Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it

Pagina creata da Caterina Ruggiero
 
CONTINUA A LEGGERE
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
REPORT

Il fattore umano 2021
Cybersecurity, ransomware e frodi via email
nell’anno che ha cambiato il mondo

proofpoint.com/it
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

Introduzione
La tragedia, lo sconvolgimento e i cambiamenti epocali del 2020 sono stati documentati innumerevoli volte.
Ma mentre le aziende in tutto il mondo compiono i primi cauti passi verso la normalità, “l’anno perduto”1
può ancora insegnarci qualcosa. Questo è particolarmente vero nell’ambito della cybersecurity.

Mentre la pandemia globale stravolgeva le routine lavorative e familiari, i criminali informatici coglievano la palla
al balzo, sfruttando ambienti di lavoro divenuti improvvisamente insoliti e approfittando di paure, incertezze
e dubbi della gente per ingannare gli utenti e compromettere le aziende. E ora, nel 2021, questi criminali
informatici spavaldi fanno leva sul loro vantaggio moltiplicando gli attacchi ransomware contro infrastrutture
e aziende di alto profilo.

E anche se la vita sembra tornare lentamente alla normalità, ma alcune tendenze dell’era della pandemia
resteranno. Molte persone lavoreranno in maniera ibrida, dividendo il proprio tempo fra l’abitazione e gli
ambienti di lavoro comuni. Gruppi distribuiti collaboreranno da aree geografiche e giurisdizioni differenti.
In questo, i cambiamenti che erano già in corso prima della pandemia nell’ambito di ecommerce, cloud
e in altre aree, non hanno fatto che accelerare.

A prescindere da come sarà il mondo post COVID, la protezione delle persone, ovunque e comunque lavorino,
sarà una sfida continua.

               Nota sul report                           Gli argomenti di questo report                                   Ambito
    Fin dalla sua prima edizione nel                     Questo report approfondisce ciascuno             I dati contenuti nel report attingono
    2014, il report Il Fattore Umano si                  dei tre aspetti dei rischi legati agli utenti.   al grafico sulle minacce Nexus di
    fonda sul semplice presupposto che                   Analizza il modo in cui i tragici eventi         Proofpoint, che a sua volta si avvale
    sono le persone, non la tecnologia,                  del 2020, e il cambiamento epocale               dei dati raccolti dalle implementazioni
    la variabile più critica nelle minacce               innescatosi, hanno trasformato il                Proofpoint in tutto il mondo. Ogni
    informatiche attuali.                                panorama delle minacce. Prende in                giorno analizziamo oltre 2,2 miliardi
                                                         esame l’ecosistema delle minacce in              di messaggi email, 35 miliardi di URL,
    Da allora, questo concetto un tempo                  mutamento e le sue implicazioni per              200 milioni di allegati, 35 milioni di
    controcorrente è diventato una realtà                tutti noi. Infine, spiega come una difesa        account cloud e altro ancora. Un totale
    ampiamente riconosciuta. I criminali                 incentrata sulle persone può rendere gli         di migliaia di miliardi di punti di dati in
    informatici prendono di mira le persone.             utenti più resilienti, mitigare gli attacchi     tutti i canali digitali più importanti.
    Sfruttano le persone. In fin dei conti,              e gestire i privilegi.
    essi stessi sono persone.                                                                             Questo report copre il periodo
                                                         Questo report presenta le minacce                1° gennaio - 31 dicembre 2020.
    Per prevenire, rilevare e rispondere                 rilevate, mitigate e neutralizzate durante       Salvo diversa indicazione, include
    efficacemente alle minacce e ai rischi               il 2020 dalle implementazioni di                 le minacce osservate direttamente
    per la conformità, i professionisti della            Proofpoint nel mondo, che alimentano             dalla nostra rete globale di ricercatori
    sicurezza delle informazioni devono                  una delle più grandi e diversificate serie       e legate a una campagna di attacco,
    comprendere le dimensioni incentrate                 di dati nella cybersecurity.                     definita come una serie di azioni
    sulle persone dei rischi legati agli                                                                  intraprese da un criminale informatico
    utenti: vulnerabilità, attacchi e privilegi.         Ci soffermiamo ampiamente sulle                  per raggiungere il proprio obiettivo.
    In termini pratici, si tratta di conoscere:          minacce che fanno parte di una
                                                         campagna di attacco più ampia                    Per quanto riguarda il Capitolo 3:
    • Le principali vulnerabilità degli utenti           e sulla serie di azioni intraprese da un         Privilegi, 300 clienti hanno condiviso
    • Le modalità di attacco dei                         criminale informatico per raggiungere            i propri allarmi relativi a Insider Threat
      criminali informatici                              i propri obiettivi. A volte siamo in             Management, permettendo di stabilire
    • I rischi potenziali derivanti dalla                grado di associare tali campagne                 le forme di abuso dei privilegi che
      violazione dell’accesso con privilegi              a un criminale informatico specifico,            hanno destato in loro le maggiori
      a dati, sistemi e altre risorse                    nel processo denominato attribuzione.            preoccupazioni. Abbiamo confrontato
                                                         Ma per le ragioni spiegate nel Capitolo          gli allarmi generati dal febbraio 2020
    Le soluzioni utilizzate per affrontare
                                                         “L’arte dell’attribuzione” a pagina 27,          al gennaio 2021, al culmine della
    questi elementi (il fattore umano della
                                                         questo non è sempre possibile.                   pandemia, con quelli del periodo
    cybersecurity) rappresentano i pilastri
                                                                                                          ottobre 2019 - gennaio 2020.
    fondamentali di una difesa moderna.

1
    The Economist, “2020: The year that wasn’t.”(L’anno perduto), novembre 2020.
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

Sommario

    Principali risultati .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4

1   Vulnerabilità  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 6

    Utenti alla prova: le percentuali di insuccesso nelle simulazioni
    di phishing .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 9
    Percentuali di insuccesso per settore .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 10

2   Attacchi  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 11

    Ransomware in crescita  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 11
    Stati chiave delle presidenziali americane: attacchi legati al tema
    delle elezioni .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 13
    COVID-19: lo sfruttamento della pandemia da parte dei criminali
    informatici .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 15
    Tipi di attacchi .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 21
    Tecniche di attacco .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 22
    Strumenti di attacco  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 24

3   Privilegi  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 30

    Conclusioni e raccomandazioni  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 31

                                                                                                                                                       3
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

Principali risultati
     Principali   risultati                                                  Più di una persona su tre fra quelle colpite
                                                                             dalle campagne di attacco basate sulla
                                                                             steganografia ha fatto clic su un’email
                            Ecco alcuni punti salienti                       pericolosa. È il tasso di successo più alto
                                                                             fra le tecniche di attacco.
                            del report di quest’anno.

                                                                                                        Il numero di clic ricevuti dagli
    Oltre48 milioni di messaggi contenevano
                                                                                        >50X più di 50 volte superiore
                                                                                                        attacchi CAPTCHA è
    malware che poteva essere utilizzato come
    punto di ingresso per attacchi ransomware.                                                          a quello dell’anno precedente.
    Mentre il mondo era concentrato sulle notizie
    relative al COVID-19, i criminali informatici
    hanno approfittato della situazione. Sono                                           Le campagne di attacco sferrate dal criminale
    comparse più truffe legate alla pandemia di                                         informatico TA542 (legato alla botnet Emotet)
    quelle legate a qualsiasi altro evento o tema di
    attualità. A un certo punto del 2020 quasi tutti                                    sono quelle chehanno persuaso a fare clic
    i criminali informatici che monitoriamo hanno                                       il maggior numero di utenti. Il numero
    utilizzato dei contenuti relativi alla pandemia.                                    complessivo riflette la loro efficacia e il volume
                                                                                        complessivo di email inviate in ogni campagna.
                         Quasi il 10% delle email dannose correlate
                       a questa campagna ha cercato di distribuire il
                        malware Emotet. Prima di essere smantellata
                        dalle forze dell’ordine nel 2021, l’infrastruttura   In un mondo in cui gli utenti sono stati improvvisamente

