Proofpoint, Inc., azienda leader nel settore della cybersecurity e della compliance, ha pubblicato il nono rapporto annuale State of the Phish in cui sottolinea come i cybercriminali utilizzino sia tattiche emergenti che già collaudate per compromettere le organizzazioni. Tra le aziende italiane che hanno subito tentativi di attacchi phishing via email lo scorso anno, il 79% ne ha registrato almeno uno di successo, con il 7% che ha riportato perdite finanziarie dirette come risultato.
Impersonificazione del marchio, compromissione delle email aziendali (BEC) e ransomware sono ancora tecniche comuni tra gli attori delle minacce, che hanno però anche aumentato l’uso di metodi di attacco meno familiari per infiltrarsi in azienda.
Il report State of the Phish 2023 fornisce una panoramica approfondita delle minacce reali, proveniente dall’analisi di telemetria di Proofpoint che include oltre 18 milioni di email segnalate dagli utenti e 135 milioni di attacchi di phishing simulati inviati in un periodo di un anno. Il report esamina anche le percezioni di 7.500 dipendenti e 1.050 professionisti della sicurezza operativi in 15 Paesi, tra cui per la prima volta l’Italia, rivelando sorprendenti lacune nella consapevolezza della sicurezza e nell’igiene informatica.
“Mentre il phishing convenzionale continua ad avere successo, molti cybercriminali si sono spostati su tecniche più recenti, come la consegna di attacchi telephone-oriented e i proxy di phishing adversary-in-the-middle (AitM) che bypassano l’autenticazione multi-fattore. Queste tecniche sono state utilizzate per anni negli attacchi mirati, ma nel 2022 sono state implementate su larga scala,” ha dichiarato Ryan Kalember, executive vice president, cybersecurity strategy di Proofpoint. “Abbiamo anche assistito a un netto aumento di campagne di phishing sofisticate e multi-touch che prevedono conversazioni più lunghe tra più parti – che si tratti di un gruppo allineato a uno stato o di un attore BEC sono numerosi gli avversari disposti a giocare sul lungo periodo.”
Tra i risultati principali emerge che:
L’estorsione cyber continua a scatenare il caos
Il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, e per il 44% è stato purtroppo di successo. Solo il 38% ha riacquisito l’accesso ai propri dati dopo aver effettuato il pagamento del riscatto iniziale.
La maggior parte delle aziende ha pagato, e molte lo hanno fatto più di una volta.
In Italia, la stragrande maggioranza di chi è stato colpito (82%) ha stipulato una polizza di assicurazione cyber per gli attacchi ransomware e oltre la metà degli assicuratori è disposta a pagare il riscatto in parte o per intero (68%). Questo spiega anche l’elevata propensione al pagamento, con il 27% delle organizzazioni infette che ha pagato almeno un riscatto.
Gli utenti cadono nella trappola delle email “Microsoft” fasulle
Nel 2022, Proofpoint ha osservato quasi 1.600 campagne di abuso del marchio all’interno della propria base di clienti globale. Se Microsoft è stato il più abusato, con oltre 30 milioni di messaggi che utilizzavano il suo brand o presentavano un prodotto come Office o OneDrive, altre aziende regolarmente sfruttate dai cybercriminali sono state Google, Amazon, DHL, Adobe e DocuSign. È opportuno sottolineare che gli attacchi AitM mostrano all’utente la vera pagina di login dell’organizzazione, che in molti casi sarà Microsoft 365.
Considerando il volume degli attacchi che impersonano un brand, è allarmante che il 47% dei dipendenti italiani ritenga che un’email sia sicura quando contiene un marchio familiare e il 71% pensi che un indirizzo email corrisponda sempre al sito web del brand. Non sorprende osservare che la metà dei 10 modelli di simulazione di phishing più utilizzati dai clienti Proofpoint erano legati all’impersonificazione di un marchio e tendevano anche ad avere tassi di fallimento elevati.
Compromissione delle email aziendali: la frode informatica diventa globale
Il 51% delle organizzazioni italiane ha segnalato un tentativo di attacco BEC lo scorso anno. Sebbene l’inglese sia la lingua più utilizzata, alcuni Paesi non anglofoni hanno iniziato a registrare volumi più elevati di messaggi nella propria lingua. Gli attacchi BEC sono stati superiori alla media globale o hanno registrato un notevole aumento rispetto al 2021 in:
- Paesi Bassi 92% (non presente nell’analisi precedente)
- Svezia 92% (non presente nell’analisi precedente)
- Spagna 90% contro 77% (aumento di 13 punti percentuali)
- Germania 86% vs. 75% (aumento di 11 punti percentuali)
- Francia 80% vs. 75% (aumento di 5 punti percentuali)
Minacce interne
Nell’ultimo anno, la mobilità operativa, unita all’incertezza economica post-pandemia, ha fatto sì che un gran numero di dipendenti cambiasse o lasciasse il posto di lavoro – il 18% in Italia. Questo trend ha reso più difficile la protezione dei dati per le organizzazioni, con il 39% che ha dichiarato di aver subito una perdita di dati a causa di una minaccia interna. Tra chi ha cambiato lavoro in Italia, il 42% ha ammesso di aver portato con sé i dati.
Aumento di minacce email più complesse
Nell’ultimo anno, ogni giorno sono state inviate centinaia di migliaia di messaggi di phishing telephone-oriented (TOAD) e di bypass dell’autenticazione a più fattori (MFA), abbastanza frequenti da minacciare quasi tutte le aziende. Al suo apice, Proofpoint ha monitorato più di 600.000 attacchi TOAD al giorno, – email che incitano i destinatari a iniziare una conversazione diretta con gli attaccanti al telefono tramite “call center” fasulli – in costante aumento da fine 2021, quando questa tecnica è apparsa per la prima volta.
I cyberattaccanti dispongono ora di una serie di metodi per aggirare l’MFA, con molti fornitori di phishing-as-a-service che hanno già incluso strumenti AitM nei propri kit di phishing pronti all’uso.
Spazio di miglioramento per la cyber-igiene
Gli attori delle minacce sono sempre innovativi e, ancora una volta, il report di quest’anno sottolinea come la maggior parte dei dipendenti abbia lacune nella consapevolezza della sicurezza, e anche le minacce informatiche di base non sono ancora ben comprese, tra cui “malware,” “phishing,” e “ransomware”.
Quasi la metà (49%) delle organizzazioni italiane dotate un programma di security awareness forma l’intera forza lavoro e solo il 29% effettua simulazioni di phishing, entrambi componenti critici per la definizione di un programma di sensibilizzazione alla sicurezza efficace.
“Lacune nella consapevolezza e comportamenti lassisti dei dipendenti in materia di sicurezza creano rischi sostanziali per le organizzazioni e i loro dati,” ha sottolineato Luca Maiocchi, Country Manager di Proofpoint Italia. “I cybercriminali utilizzano le email come vettore di attacco preferito e stanno inoltre applicando tecniche molto meno familiari ai dipendenti per ingannarli. Tutto questo sottolinea il valore e l’importanza della definizione di una cultura della sicurezza che coinvolga l’intera organizzazione”.
Il report State of the Phish 2023 è disponibile qui https://www.proofpoint.com/it/resources/threat-reports/state-of-phish
Per ulteriori informazioni sulle best practice e formazione di cybersecurity awareness https://www.proofpoint.com/us/product-family/security-awareness-training.