e8 estremamente difficile per un utente medio notare questa differenza nel dominio e sospettare una frode, soprattutto quando l'e-mail \u00e8 formulata in modo cos\u00ec convincente con collegamenti esterni che sembrano legittimi. Naturalmente, in realt\u00e0 non c'\u00e8 nulla di legittimo nell'intera e-mail.<\/p>\n Queste tattiche traggono la loro efficacia dal panico che circonda la situazione (in questo caso, il coronavirus), dove l'incertezza e l'urgenza prevalenti possono cortocircuitare anche il giudizio di un saggio. Contro le minacce della vita reale, il pericolo di attacchi informatici, non importa quanto reali, \u00e8, nella migliore delle ipotesi, distante e periferico.<\/p>\n Le elezioni americane del 2021 si presenteranno come un'altra opportunit\u00e0 per i phisher di fare i loro cattivi affari come hanno fatto nelle elezioni precedenti. Come nota acutamente Orion Casetto, Direttore del Product Marketing<\/a> di Exabeam<\/a><\/p>\n Il phishing non scomparir\u00e0 presto. Il fervore che circonda le elezioni presidenziali statunitensi del 2021 fornisce agli aspiranti aggressori l'ambiente perfetto per eseguire campagne di phishing e ingegneria sociale. Molte persone sono appassionate, pronte ad agire e ricevono un diluvio di comunicazioni da nuove fonti; questa \u00e8 una tempesta perfetta che lascia ampie opportunit\u00e0 alle persone di cadere vittime di e-mail di phishing ben congegnate mascherate da comunicazioni di organizzazioni politiche e candidati.<\/p>\n<\/blockquote>\n Questi eventi importanti, insieme all'assistenza dell'IA, non faranno altro che incoraggiare phisher e truffatori a implementare campagne estremamente dannose mirate contro ogni settore della societ\u00e0, dall'individuo a organizzazioni di tutte le dimensioni.<\/p>\n La migliore difesa contro il phishing \u00e8 ancora il tuo semplice giudizio antiquato, intelligenza, buon senso e cautela. Sfortunatamente, in un mondo frenetico in cui le persone hanno una capacit\u00e0 di attenzione in calo e una pazienza ancora pi\u00f9 bassa, sta diventando una vera sfida prestare attenzione e cautela prima di ogni link che fai clic e di ogni sito web che visiti.<\/p>\n Questo \u00e8 il motivo per cui anche il software anti-phishing sta acquisendo importanza per assistere gli esseri umani con un giudizio fallibile. Tuttavia, alcuni suggerimenti di buon senso possono comunque salvarti dal diventare la prossima vittima di phishing.<\/p>\n Queste sono alcune precauzioni che puoi prendere come utente. Ma le organizzazioni di ogni tipo sono ancora pi\u00f9 responsabili di affrontare il phishing in modo pi\u00f9 efficace. Possono iniziare aggiornando i loro sistemi informatici legacy vulnerabili a quelli moderni e aggiornati come Threat Intelligence Team Leader presso Skybox Security<\/a>, sottolinea Sivan Nir<\/p>\n Il rapporto NCSC del 2019 ha scoperto che pi\u00f9 di 318 reti pubbliche funzionano su Windows XP nonostante Microsoft abbia terminato il supporto per esso nel 2014. Con le aziende che si affidano a software "legacy" e i criminali informatici che utilizzano AI e ML per mutare il loro malware, gli attacchi di phishing diventano quasi invisibili a un occhi dell'azienda e ancora pi\u00f9 devastante.<\/p>\n<\/blockquote>\n Stolfo osserva che la maggior parte dei phisher usa spesso il web scraping per imitare il dominio legittimo. Raccomanda di incorporare il codice nel sito Web originale che consenta ai webmaster di tracciare e rilevare se il loro sito Web \u00e8 stato raschiato, portando con s\u00e9 il codice incorporato. Questo codice attiva quindi un avviso e raccoglie informazioni sull'hacker come la sua geolocalizzazione per aiutare a rintracciare l'origine del problema.<\/p>\n Sebbene queste misure siano importanti per le aziende per migliorare la propria resilienza contro gli attacchi di phishing, non c'\u00e8 nulla che possa sostituire la consapevolezza degli utenti come strategia preventiva pi\u00f9 efficace per contrastare il phishing. Nella sua forma pi\u00f9 elementare, il phishing \u00e8 essenzialmente un elaborato trucco di fiducia.<\/p>\n\n
Metodi in evoluzione \u2013 Phishers on the Storm<\/h2>\n
Spear-phishing<\/h3>\n
\n
Falsi profondi e intelligenza artificiale<\/h3>\n
\n
\n
\n
Attacchi omografici<\/h3>\n
Il futuro a venire – Corona, elezioni statunitensi e abusi della tecnologia<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e692b8fe.png\")
<\/a><\/p>\n\n
Prepararsi per un focolaio di phishing<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e6a88a99.png\")
<\/a><\/p>\nCondividi questa immagine sul tuo sito<\/h3>\n
Suggerimenti per gli utenti<\/h3>\n
\n
Il ruolo delle organizzazioni<\/h3>\n
\n