      ~10%                  di Emotet veniva offerta a noleggio ad altri
                              gruppi, che la utilizzavano per distribuire
                                    ransomware e altri tipi di malware.
                                                                             confinati in casa e il telelavoro è diventato la normalità,
                                                                             il punto di vista delle aziende sui rischi legati ai privilegi
                                                                             è cambiato. Rispetto ai livelli pre-pandemia c’è stata
                                                                             un’impennata nel numero di aziende che hanno
           25% di tutte le campagne di
    Quasi il                                                                 impostato degli allarmi per prevenire la perdita
    attacco ha nascosto il malware in file
    compressi, che vengono eseguiti solo
    dopo l’interazione con il destinatario.
                                                             25%             di dati per le seguenti attività:
                                                                             • Utilizzo di dispositivi USB
                                                                             • Copia di file e cartelle di grandi
                                                                               dimensioni (soprattutto durante
                                                                               orari desueti)
               Il phishing delle credenziali di accesso        , sia dei
               consumatori che delle aziende, è stato di gran                • Valutazione dei servizi di
               lunga la forma di attacco più comune, essendo                   condivisione di file
               responsabile di quasi i due terzi di tutti i messaggi         • Attività che potrebbero eludere lo
               ostili, più di tutti gli altri attacchi messi insieme.          strumento di monitoraggio degli utenti
               Il phishing delle credenziali d’accesso porta alla
               violazione degli account, che possono essere
               sfruttati da altri attacchi, come il furto dei dati
               e la violazione dell’email aziendale
               (BEC, Business Email Compromise).
                                                                                      Controlli per la prevenzione della perdita
                                                                                      di dati e le minacce interne impostati dai
                                  Le tecniche che richiedono
                                  l’interazione del destinatario con                  clienti in generale:
                                  un allegato o direttamente con un
                                  attacco sono aumentate nettamente.                  1. Connessione di un dispositivo USB
                                                                                         non approvato
                                  Gli attacchi di hijacking dei thread
                                  di discussione sono aumentati                       2. Copia di cartelle o file di grandi dimensioni
                                  del 18% rispetto all’anno precedente.               3. Caricamento di un file sensibile sul web
     18% 10X
Hijacking del thread Macro di
                                  Quelli che utilizzano i file protetti da
                                  password sono quasi quintuplicati.
                                  Il volume degli attacchi basati sulle
                                                                                      4. Apertura di un file di testo che potrebbe
                                                                                         contenere delle password
   di discussione    Excel 4.0
                                  macro di Excel 4.0 è più che                        5. Download di un file con un’estensione
            Attacchi              decuplicato.                                           potenzialmente dannosa

4
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

Struttura di questo report                                Così come ogni persona è unica,

Nella cybersecurity, il rischio viene
                                                          lo sono anche il suo valore per
                                                          i criminali informatici e il rischio
                                                                                                              Vulnerabilità
calcolato come segue: minacce x                           per i propri datori di lavoro.

vulnerabilità x impatto +/- controlli                     I dipendenti hanno vulnerabilità,
di sicurezza.                                             abitudini digitali peculiari e punti
                                                          deboli diversi. Vengono                        Bersagli                Bersagli
Il presente report osserva ciascuno                       attaccati in maniera                           “facili”                 latenti
                                                          differenziata e con una                                    Bersagli
di questi aspetti analizzandolo con
                                                          frequenza variabile.                                      imminenti
il nostro modello di rischio legato                       Possiedono inoltre
agli utenti incentrato sulle persone                      differenti livelli di accesso          Attacchi                             Privilegi
                                                          privilegiato a dati,                                      Bersagli
– vulnerabilità, attacchi (minacce)
                                                          sistemi e risorse.                                        principali
e privilegi (impatto) – e fornisce
                                                          La combinazione di questi
raccomandazioni sulle misure
                                                          fattori determina il rischio
da applicare per mitigarli.                               complessivo di un utente.

                                                                                                         • Bersagli latenti: gli utenti con privilegi
  Vulnerabilità                                        Privilegi                                           elevati, che sono anche più vulnerabili
                                                                                                           alle truffe di phishing, costituiscono delle
  Il livello di vulnerabilità degli utenti si valuta   Per privilegi si intendono tutti gli elementi       violazioni in fieri. Un utente con privilegi
  in base al loro comportamento digitale:              potenzialmente di valore a cui le persone           elevati non svolge necessariamente
  i loro metodi di lavoro e i loro clic.               hanno accesso, tra cui dati, autorizzazioni         una mansione di alto profilo. Anche
                                                       finanziarie, relazioni chiave, ecc. Valutare        i dipendenti degli uffici risorse umane,
  Molti dipendenti lavorano in remoto                  tale aspetto è cruciale perché riflette             struttura e amministrazione meno esperti
  o accedono all’email aziendale tramite               il potenziale guadagno dei criminali                possono far cadere nelle mani sbagliate
  i propri dispositivi personali. Potrebbero           informatici e gli eventuali danni per               un livello di accesso che comporta dei
  servirsi dell’archiviazione di file in cloud         le aziende compromesse.                             pericoli. Anche se non sono stati ancora
  e installare componenti aggiuntivi di
                                                                                                           individuati dai criminali informatici, sono
  terze parti nelle loro app cloud. Oppure             La posizione di un utente nell’organigramma
                                                                                                           come frutti maturi in attesa di essere colti.
  potrebbero essere particolarmente ricettivi          è naturalmente un fattore da tenere in
  rispetto alle tattiche di phishing delle email       considerazione nella valutazione dei              • Bersagli “facili” gli utenti più attaccati,
  degli aggressori.                                    privilegi, ma non è l’unico, anzi spesso            che sono vulnerabili alle minacce,
                                                       non è nemmeno il più importante.                    rappresentano delle facili conquiste per i
                                                       Per i criminali informatici, chiunque               criminali informatici. La rapidità di reazione

  Attacchi                                             possa aiutarli a raggiungere il loro fine
                                                       è un obiettivo prezioso.
                                                                                                           e risoluzione può contenere i danni per
                                                                                                           gli utenti con privilegi bassi. Tuttavia,
                                                                                                           la riuscita di un attacco può offrire al
  Gli attacchi informatici non sono tutti uguali.
                                                                                                           criminale informatico una base dalla quale
  Anche se tutti sono potenzialmente dannosi,
  alcuni sono più pericolosi, mirati o sofisticati
  degli altri.
                                                       Accumulo di fattori di rischio                      aggredire gli utenti che hanno accesso
                                                                                                           a dati, sistemi e risorse più preziosi.
                                                       Livelli di rischio elevati in una di queste tre   • Bersagli principali: il rischio posto
  Le minacce comuni diffuse, senza distinzioni,        categorie sono motivo di preoccupazione             dagli utenti più colpiti e con privilegi
  benché più numerose di quelle avanzate,              e, nella maggior parte dei casi, portano            elevati può essere mitigato riducendone
  sono solitamente più facili da comprendere           a ulteriori livelli di sicurezza. Due o più         la vulnerabilità con una formazione
  e da bloccare. (Non lasciamoci trarre in             livelli di rischio elevato sono indice di           di sensibilizzazione alla sicurezza
  inganno, però, poiché possono provocare              un problema di sicurezza più urgente.               e best practice digitali. Le persone di
  danni altrettanto gravi).                                                                                questa categoria saranno esposte a
                                                       Le seguenti quattro categorie di utenti             innumerevoli attacchi. Basta che uno
  Altre minacce compaiono in un numero                 evidenziano il modo in cui le combinazioni          di essi abbia successo per causare
  esiguo di attacchi ma rappresentano                  di vulnerabilità, attacchi e privilegi              un danno duraturo all’azienda.
  un problema più serio, a causa del loro              influenzano il rischio complessivo.               • Bersagli imminenti: gli utenti con livelli
  livello di sofisticatezza o delle persone                                                                di rischio elevato per tutti e tre i fattori
  che colpiscono.                                                                                          costituiscono un pericolo immediato
                                                                                                           e critico e vanno perciò considerati
                                                                                                           come una priorità di sicurezza urgente.

