Un attacco di impersonificazione è un tentativo di ottenere un accesso non autorizzato ai sistemi informatici mascherandosi da utenti autorizzati.
Secondo la Security Magazineè stato registrato uno sconcertante aumento del 131% del fenomeno del whaling e delle imitazioni di dirigenti tra il primo trimestre del 2020 e il primo trimestre del 2021, con il 55% dei professionisti della sicurezza informatica che ha dichiarato che un dirigente della propria azienda è stato imitato. Questi attacchi sono costati alle aziende 1,8 miliardi di dollari di perdite solo lo scorso anno.
Il problema è così pervasivo che 1 e-mail su 3.226 ricevute (una ogni 24 giorni) da un dirigente è un tentativo di impersonificazione.
In questo articolo vi spieghiamo tutto quello che c'è da sapere su un attacco di impersonificazione, sulle sue tipologie, su come rilevarlo e su come difendere la vostra organizzazione da esso.
Che cos'è un attacco di impersonificazione?
Un attacco di impersonificazione è una forma di ingegneria sociale in cui un aggressore finge di essere un'altra persona o impersona un utente legittimo (o un gruppo di utenti) per ottenere l'accesso a informazioni di cui non è autorizzato a disporre.
In questo tipo di attacco, l'aggressore utilizza spesso tecniche di social engineering per ottenere informazioni sul sistema e/o sull'obiettivo, ad esempio fingendosi un membro del reparto IT e chiedendo le credenziali di accesso.
Gli attacchi di impersonificazione possono avvenire di persona, al telefono o online. E possono essere catastrofici se non vengono individuati.
Come viene effettuato un attacco di impersonificazione?
Si parla di impersonificazione quando un malintenzionato finge di essere un utente o un servizio legittimo per accedere a informazioni protette. Gli attacchi di impersonificazione sono facili da eseguire e possono essere molto dannosi, a seconda del tipo di dati che l'aggressore sta cercando di ottenere.
Tutto ciò che un aggressore deve fare è raccogliere informazioni sufficienti su un utente o un servizio legittimo per indurre gli altri a pensare che sia chi dice di essere. L'aggressore cercherà quindi di indurre il suo obiettivo (o i suoi obiettivi) a rivelare informazioni sensibili che altrimenti sarebbero protette da misure di sicurezza.
In molti casi, gli aggressori utilizzano la posta elettronica o altre forme di comunicazione per tentare attacchi di impersonificazione. Inviano e-mail fingendo di essere qualcun altro (il cosiddetto spoofing), che possono includere e-mail di phishing contenenti link che scaricano malware sul sistema di un utente ignaro.
Un altro metodo utilizzato dagli aggressori è il cosiddetto whaling, che consiste nel rubare l'identità di un manager o di un proprietario e nell'inviare e-mail che invitano i dipendenti a trasferire fondi o a fornire altre informazioni sensibili. Poiché l'e-mail sembra provenire da una persona autorevole, molti dipendenti seguono le istruzioni senza fare domande.
Come vengono pianificati gli attacchi di impersonificazione?
Per creare un piano per un attacco di impersonificazione, gli hacker devono innanzitutto raccogliere informazioni sul loro obiettivo. Spesso utilizzano informazioni disponibili pubblicamente, come i profili dei social media e le informazioni disponibili sul sito web dell'azienda. Gli hacker possono utilizzare queste informazioni per creare un personaggio realistico e iniziare a interagire con i dipendenti dell'azienda bersaglio.
L'hacker contatterà i dipendenti utilizzando metodi in linea con quanto ci si aspetta da questo personaggio. L'hacker può inviare e-mail, messaggi di testo o chiamare i dipendenti utilizzando un falso indirizzo e-mail aziendale o un numero di telefono che corrisponde il più possibile all'e-mail o al numero di telefono reali dell'azienda: la differenza c'è, ma è quasi invisibile a occhio nudo.