                                                                                                                                                          5
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

                                                  CAPITOLO 1
                                                  Vulnerabilità
STEGANOGRAFIA                                     Un altro modo di pensare alle vulnerabilità è quello di chiedersi: “Se i miei utenti venissero
I criminali informatici utilizzano questa         colpiti da un attacco informatico, che probabilità avrebbero di restarne vittime?”
tecnica per nascondere il payload dannoso
in un file apparentemente innocuo, come           Alcune delle tecniche di attacco più efficaci del 2020 sono state anche quelle più mirate,
una foto o un file audio. Solitamente             usate in campagne che a volte comprendevano solo una manciata di email.
il payload è codificato in dei bit di dati
                                                  La STEGANOGRAFIA, ossia l’occultamento di codice dannoso in immagini e altri tipi di file,
altrimenti inutilizzati, che gli utenti non
                                                  è comparsa in pochissime campagne mirate. Nonostante ciò, la tecnica si è dimostrata
vedono e che sono difficili da rilevare con
                                                  molto efficace, inducendo tre destinatari su otto a fare clic*. Si tratta di un tasso di risposta
gli strumenti di analisi dei file e sandbox.
                                                  che farebbe invidia a qualsiasi criminale informatico, per non parlare di chi invia le email
Una volta sul computer della vittima, i dati
                                                  di marketing.
nascosti vengono decodificati e attivati.
CAPTCHA                                           Le tecniche CAPTCHA, che usano dei testi visuali per distinguere le persone dalle macchine,
Normalmente le tecniche CAPTCHA vengono           hanno ottenuto un numero di clic 50 volte superiore a quello dell’anno precedente.
usate come misura antifrode. Chiedendo            Benché il tasso di risposta complessivo sia stato un più modesto 5%, che ancora sarebbe
all’utente di eseguire un compito facile per un   un notevole successo nella maggior parte delle campagne di marketing via email, molti
essere umano ma difficile per una macchina,       più utenti sono caduti in questa trappola rispetto al 2019.
questa tecnica assicura che una persona,
non un robot automatico, stia accedendo
a un sito web. I criminali informatici lo usano
in modo analogo, benché più inquietante.
Ponendo un quesito CAPTCHA, si assicurano
che il malware si trovi nel sistema di un
utente reale e non in uno strumento di analisi
sandbox che potrebbe osservarne l’attività
illecita. Questa tecnica permette anche di
determinare la posizione dell’utente (in base
al suo indirizzo IP) per gli attacchi rivolti
a persone di un dato paese o regione.

                                                      La schermata di un codice CAPTCHA tratto da un attacco a tema COVID a maggio.

                                                  Non è chiaro perché gli utenti sono risultati più vulnerabili a una di queste tecniche.
                                                  Con lo stress subito nel 2020, i telelavoratori potrebbero essere stati più distratti
                                                  e impegnati a livello cognitivo. Forse alcuni di loro sono stati indotti, dai nuovi controlli
                                                  imposti dal telelavoro, a considerare il codice CAPTCHA come una normale verifica
                                                  di sicurezza.

                                                  *Nelle campagne che sono state attribuite.

6
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

       Tecniche con il maggior numero di clic per messaggio*                               Variazione anno su anno (media dei clic 2020 su 2019)*

La steganografia si è dimostrata molto efficace nelle poche                         Le tecniche CAPTCHA, che eludono gli strumenti di sicurezza
campagne mirate che hanno utilizzato questa tecnica.                                richiedendo l’interazione umana, hanno generato nel 2020
Anche gli attacchi che hanno sfruttato la vulnerabilità                             un numero di clic superiore di 50 volte rispetto al 2019.
CVE-2018-8174 di Windows si sono rivelati efficaci                                  Sono state utilizzate in diverse dozzine di campagne su larga scala.
e sono stati utilizzati in campagne più corpose e frequenti.
Steganografia                                                                       CAPTCHA

CVE-2018-8174                                                                       BlackTDS

                                                                                    Kit di exploit RIG
CMSTP
                                                                                    Elaborazione degli script XLS
BlackTDS
                                                                                    CVE-2018-8174
Java
                                                                                    HTML
Elaborazione degli script XLS
                                                                                    Protezione con password

VBS                                                                                 Java

JavaScript                                                                          Keitaro TDS

0%              10%                20%                 30%                  40%     0%       10%         20%    30%       40%       50%       60%       70%

                                                                                  In ogni caso, i criminali informatici sono stati rapidi nell’approfittarsi
                                                                                  degli utenti vulnerabili.
                                                                                  Il criminale informatico che abbiamo soprannominato TA542, che
                                                                                  ha prodotto il volume maggiore di attacchi del 2020, ha totalizzato
                                                                                  454 clic per campagna di attacco con un tasso di successo pari
TA542                                                                             a circa lo 0,1%. La mancanza di efficacia è stata compensata dal
Prima del suo smantellamento nel 2021, TA542 era diventato negli                  volume elevato di messaggi inviati (per maggiori informazioni
ultimi anni uno dei gruppi di criminali informatici più prolifici, con            su questo noto criminale informatico consultare il Capitolo 2:
campagne su larga scala utilizzando un ceppo di malware denominato                Attacchi). Un altro criminale informatico che sfrutta i volumi
Emotet. Il gruppo ha preso di mira numerosi settori in tutto il mondo,            elevati, TA576, ha raggiunto 568 clic per campagna con un tasso
inviando centinaia di migliaia (o forse milioni) di messaggi al giorno.           di successo analogo.

Emotet non si limita a compromettere i sistemi che infetta, ma li                 Per contro, alcuni degli hacker più efficaci, quelli con i tassi di
utilizza per lanciare nuovi attacchi inglobandoli in una rete di oltre un         successo più elevati, sono quelli che hanno inviato il minor numero
milione di macchine zombie infettate in modo analogo, denominata                  di messaggi.
botnet. Altri criminali informatici hanno usato l’infrastruttura botnet           Per esempio, il criminale informatico che indichiamo come TA407
di TA542 per attacchi di ogni genere.                                             ha avuto in media nel 2020 un clic ogni cinque email, uno dei tassi
                                                                                  di successo più elevati fra tutti quelli che monitoriamo. Questo
TA576                                                                             criminale informatico è stato molto selettivo, inviando solo qualche
Questo gruppo criminale si concentra soprattutto sugli attacchi a tema            decina di email in meno di 100 campagne in tutto il 2020, ed
fiscale. Nel 2020 ha lanciato solo due campagne, ma entrambe su                   è noto per le avanzate tecniche di social engineering che utilizza.
larga scala.

TA407
Conosciuto anche come Silent Librarian, Cobalt Dickens e Mabna
Institute, questo gruppo di criminali informatici opera in Iran.
Ha colpito varie università in Nord America ed Europa per appropriarsi
della loro proprietà intellettuale. Nel 2018 le autorità statunitensi hanno
incriminato nove presunti membri del gruppo per aver rubato dati
del valore di 3,4 miliardi di dollari.

                                                                                                                                                           7
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

                                 Per esempio, le sue campagne email usano i marchi delle università, siti web dall’aspetto
                                 professionale e le normali attività scolastiche (come il rinnovo dei prestiti bibliotecari) per
                                 indurre le vittime a rivelare le credenziali degli account.

                                                   Tasso medio di clic (per campagna)                                                                            Media dei clic rispetto alla media
                                                 per gli hacker con il più elevato numero                                                                         dei messaggi per campagna
                                                                di attacchi

                                                                                                Media dei clic rispetto alla media dei messaggi per campagna
                                                          1,5                                                                                                  0,25

                                                          1,2                                                                                                   0,2

                                   Clic per 1.000 email
                                                          0,9                                                                                                  0,15

                                                          0,6                                                                                                   0,1

                                                          0,3                                                                                                  0,05

                                                          0,0                                                                                                    0
                                                                TA542 TA567 TA544 TA505 TA800                                                                         TA407 TA4561 TA4557 TA556 TA2718

                                                                                        Clic per campagna

                                                          600

                                                          500

                                                          400
                                  Media dei clic

                                                          300

                                                          200

                                                          100

                                                            0
                                                                TA567 TA542 TA568 TA570 TA569 TA543 TA556 TA2718 TA800 TA505

8
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

Utenti alla prova: le percentuali di insuccesso
nelle simulazioni di phishing
Un altro modo di valutare la vulnerabilità è quello delle esercitazioni tramite simulazioni
di attacchi di phishing. Queste simulazioni di attacchi rivelano le esche e le tattiche a cui
le persone hanno le maggiori probabilità di soccombere nel mondo reale e nelle normali
condizioni lavorative.

Il nostro report annuale State of the Phish ha analizzato il modo in cui gli utenti hanno
reagito a più di 60 milioni di email di simulazioni di attacchi di phishing nei 12 mesi
del 2020. Confrontando le percentuali medie di insuccesso (le percentuali di utenti
che abboccano all’esca) si vede come e dove gli utenti potrebbero essere più vulnerabili.

Ecco alcuni dei principali risultati del report:

Percentuali di insuccesso per tipo di modello
Ciascuna email di “phishing” viene creata a partire da modelli che consentono di usare
attacchi dagli stili, temi e inganni più svariati. Benché i modelli varino quanto le minacce
del mondo reale, ricadono in tre categorie principali:

• Phishing basato sui link (includono un URL non sicuro che reindirizza gli utenti verso
  malware e siti web pericolosi)
• Phishing basato sull’immissione dei dati (conducono l’utente a una pagina di accesso
  falsificata al fine di sottrargli credenziali e dati personali)
• Phishing basato sugli allegati (includono un file pericoloso)
In media2 1 utente su 5 fa clic sulle email contenenti gli allegati. Si tratta della media più
alta fra i tre modelli, una percentuale di insuccesso nelle simulazioni che supera gli altri
due tipi messi insieme.

                Tipi dei modelli di phishing: Percentuali medie di insuccesso

                      12%                             4%
                                                                                                    20%

               Link                            Inserimento                            Allegato
                                                   dati

2 Per evitare di assegnare un peso eccessivo alle grandi aziende, abbiamo calcolato punteggi medi
  per cliente anziché per singolo utente.

                                                                                                      9
Cybersecurity, ransomware e frodi via email nell'anno che ha cambiato il mondo - proofpoint.com/it
IL FATTORE UMANO 2021 | REPORT

                                               Percentuali di insuccesso per settore
     I settori più vulnerabili                                                I dipartimenti interni più vulnerabili
     Le percentuali di insuccesso nelle simulazioni di attacchi               Le percentuali di insuccesso a livello di settore in sé non sono
     di phishing indicano che gli utenti di alcuni settori sono più           sufficienti per identificare i ruoli e i gruppi che faticano di più in
     vulnerabili di altri.                                                    questo senso. I criminali informatici spesso colpiscono caselle e alias
                                                                              email specifici. Le percentuali di insuccesso a livello di dipartimento
     Gli utenti dei settori di ingegneria, telecomunicazioni,                 offrono una visione più dettagliata sui potenziali punti deboli.
     estrazione mineraria e istruzione, per esempio, sono più inclini
     a farsi ingannare. Per contro, gli utenti dei settori alberghiero/       I dipartimenti IT, acquisti, ricerca e sviluppo, imposte fiscali, risorse
     tempo libero e intrattenimento/media sono più difficili da trarre        umane e revisione contabile sono i meno inclini a lasciarsi trarre
     in inganno.                                                              in inganno dalle email che simulano degli attacchi di phishing.
                                                                              Servizi, manutenzione, qualità e ingegneria sono quelli con
     (Nota: i settori rappresentati in questo grafico includono i dati di     maggiori probabilità di cadere nella trappola.
     almeno 15 aziende e di almeno 150.000 simulazioni di attacchi).
                                                                              (Nota: i settori del grafico includono i dati di almeno 15 aziende
                                                                              e di almeno 150.000 simulazioni di attacchi).

                      Percentuale media di insuccesso per settore                         Percentuale media di insuccesso per dipartimento

     Hospitality/Tempo libero: 9%              Percentuale media              Acquisti: 7%                           Percentuale media
                                               di insuccesso dell’11%                                                di insuccesso dell’11%
     Legale: 9%                                                               Information Technology: 8%

     Intrattenimento/Media: 9%                                                Ricerca e sviluppo: 8%

     Automobilistico: 10%                                                     Fisco: 9%

     Alimenti e Bevande: 10%                                                  Risorse Umane: 9%

     Sanità: 10%                                                              Revisione: 10%

     Pubblica Amministrazione: 11%                                            Operazioni: 10%

     Industria manifatturiera: 11%                                            Servizio clienti: 10%

     Servizi finanziari: 11%                                                  Contabilità: 10%

     Servizi commerciali: 11%                                                 Magazzino: 11%

     Tecnologia: 11%                                                          Supply chain: 11%

     Edilizia: 11%                                                            Vendite: 11%

     Vendita al dettaglio: 11%                                                Finanza: 11%

     Trasporti: 12%                                                           Servizi amministrativi: 12%

     Assicurazioni: 12%                                                       Sicurezza: 12%

     Energia/Pubblica utilità: 12%                                            Marketing: 12%

     Formazione: 13%                                                          Progettazione: 13%

     Estrazione mineraria: 13%                                                Qualità: 14%

     Telecomunicazioni: 14%                                                   Manutenzione: 15%

     Progettazione: 16%                                                       Strutture e servizi: 17%

     0%                   5%             10%               15%          20%   0%                  5%           10%               15%           20%

10
IL FATTORE UMANO 2021 | REPORT

                                                             CAPITOLO 2
                                                             Attacchi
                                                             Ransomware in crescita
                                                             Secondo le cifre del governo statunitense3, l’anno scorso gli attacchi di RANSOMWARE sono
                                                             aumentati del 300%. Nella prima metà del 2021, il problema si è intensificato ulteriormente
                                                             con gli attacchi contro Colonial Pipeline, JBS Foods e il sistema di sanità pubblica
                                                             irlandese (HSE, Health Service Executive), a dimostrazione che gli autori di ransomware
                                                             possono davvero mettere in pericolo le infrastrutture critiche in tutto il mondo.
RANSOMWARE
Questo tipo di malware blocca i dati delle vittime           Certamente gli attacchi ransomware continuano a utilizzare il canale email, ma molte
crittografandoli, poi chiede il pagamento di                 cose sono cambiate dal 2016, anno in cui Locky ha invaso milioni di caselle email.
un riscatto per sbloccarli con una chiave                    Invece di essere inviato come payload virale principale in campagne di email dannose,
di decrittografia.                                           il ransomware è ora più spesso scaricato da un malware già presente in un sistema
                                                             o distribuito tramite un accesso RDP (Remote Desktop Protocol) o una rete privata virtuale
                                                             (VPN). Tuttavia, l’email continua a giocare un ruolo chiave in questi attacchi, in quanto
                                                             è il vettore utilizzato per distribuire la maggior parte del malware della prima fase, che
                                                             viene poi sfruttato per scaricare il ransomware.

                                                             I criminali informatici responsabili di questi loader e trojan agiscono poi come intermediari
                                                             e facilitatori per consentire agli autori degli attacchi di ransomware di utilizzare delle
                                                             backdoor nei sistemi infetti in cambio di una parte dei profitti. Invece di privilegiare
                                                             campagne su larga scala poco redditizie, gli autori di attacchi ransomware attualmente
                                                             preferiscono operazioni di “caccia grossa”, che coinvolgono le aziende più grandi che
                                                             hanno molto più da perdere e sono quindi più disposte a pagare.

                                                             3   James Rundle e David Uberti (Wall Street Journal), “How Can Companies Cope with Ransomware?”
                                                                 (Come possono le aziende affrontare il ransomware), maggio 2021.

                                                     Messaggi dannosi da ceppi di malware associati al ransomware
          3,5

          3,0

          2,5

          2,0
Milioni

          1,5

          1,0

          0,5

            0
          02/01/2020   02/02/2020 02/03/2020   02/04/2020   02/05/2020   02/06/2020   02/07/2020   02/08/2020    02/09/2020    02/10/2020   02/11/2020   02/12/2020
                                   Emotet      The Trick    BazaLoader      Qbot      SDBbot       Dridex       Zloader       Buer     Phorpiex
                                                                                                                                                                      11
IL FATTORE UMANO 2021 | REPORT

                                 Dato questo cambiamento di strategia, il nostro gateway email ha rilevato pochi
                                 ransomware. Di fatto, un singolo ceppo denominato Avaddon rappresenta circa il 95%
                                 di tutti i payload di ransomware della prima fase per l’anno 2020. Per contro, diversi
                                 payload della prima fase, come The Trick, Dridex e Qbot, sono serviti come punto
                                 d’ingresso per una successiva infezione di ransomware: tutti e tre sono stati utilizzati nelle
                                 campagne più grandi in termini di volume osservate lo scorso anno. Complessivamente,
                                 nel 2020 abbiamo identificato più di 48 milioni di messaggi contenenti malware in grado
                                 di scaricare ransomware o altri payload secondari.

                                 Il malware distribuito per l’accesso iniziale non scarica semplicemente un ceppo specifico
                                 di ransomware. Dalle nostre osservazioni e da quelle di altri ricercatori4, le relazioni sono
                                 molto più complesse e disparate di quanto sembri.

                                                  MALWARE                                                      RANSOMWARE

                                                   The Trick                                                    WastedLocker

                                                                                                                     Ryuk
                                                 BazaLoader

                                                                                                                    Egregor
                                                  SocGholish
                                                                                                                     Maze

                                                     IcedID
                                                                                                                  Sodinokibi

                                                      Qbot                                                          ProLock

                                           Campioni di payload di accesso iniziale distribuiti da criminali informatici
                                                 e ransomware associati distribuiti dopo l’accesso iniziale

                                 Se la rete di relazioni tra le organizzazioni di criminali informatici è complessa, la sequenza
                                 di eventi in un tipico attacco ransomware via email non lo è: l’infezione iniziale con un
                                 loader o un Trojan dei servizi bancari lascia l’azienda vulnerabile agli autori degli attacchi
                                 ransomware che cercano obiettivi di valore elevato. Per la maggior parte delle aziende,
                                 la prima linea di difesa contro il ransomware è rappresentata dalla protezione contro
                                 l’infezione iniziale.