In questo modo il dipendente ha la sensazione di interagire con una persona conosciuta all'interno dell'organizzazione.
| Ecco un esempio di impersonificazione di e-mail:
accessorystore@mnmail.com accessarystore@mnmail.com Come si può vedere qui sopra, le differenze tra le due e-mail sono sottili e facili da non notare, soprattutto se si ricevono centinaia di e-mail al giorno. |
Una volta ottenuta la fiducia del dipendente, l'hacker invia un'e-mail che sembra provenire da una fonte aziendale autentica. Queste e-mail spesso contengono link a siti web che richiedono informazioni personali o azioni da parte del dipendente (ad esempio, il download di file). Questi siti web e file sono infettati da malware che consentono agli hacker di accedere ai dati, rubare informazioni personali o introdurre altri attacchi informatici nella rete aziendale.
Indirizzi di mittenti contraffatti come questi vengono rifiutati attraverso una rigida politica politica DMARCche potete sfruttare per le vostre e-mail per rimanere protetti dagli attacchi di impersonificazione.
Alcune tattiche comuni di attacco di impersonificazione
Ci sono diversi modi in cui gli aggressori possono cercare di impersonare voi o qualcuno che conoscete. Ecco alcune tattiche comuni:
1. Attacco all'account e-mail gratuito
L'aggressore utilizza un servizio di posta elettronica gratuito per inviare messaggi da un indirizzo e-mail simile a quello utilizzato dall'obiettivo. Questa tattica può essere utilizzata per convincere le persone a visitare un sito Web dannoso, a scaricare malware o a fornire informazioni come password o numeri di carte di credito.
2. Attacco al dominio dei cugini
Nell'attacco del dominio cugino, l'aggressore crea un sito web che sembra quasi identico a quello della vostra banca, ma che termina con .com anziché .org o .net, ad esempio. Quindi invia messaggi di posta elettronica da questo sito falso: quando le persone fanno clic sui link contenuti in tali messaggi, vengono indirizzate al sito falso anziché a quello della banca reale.
3. Attacco al mittente della busta contraffatta
L'aggressore crea un'e-mail con un indirizzo di mittente che sembra provenire da un'azienda nota, come "payments@apple.com". Poiché questo indirizzo sembra legittimo, aggira la maggior parte dei filtri dei server di posta. L'aggressore prende quindi di mira le vittime con il suo messaggio, inducendole a cliccare su link o ad aprire allegati che permettono al malware di infettare i loro computer.
4. Attacco al mittente con intestazione contraffatta
L'attacco al mittente dell'intestazione è un tipo di spoofing delle e-mail che può essere utilizzato per far credere che un messaggio sia stato inviato da una persona diversa dalla sua vera fonte. In questo tipo di attacco, il campo "mittente" nell'intestazione di un'e-mail viene modificato per includere un indirizzo diverso da quello reale che ha inviato il messaggio. Ciò può avvenire modificando i campi "From:" o "Return-Path:", o entrambi. L'obiettivo di questi attacchi è far credere che un'e-mail sia stata inviata da un'altra persona, ad esempio un socio d'affari o un amico, per indurre i destinatari ad aprire i messaggi di qualcuno che conoscono.
5. Attacco all'account e-mail compromesso
In questo attacco, un aggressore ottiene l'accesso a un account di posta elettronica legittimo e lo utilizza per inviare e-mail e messaggi ad altre persone dell'organizzazione. L'attaccante può affermare di essere un dipendente con conoscenze o autorità particolari, oppure può impersonare un'altra persona che ha conoscenze o autorità particolari.
6. Attacco alle frodi del CEO
In questo attacco, gli aggressori impersonano l'amministratore delegato di un'azienda e cercano di convincere i dipendenti o i clienti che hanno bisogno di accedere a informazioni sensibili. L'aggressore utilizza spesso tecniche di social engineering, come e-mail di phishing o telefonate che fanno sembrare che la chiamata provenga dal reparto IT dell'azienda. Spesso utilizza un linguaggio specifico del vostro settore o della vostra azienda per sembrare più legittimo e affidabile, mentre chiede informazioni sensibili come password o numeri di carte di credito.
7. Attacco Man-in-the-Middle (MITM)
Questo tipo di attacco prevede che l'aggressore intercetti le vostre comunicazioni con un servizio legittimo e poi le ritrasmetta al servizio legittimo come se provenissero da voi. In questo modo, l'aggressore può origliare la vostra comunicazione, modificarla o impedirla del tutto.