                                 In altre parole, è necessario bloccare il loader per bloccare il ransomware.

                                 4 Clifford Krauss (The New York Times), “How the Colonial Pipeline Became a Vital Artery for Fuel”
                                   (Come Colonial Pipeline è diventata un’arteria vitale per l’approvvigionamento di carburante), maggio 2021.

12
IL FATTORE UMANO 2021 | REPORT

                                                        Stati chiave delle presidenziali americane:
Benché i criminali
informatici non abbiano
                                                        attacchi legati al tema delle elezioni
                                                        La maggior parte dei ricercatori aveva previsto che le elezioni statunitensi del 2020
usato esche a tema                                      avrebbero rappresentato una grande opportunità per i criminali informatici, alcuni dei
elettorale finché l’evento                              quali avrebbero seminato disinformazione, mentre altri avrebbero usato le elezioni come
                                                        ispirazione per il social engineering delle email.
non è entrato nel vivo
nell’autunno del 2020,                                  Ed è proprio quanto è successo. Benché i criminali informatici non abbiano usato esche a
                                                        tema elettorale finché l’evento non è entrato nel vivo nell’autunno del 2020, per tutto l’anno
per tutto l’anno non hanno                              non hanno esitato a prendere di mira le aziende legate alle elezioni.
esitato a prendere di mira le
                                                        I criminali informatici spinti da motivazioni economiche e i gruppi sponsorizzati dagli stati,
aziende legate alle elezioni.                           hanno preso di mira le aziende legate direttamente e indirettamente alle elezioni. I loro
                                                        attacchi hanno preso di mira tutti i livelli del governo e della politica: enti locali, statali
                                                        e federali fino ai comitati di azione politica.

                                                        Le truffe a tema politico o elettorale hanno colpito numerosi settori negli Stati Uniti,
                                                        raggiungendo un picco nell’ottobre 2020 prima di calare il 3 novembre, all’indomani
                                                        delle elezioni. Tra i temi utilizzati, i seguenti:

                                                        • Lo stato di salute dell’allora presidente Donald Trump
                                                        • DNC (Comitato nazionale democratico)
                                                        • EAC (Commissione americana di assistenza elettorale)
                                                        • Iscrizione degli aventi diritto al voto

PRINCIPALI CARATTERISTICHE

• Sfrutta un argomento che suscita spesso
  forti emozioni.
• Imita il dominio email dell’EAC.
• Utilizza il sigillo presidenziale degli Stati Uniti
  per dare un tocco di autorevolezza.
• Include un URL pericoloso, camuffato da sito
  web di iscrizione.

                                                                Email truffaldina che si spaccia per la commissione di assistenza elettorale.

                                                                                                                                                      13
IL FATTORE UMANO 2021 | REPORT

                                               Sfruttamento dei thread di discussione
                                               Una campagna ha preso di mira i funzionari responsabili della gestione delle elezioni
                                               e della pianificazione delle infrastrutture elettorali. I criminali informatici hanno usato
                                               il metodo di HIJACKING DEL THREAD DI DISCUSSIONE.
HIJACKING DEL THREAD DI DISCUSSIONE
Dopo aver preso il controllo dell’account      Alcune campagne di malware, come EMOTET, e alcuni attacchi di URSNIF, si inseriscono
email di un utente, il criminale informatico   automaticamente nei thread di discussione esistenti. La tecnica funziona nel modo seguente.
può fare ciò che vuole con la casella email
                                               1. Il malware analizza le email di una casella inbox compromessa.
della vittima. Con un tale controllo,
l’autore dell’attacco può rispondere alle      2. Quando identifica la dicitura “re:” nell’oggetto di un messaggio email, invia agli altri utenti
conversazioni passate e in corso iniettando       nel thread di discussione un messaggio che sembra provenire dall’utente compromesso.
un’email dannosa. Poiché i destinatari         3. Dato che l’email proviene apparentemente da qualcuno di cui gli altri partecipanti si
conoscono il mittente e si fidano e,              fidano, e con il quale interagiscono, i destinatari hanno maggiori probabilità di cadere
soprattutto, hanno interagito attivamente         nella trappola.
con la persona, questa tecnica può essere
molto efficace.
Alcuni ceppi di malware sono ora in grado
di automatizzare l’hijacking del thread di
                                               Campagna “Proud Boys”
discussione per applicare il social            Un’insolita campagna di minacce via email incentrata sulle elezioni è stata presumibilmente
engineering su vasta scala.                    lanciata dal violento gruppo di odio ed estrema destra Proud Boys contro gli elettori
                                               democratici della Florida.
EMOTET
Prima che ne venisse smantellata               Messaggi con oggetto “Vote for Trump or else!” (Vota per Trump altrimenti...)
l’infrastruttura nel 2021, Emotet era il       minacciavano un atto di violenza nel caso in cui il destinatario non avesse obbedito.
malware più distribuito nel mondo. È stato     Le email contenevano un collegamento a un video tipico dei Proud Boys che ritraeva
uno dei primi gruppi a passare dalla sua       una persona nell’atto di compilare l’iscrizione al registro degli elettori e la scheda del voto
funzione primaria, ovvero il furto delle       per procura relative ai cittadini dell’Alaska. Questa campagna era in netto contrasto con
credenziali bancarie, alla funzione di         la tipica attività delle minacce informatiche legata alle elezioni, date le minacce minacce
intermediario di accesso per altri criminali   palesi e l’incitamento alla violenza fisica.
informatici, come quelli che distribuiscono
Dridex e Qbot.                                 Anche se i membri del gruppo Proud Boys sono noti per gli attacchi violenti contro la
                                               sinistra, le autorità e le società di sicurezza affermano che le email provenivano in realtà
URSNIF
                                               da criminali informatici al soldo dell’Iran.
Ursnif è un trojan dei servizi bancari
ampiamente utilizzato. Si è evoluto dal
ceppo di malware Gozi, il cui codice
sorgente fu divulgato nel 2015. Ursnif
è la più nota fra le varianti di Gozi,
che includono Dreambot, ISFB e Papras.

14
IL FATTORE UMANO 2021 | REPORT

                                                  La febbre elettorale contagia anche Emotet
                                                  Anche Emotet, che è all’origine della più grande campagna di minacce dell’anno in
                                                  termini di volume, ha utilizzato esche legate alle elezioni a partire dall’ottobre 2020. TA542,
                                                  il collettivo alle spalle di Emotet, ha intrapreso varie attività legate alle elezioni tra cui:

                                                  • Furto dell’identità del DNC
                                                  • Incoraggiamento a fare volontariato durante la campagna elettorale
                                                  • Supporto alle organizzazioni politiche

                                                  (Per maggiori informazioni su Emotet, consultare la sezione “L’identikit dei principali
                                                  gruppi di criminali informatici” a pagina 27).

                                                                           Un attacco di Emotet che sfrutta le elezioni.

                                                  Emotet non ha colpito persone o aziende specifiche coinvolte nella procedura elettorale,
                                                  ma ha sfruttato l’interesse per le elezioni e gli eventi correlati per creare esche che
                                                  potessero interessare una vasta platea in diversi settori.

MALWARE COMUNE
Per malware comune si intendono gli
                                                  COVID-19: lo sfruttamento della pandemia da
strumenti più diffusi, a disposizione di tutti
e utilizzati da numerosi criminali informatici.   parte dei criminali informatici
Benché questo tipo di malware sia noto
                                                  Il COVID-19 ha stravolto le routine lavorative e familiari della maggior parte di tutti noi.
e facilmente bloccato dagli strumenti di
                                                  In questo nuovo ambiente sconosciuto è fondamentale stabilire in che modo gli utenti
sicurezza, i criminali informatici lo usano
                                                  vengono attaccati e, se possibile, chi c’è dietro gli attacchi.
spesso in modo ingegnoso e in campagne
su larga scala. Questo malware può quindi         I criminali informatici sfruttano continuamente l’attualità per creare le loro email
essere tanto dannoso quanto le minacce            fraudolente, ma il 2020 è stato forse il primo caso in cui tutti gli hacker hanno puntato
più avanzate e mirate.                            contemporaneamente sulle stesse tematiche. Mentre l’attenzione del mondo era totalmente
MINACCE PERSISTENTI AVANZATE (APT)                assorbita dalle notizie sulla pandemia, l’ecosistema delle minacce informatiche nella sua
Questo tipo di minacce viene usato                totalità si muoveva in parallelo verso gli stessi contenuti tematici.
generalmente nello spionaggio per conto di
                                                  Dagli spammer agli utilizzatori del MALWARE COMUNE, dai criminali informatici su vasta
uno stato, benché nella categoria ricadano
                                                  scala fino alle MINACCE PERSISTENTI AVANZATE (APT), praticamente tutti hanno abbracciato
anche i criminali informatici più sofisticati.
                                                  il COVID-19 come contenuto preferito per il social engineering. Abbiamo identificato quasi
Questi attacchi sono solitamente finalizzati
                                                  250 milioni di messaggi mirati associati al COVID-19 e altri miliardi da campagne di spam
al furto di proprietà intellettuale o denaro
                                                  e attacchi più generali.
oppure puntano a interrompere
o danneggiare dati e sistemi.

                                                                                                                                                 15
Sfruttamento di                                                                       La pandemia di COVID-19 è un perfetto esempio di come i criminali informatici adattano le loro tattiche in tempo reale per speculare sulla paura,
                                                                                                                    i dubbi e le insicurezze delle vittime.

                              una crisi sanitaria                                                                   Qui di seguito una linea temporale delle principali tappe fondamentali della crisi sanitaria mondiale e la risposta dei criminali informatici.

                                                                                                       7 marzo
                                      19 gennaio                                                       I cittadini statunitensi
                                                                                                       vengono colpiti da email
                                      Gli attacchi rivolti
                                                                                                       che sembrano provenire
                                      contro gli utenti in
                                                                                                       dall’azienda "Mobility                                                       Aprile
                                      Giappone sfruttano il
                                                                                                       Research Inc" in cui si chiede
Attacchi degni di nota

                                      tema COVID-19 per                                                                                                                             I cittadini statunitensi ricevono
                                                                                                       ai destinatari un aiuto per
                                      indurre i destinatari                                                                                                                         email di phishing, provenienti
                                                                                                       trovare una cura per il
                                      ad aprire documenti                                                                                                                           all’apparenza dal “Federal
                                                                                                       coronavirus partecipando a                                                                                                                                                                                                                                 19 gennaio 2021
                                      Microsoft Word                                                                                                                                Reserve System”, con un link a
                                                                10 febbraio                            un progetto Folding@Thome.
                                      infetti. Le email                                                                                                                             un sito web dall’aspetto ufficiale                                                                                                                                            Le email che prendono di
                                                                                                       L’email imita il progetto
                                      fanno parte di            Email a tema                                                                                                        che richiede ai destinatari di                                                                                                                                                mira le persone negli Stati
                                                                                                       Folding@Home legittimo,
                                      una campagna                                                                                                                                  inserire le credenziali bancarie                                                                                                                                              Uniti e in Canada promettono
                                                                COVID-19 inviate a                     che utilizza i cicli di calcolo
                                      più ampia che                                                                                                                                 per effettuare i pagamenti                                                                                                                                                    dosi di vaccino Pfizer-
                                                                obiettivi in Giappone.                 di riserva sui computer degli
                                      distribuisce il ceppo                                                                                                                         sollecitati. Il sito è stato                                                                                                                                                  BioNTech ai destinatari che,
                                                                                                       utenti per la ricerca medica.
                                      di malware Emotet.        Le email inviate ai                                                                                                 impostato per sottrarre le                                                                                                                                                    una volta fatto clic sull'URL,
                                                                                                       Invece di utilizzare l’app reale
                                                                destinatari in Italia,                                                                                              credenziali dalle principali                                                                                                                                                  vengono indirizzati su una
                                                                                                       Folding@Home per aiutare
                                                                duramente colpita,                                                                                                  banche statunitensi.                                                                                                                                                          pagina di autenticazione
                                                                                                       la ricerca sul COVID-19,
                                                                promettono aggiornamenti                                                                                                                                                                                                                                                                          Microsoft 365 fasulla,
                                                                                                       i destinatari che fanno clic
                                                                sulla pandemia. Le email                                                                                                                                                                                                                                                                          progettata per rubare le loro
                                                                                                       sull’URL ricevono il malware
                                                                includono un allegato                                                                                                                                                                                                                                                                             credenziali di accesso.
                                                                                                       RedLine, che ruba le
                                                                Microsoft Word che
                                                                                                       credenziali di accesso
                                                                contiene un URL che
                                                                                                       e scarica altro malware.
                                                                porta a una pagina
                                                                di phishing di furto
                                                                delle credenziali.
                                                                                                                                                                                              Volume delle email dannose legate alla pandemia

                                          GENNAIO                 FEBBRAIO                         MARZO                         APRILE                      MAGGIO             GIUGNO                 LUGLIO                       AGOSTO                   SETTEMBRE                   OTTOBRE                   NOVEMBRE                   DICEMBRE                       GENNAIO

                                    9                         3                            6                              11                            1                                       22                             7                           8                        2                           16                         11
                                    L'Organizzazione          Gli Stati Uniti dichiarano   21 passeggeri di una nave      I primi assegni di            Il Remdesivir                           Il dipartimento della salute   Si arenano le discussioni   L’università di Oxford   Il presidente degli Stati   La Food and Drug           L’FDA approva il
                                    Mondiale della            l’emergenza sanitaria        da crociera della California   sostegno vengono              riceve dall’FDA                         dei cittadini (U.S. Health     sul secondo pacchetto       e AstraZeneca bloccano   Uniti e la first lady       Administration (FDA)       vaccino COVID-19
                                    Sanità (OMS)              pubblica.                    risultano positivi al test.    depositati nei conti          l’autorizzazione per                    and Human Services-            di aiuti.                   la terza fase di         positivi al COVID-19;       degli Stati Uniti          di Pfizer-BioNTech
                                    annuncia una                                                                          bancari dei beneficiari       l’uso di emergenza.                     HHS) e il Dipartimento                                     sperimentazione del      Trump entra in ospedale.    promette di velocizzare    per l’uso di emergenza.
                                    misteriosa
                                    polmonite da
                                                              25                           11                             statunitensi.                                                         della Difesa annunciano
                                                                                                                                                                                                un accordo con Pfizer
                                                                                                                                                                                                                                                           loro vaccino per una
                                                                                                                                                                                                                                                           sospetta reazione
                                                                                                                                                                                                                                                                                                                l’approvazione dei
                                                                                                                                                                                                                                                                                                                vaccini Pfizer e Moderna
                                    coronavirus a
                                                              Il CDC afferma che           L’OMS dichiara lo stato di                                                                           e BioNTech per la                                          avversa su un
                                                                                                                                                                                                                                                                                    12                          per l’uso di emergenza.    14
Tappe fondamentali della pandemia

                                                              il COVID-19 si sta           pandemia per COVID-19.
                                    Wuhan, in Cina.                                                                                                                                             consegna di 100 milioni                                    partecipante.                                                                   Sandra Lindsay,
                                                              trasformando                                                                                                                                                                                                          Johnson & Johnson

                                    20
                                                              in pandemia.
                                                                                           13                                                           28                                      di dosi dei loro vaccini
                                                                                                                                                                                                COVID-19.
                                                                                                                                                                                                                                                                                    fermano la terza fase                                  un’infermiera di terapia