Come riconoscere un attacco di impersonificazione?
Senso di urgenza:L'aggressore può esortare il destinatario ad agire immediatamente (come ad esempio avviare un bonifico immediato, altrimenti il suo conto verrà bloccato in modo permanente) utilizzando un tono urgente nelle sue e-mail. In questo modo le vittime vengono spinte ad agire senza riflettere.
Riservatezza: L'aggressore può indicare che le informazioni richieste devono essere mantenute private, sottintendendo che la loro divulgazione potrebbe portare a gravi conseguenze.
Richiesta di condividere informazioni sensibili: L'aggressore potrebbe chiedervi informazioni che solo la vostra banca conosce, come il numero di conto o la password. Potrebbe anche chiedervi di condividere le vostre credenziali aziendali, che sono informazioni private a cui avete accesso solo voi. Ciò consentirebbe loro di accedere ai database dell'azienda e di far trapelare informazioni sensibili.
Indirizzi e-mail modificati: Ad esempio, se ricevete un'e-mail da qualcuno che finge di provenire da "Amazon" e vi chiede di accedere e aggiornare i dati del vostro account, ma l'indirizzo e-mail è in realtà "amaz0n@gmail.com", potrebbe trattarsi di un attacco di impersonificazione.
Email scritte male: Le e-mail di phishing sono scritte male, spesso con errori ortografici e grammaticali, perché sono tipicamente generate in massa.
Presenza di link o allegati dannosi: I link e gli allegati dannosi sono un modo comune per condurre un attacco di impersonificazione. Questi tipi di attacchi possono essere identificati dalla presenza di:
- Link che si aprono in una nuova scheda invece che nella scheda corrente.
- Allegati con titoli o estensioni di file strani (come "attachment" o ".zip").
- Allegati che contengono un file eseguibile (come .exe).
Proteggersi dalle imitazioni
1. Le aziende devono essere consapevoli che la formazione sulla cybersecurity è essenziale per proteggersi da questo tipo di attacchi. La formazione deve comprendere:
- Come gli aggressori possono impersonare gli utenti e ottenere l'accesso ai sistemi
- Come riconoscere i segnali che indicano che qualcuno sta cercando di spacciarsi per voi, in modo da poter intervenire prima che si verifichino danni.
- In che modo i controlli preventivi, come l'autenticazione a due fattori, possono aiutare a prevenire i tentativi di accesso non autorizzato da parte di qualcuno che cerca di impersonarvi
2. Anche il dominio di posta elettronica dell'azienda deve essere protetto dagli attacchi di impersonificazione. Ciò significa adottare politiche rigorose per la registrazione di nuovi domini e account all'interno dell'organizzazione e tenere traccia di chi ha accesso a ciascuno di essi, in modo da poterli rimuovere se necessario.
3. Quando create un account e-mail per la vostra azienda, assicuratevi che utilizzi un dominio specifico per la vostra attività. Non utilizzate "@gmail" o "@yahoo" perché questi domini sono troppo generici e potrebbero essere utilizzati da chiunque voglia spacciarsi per voi. Utilizzate invece qualcosa come "@yourbusinessnamehere.com", dove il nome della vostra azienda è al posto di "yourbusinessnamehere". In questo modo, se qualcuno tenta di spacciarsi per voi inviando un'e-mail da un altro indirizzo di posta elettronica, nessuno gli crederà perché sa quale nome di dominio è abbinato alla vostra azienda.
4. Le aziende devono prendere in considerazione l'implementazione di soluzioni per la sicurezza della posta elettronica, come ad esempio un analizzatore DMARC che bloccano i domini impersonati dall'invio di e-mail con allegati o link sospetti (come le e-mail di phishing) attraverso l'autenticazione.
Volete una protezione 24/7 contro l'impersonificazione? PowerDMARC è un fornitore di soluzioni per l'autenticazione delle e-mail, che fornisce servizi volti a consentire alle aziende di proteggere le proprie comunicazioni e-mail. Vi aiutiamo a gestire la reputazione del vostro dominio assicurando che solo le e-mail provenienti da mittenti autorizzati vengano consegnate attraverso gateway protetti, proteggendolo al contempo da spoofing da parte di criminali informatici e phisher.