                                    Tre aeroporti - JFK                                    Gli Stati Uniti dichiarano                                   Le morti per COVID-19
                                                                                                                                                        negli Stati Uniti
                                                                                                                                                                                                                                                           21                       di sperimentazione del
                                                                                                                                                                                                                                                                                    loro vaccino dopo un
                                                                                                                                                                                                                                                                                                                                           intensiva, è la prima
                                                                                                                                                                                                                                                                                                                                           cittadina statunitense
                                                                                           l’emergenza nazionale per                                                                                                                                       Inizia la terza fase     malore inspiegabile di                                 a essere vaccinata.
                                                                                                                                                                                                27
                                    a New York, San                                                                                                     superano la soglia
                                                                                           il COVID-19, sbloccando                                                                                                                                         di sperimentazione       uno dei partecipanti.
                                    Francisco e Los
                                    Angeles - iniziano                                     miliardi di dollari di aiuti                                 di 100.000.
                                                                                                                                                                                                Inizia la terza fase di
                                                                                                                                                                                                                                                           per il vaccino                                                                  18
                                    lo screening per
                                    il coronavirus dei
                                                                                           federali. Entra in vigore
                                                                                           il divieto di viaggio per
                                                                                                                                                                                                sperimentazione per
                                                                                                                                                                                                il vaccino Moderna.
                                                                                                                                                                                                                                                           Johnson & Johnson.
                                                                                                                                                                                                                                                                                    15                                                     L’FDA approva il
                                                                                                                                                                                                                                                                                                                                           vaccino Moderna per
                                                                                           i cittadini non statunitensi                                                                                                                                                             I casi negli Stati Uniti
                                    viaggiatori in arrivo.                                                                                                                                                                                                                                                                                 l’uso di emergenza.
                                                                                           in arrivo dall'Europa.
                                                                                                                          29                                                                                                                                                        aumentano ancora
                                                                                                                                                                                                                                                                                    con 60.000 nuovi casi
                                    21                                                     19                             Una sperimentazione
                                                                                                                          del National Institutes of
                                                                                                                                                                                                                                                                                    di COVID-19 segnalati,
                                                                                                                                                                                                                                                                                    numero che non                                         29
                                    Il CDC (Centers for                                    La California emette la        Health (NIH) mostra alcuni                                                                                                                                veniva raggiunto                                       Viene distribuita la
                                    Disease Control)
                                                                                           prima ordinanza statale in     primi risultati promettenti                                                                                                                               dall’inizio di agosto.                                 seconda tornata di
                                    conferma il
                                                                                           cui si chiede ai cittadini     per il farmaco Remdesivir.                                                                                                                                                                                       assegni di sostegno
                                    primo caso di
                                    coronavirus
                                                                                           di restare a casa.
                                                                                                                                                                                                                                                                                    23                                                     negli Stati Uniti.
                                    negli Stati Uniti.
                                                                                           26                                                                                                                                                                                       Con decisioni separate,
                                                                                                                                                                                                                                                                                    AstraZeneca e Johnson
                                    31                                                     Il Congresso degli Stati
                                                                                           Uniti approva il CARES
                                                                                                                                                                                                                                                                                    & Johnson riprendono
                                                                                                                                                                                                                                                                                    le sperimentazioni sui
                                    L’OMS dichiara                                         Act, che stanzia
                                    l’emergenza                                                                                                                                                                                                                                     rispettivi vaccini.
                                                                                           2,3 trilioni di dollari per
                                    sanitaria globale.                                     ospedali, piccole aziende
                                                                                           e governi locali e statali.
                                                                                           Viene convertito in legge
                                                                                           il giorno successivo.

                                     16                                                                                                                                                                                                                                                                                                                                                   17
IL FATTORE UMANO 2021 | REPORT

                                                    La pandemia COVID-19 rappresenta la più grande crisi sanitaria pubblica degli ultimi
                                                    100 anni. La rapida diffusione del virus nel mondo ha forzato le aziende di tutti i tipi ad
                                                    adattarsi. Le aziende hanno rapidamente adottato nuove policy e tecnologie per garantire
                                                    la sicurezza dei lavoratori e la sopravvivenza dell’impresa.

                                                    Ma altrettanto rapidamente si sono adattati anche i criminali informatici. La paura
VETTORE DI INFEZIONE                                e l’incertezza create dalla situazione sanitaria ed economica, abbinate al rapido passaggio
Un vettore di infezione è il canale di              al telelavoro, hanno creato le condizioni ideali per una maggiore efficacia degli attacchi
distribuzione dell’attacco. L’email è il vettore    informatici. A partire da metà marzo 2020, circa l’80% di tutte le minacce monitorate
di infezione preferito dalla maggior parte          giornalmente utilizzava temi legati al COVID-19.
degli attacchi informatici più recenti.
                                                    I VETTORI DELLE INFEZIONI, i PAYLOAD e il volume aggregato dei messaggi in questione sono
PAYLOAD                                             rimasti fondamentalmente invariati. I criminali informatici hanno continuato a inviare le
Il payload (“carico virale”) è il malware che       stesse campagne di phishing e malware in quantità e ad intervalli consueti. Una cosa però
il criminale informatico intende infiltrare nel     è cambiata: la forza lavoro e le normali attività professionali sono state completamente
sistema della vittima. Non ha niente a che fare     sconvolte. Questo ha portato a una superficie d’attacco più vasta e, di conseguenza,
con il codice dannoso usato come punto              tassi di infezione più alti.
di accesso iniziale nel sistema, alle tecniche
di distribuzione o al social engineering che
induce le persone a scaricarlo e attivarlo.         Il risveglio primaverile
                                                    Nelle prime fasi della pandemia, le truffe cercavano di provocare una reazione emotiva.
                                                    Molte proponevano aggiornamenti sulle modifiche alle policy aziendali, alle normative del
                                                    governo o alle regole per stare al sicuro. Per esempio, alcuni criminali informatici si sono
                                                    spacciati per l’Organizzazione Mondiale della Sanità, promettendo informazioni sul virus.

PRINCIPALI CARATTERISTICHE

• Utilizza un dominio email simile a quello vero,
  per sembrare una comunicazione proveniente
  dall’OMS.
• Il nome dell’allegato richiama il tema
  dell’email.
• Offre delle informazioni basilari sul COVID-19
  per dare legittimità al messaggio.
• Utilizza il logo dell’OMS per mascherare
  ulteriormente la sua provenienza.

                                                                            Email di phishing che si spaccia per l’OMS.

18
IL FATTORE UMANO 2021 | REPORT

                                                      Il profumo dei soldi
                                                      Mentre i governi iniziavano a discutere le misure di sostegno per evitare il collasso
                                                      economico, gli attacchi cominciavano a sfruttare l’idea dei pagamenti in contanti
                                                      a persone e imprese.

PRINCIPALI CARATTERISTICHE

• Utilizza lo spoofing del nome visualizzato
  e una riga dell’oggetto per attirare l’attenzione
  del destinatario con la promessa di un
  aiuto economico.
• Include una scadenza per trasmettere
  un senso di urgenza.
• Il nome dell’allegato ricorda il tema                       Email di phishing che promette un sussidio economico legato al COVID-19.
  dell’aiuto economico.

                                                      Le regole d’oro
                                                      Poi, mentre i governi emettevano nuovi decreti e linee guida, il contenuto delle esche
                                                      si è concentrato sulle misure da seguire.

PRINCIPALI CARATTERISTICHE

• Crea un senso di urgenza e pericolo in modo
  che i lettori agiscano d’istinto.
• Imita il dominio email dell’OMS.
• Il nome dell’allegato rinforza il senso di paura
  e pericolo.
• Utilizza il logo dell’OMS per sembrare ufficiale.
• Fornisce informazioni reali sul COVID-19
  per rafforzare l’apparente autorevolezza
  dell’email.

                                                                  Email di phishing che si spaccia per una comunicazione dell’OMS
                                                                   per spiegare le misure da rispettare per combattere il COVID-19.

                                                                                                                                               19
IL FATTORE UMANO 2021 | REPORT

                                                     L’espansione parallele della pandemia e delle tattiche impiegate
                                                     La diffusione della pandemia è arrivata a colpire pressoché tutti e ogni aspetto della vita
                                                     quotidiana. Le esche utilizzate dai criminali informatici sono diventate sempre più varie
                                                     e sofisticate. Gli attacchi hanno tentato di ingannare le vittime con avvisi di consegna
                                                     della spesa, previsioni sulle terapie anti-COVID-19 e notizie sulla perdita dei posti di lavoro,
                                                     tutto rigorosamente falso.

PRINCIPALI CARATTERISTICHE

• Imita il dominio email di EMS, la casa
  farmaceutica più grande del Brasile.
• Utilizza un argomento d’attualità e carico di
  emotività per attirare l’attenzione del lettore.
• Esorta il destinatario ad agire velocemente
  per far entrare in corto circuito il processo
  cognitivo decisionale.
• Include un allegato pericoloso camuffato
  da normale modulo commerciale.

                                                            Email di phishing che promette informazioni sulle terapie contro il COVID-19.

                                                     Anno nuovo, stessi temi
                                                     Nel 2021 la pandemia e la reazione globale sono migliorate. Eppure, i criminali informatici
                                                     continuano a usare i temi legati al COVID-19, come hanno fatto di recente con false email
                                                     di conferma degli appuntamenti per il vaccino.

                                                     Qualunque cosa ci riservi il 2021, è probabile che il COVID-19 continuerà a essere un tema
                                                     molto utilizzato ed efficace negli attacchi.

PRINCIPALI CARATTERISTICHE

• Utilizza lo spoofing del nome visualizzato
  per sembrare un’email proveniente dal CDC.
• Il file HTML allegato è in realtà un sito per
  il phishing delle credenziali di accesso.
• Promette un rapido accesso a una risorsa
  limitata in quel momento (in questo caso,
  il vaccino contro il COVID-19).
• Utilizza il logo del CDC per mascherare
  ulteriormente la sua provenienza.
                                                               Email di phishing per il furto delle credenziali che afferma di provenire
                                                                              dal Centro per il Controllo delle Malattie.

20
IL FATTORE UMANO 2021 | REPORT

                                                         Tipi di attacchi
                                                         Il PHISHING DELLE CREDENZIALI DI ACCESSO, che prenda di mira gli individui o le aziende,
                                                         è stato di gran lunga la forma di attacco più comune, superando tutte le altre messe
                                                         insieme. Più della metà di tutte le minacce via email del 2020 erano tentativi di phishing
    PHISHING DELLE CREDENZIALI                           delle credenziali.
    DI ACCESSO
    Il phishing delle credenziali di accesso             Il furto di nomi utente e password può infatti portare a una vasta gamma di attività
    consiste nell’indurre qualcuno a fornire             criminali, dalla frode finanziaria allo spionaggio informatico.
    i propri dati di accesso a un account, in modo
    che i criminali informatici possano accedere         Altri tipi di attacco includono quelli che prendono di mira i sistemi finanziari, scaricano
    a conti correnti, dati personali, account            altro malware, trasformano i sistemi infettati in botnet e rubano informazioni sensibili.
    aziendali e molto altro. Benché il phishing
    delle credenziali possa usare diverse tecniche
    di social engineering, normalmente sfrutta
    l’email. Il criminale informatico si finge un
                                                         BEC
    marchio rispettabile o per una persona               Un altro tipo di frode via email, la VIOLAZIONE DELL’EMAIL AZIENDALE (BEC, Business Email
    appartenente all’azienda della vittima e invia       Compromise), è una delle minacce che arrecano i maggiori danni economici a imprese di
    un’email che include un collegamento oppure          tutte le dimensioni e di tutti i settori. Queste truffe sono costate ad aziende e individui circa
    una pagina di accesso fasulla. Quando                1,8 miliardi di dollari nel solo 2020, secondo l’Internet Crime Complaint Center (IC3) dell’FBI.
    l’utente fornisce il suo nome utente e la            Si tratta del 44% di tutte le perdite ascrivibili ai reati informatici, un importo superiore alle
    password, il criminale informatico usa tali          perdite attribuibili alla maggior parte degli altri tipi di crimini informatici5.
    informazioni per assumere il controllo               Per identificare gli attacchi BEC, Proofpoint adotta un approccio incentrato sulle persone,
    dell’account.                                        che consiste in un framework a tre livelli:
    VIOLAZIONI DELL’EMAIL AZIENDALE                      • Identità: la persona o l’azienda di cui i criminali informatici assumono l’identità
    In questo tipo di attacco, il criminale              • Inganno: le tecniche utilizzate
    informatico si finge un collega, un dirigente
    o un fornitore fidato, utilizzando diverse           • Tema: la categoria a cui appartiene il tentativo di frode
    tecniche per il furto di identità. Il mittente       L’inganno ricade tipicamente in due categorie: furto dell’identità o violazione. Definiamo
    potrebbe chiedere al destinatario di                 il furto di identità come un attacco nel quale il criminale informatico altera una o più
    effettuare un bonifico, eseguire un                  intestazioni dei messaggi per nasconderne l’origine. La violazione è un attacco nel quale
    pagamento, dirottare uno stipendio,                  il criminale informatico ottiene l’accesso a una casella di posta legittima.
    cambiare le coordinate bancarie o divulgare
    informazioni sensibili.
    Gli attacchi BEC sono difficili da rilevare
    perché non si avvalgono di malware né di
    URL dannosi che potrebbero essere analizzati
    e identificati dalle tradizionali difese
    informatiche. Si affidano invece al furto
    d’identità e altre tecniche di social engineering
    per indurre le persone ad agire per conto
                                                         5    FBI. “2020 Internet Crime Report” (Report sui reati di Internet), marzo 2021.
    dell’hacker.

               Tipi di attacco per volume di messaggi (2020)
        Il phishing delle credenziali dei consumatori e delle aziende                                               Variazione (2020 su 2019)
            è risultato il tipo di attacco di gran lunga più comune.
Phishing delle credenziali (aziende)                                                       Phishing delle credenziali dei consumatori

Phishing delle credenziali (consumatori)                                                   Phishing delle credenziali aziendali

Trojan bancario
                                                                                           Backdoor
Downloader (Programma di download)
                                                                                           Keylogger
Botnet
                                                                                           Stato del malware APT
Ladro di informazioni

                                                                                           Trojan bancario
Altro

0                   50                100               150                 200           0           200           400          600          800   1000    1200
                                      Milioni                                                                                                              21
IL FATTORE UMANO 2021 | REPORT

                                                 Il nostro framework pone molta enfasi sui temi perché forniscono informazioni di
                                                 intelligence fruibili, come i vari tipi di frodi commesse, ad esempio la frode delle fatture,
                                                 l’appropriazione indebita degli stipendi e l’estorsione.
                                                 Per avere successo, le truffe BEC si affidano al social engineering. Possono utilizzare diverse
                                                 tattiche, come il nome visualizzato, il tono o gli allegati di un’email per rendere il messaggio
                                                 più credibile.
                                                 In uno dei tentativi di frode più complessi che abbiamo osservato nel 2020, un gruppo
                                                 di criminali informatici denominato TA2520 ha usato il social engineering in diverse
                                                 campagne. Spacciandosi spesso per un alto dirigente tramite lo spoofing del nome
                                                 visualizzato, ordinava ai destinatari di effettuare un bonifico destinato a una falsa
                                                 transazione per l’acquisizione di una società.
                                                 Questi tentativi hanno coinvolto somme superiori a 1 milione di dollari, spesso integrando
                                                 notizie di attualità, come le restrizioni dovute al COVID-19 o la vaccinazione come stimolo
                                                 per accelerare la ripresa economica.
                                                 Un altro collettivo degno di nota specializzato in attacchi BEC nel 2020 è stato il
                                                 gruppo TA2519, che ha lanciato degli attacchi a più fasi. Nella prima fase, il collettivo
                                                 si è concentrato su un’esca legata al COVID-19 per inviare un malware che rubava le
                                                 credenziali della vittima. Nella seconda fase, TA2519 ha usato le credenziali sottratte
                                                 per assumere il controllo dell’account della vittima e usarlo per estorcere denaro a una
                                                 seconda vittima, un attacco noto come “frode delle fatture dei fornitori”.
                                                 Una fattura falsa può provenire da chiunque, come un collega o uno sconosciuto, ma gli
                                                 attacchi di maggior successo sono quelli che sfruttano le relazioni con i fornitori, ossia
                                                 qualsiasi individuo o azienda che venda prodotti o servizi. Tali attacchi possono essere
                                                 costosi per le aziende, con somme comprese fra le decine di migliaia e diversi milioni
                                                 di dollari.

        Suddivisione delle campagne
                                                 Tecniche di attacco
Un’email dannosa può contenere più tecniche,     I criminali informatici utilizzano un’ampia gamma di tecniche per eludere i controlli di
 come il social engineering volto a convincere   sicurezza, indurre le vittime ad attivare l’attacco e infettare i sistemi presi di mira, ma un
          l'utente a scaricare e aprire          elemento comune è il social engineering.
          un allegato compromesso.
                                                 Per indurre il destinatario ad agire usano righe dell’oggetto accattivanti, appelli convincenti
                                                 e il giusto grado di specificità per indurre il destinatario a rispondere. Come spiegato
                                                 in COVID-19: lo sfruttamento della pandemia da parte dei criminali informatici,
                                                 a pagina 15, la pandemia è stata il tema più popolare del 2020.

                                                 Ecco alcune tendenze dell’anno degne di nota.
                Percentuale
              della campagna

                                                 File eseguibili compressi
                                                 Quasi un attacco su quattro ha usato file eseguibili compressi per occultare il malware.
                                                 Affinché l’attacco funzioni, la vittima deve interagire con un allegato dannoso, come una
                                                 presentazione PowerPoint o un foglio Excel, per l’esecuzione del payload. Poiché l’attacco
                                                 viene eseguito solo quando una persona sblocca il file, è un modo efficace per eludere
   Social Engineering             WMI
                                                 il rilevamento automatico del malware.
   Eseguibile compresso           Macro XL4
   Macro VBA Office               Altro
   PowerShell

  22
Puoi anche leggere