Attacchi di phishing per dirigenti - Approfondimenti pratici e strategie di prevenzione
Gli eccezionali attacchi di phishing ai dirigenti sono uno dei modi più efficaci ed economici per violare la sicurezza di un'azienda. I dirigenti possono essere attirati tramite e-mail o telefonate, ma il risultato è quasi sempre lo stesso.
Un attacco di phishing esecutivo è una grande preoccupazione per tutti i tipi di aziende. È uno dei motivi principali per cui le organizzazioni hanno perso oltre 43 miliardi di dollari (USD) dal 2016 al 2021.
In questo articolo parleremo della definizione di phishing esecutivo, dei motivi per cui è una minaccia e di come evitare di diventare la prossima vittima.
Che cos'è il phishing esecutivo?
L'executive phishing è un crimine informatico che prende di mira dirigenti di alto livello e altri responsabili decisionali come il CEO, il CFO e i dirigenti di alto livello. Il nome del dirigente, la firma dell'e-mail e altri dettagli sono spesso utilizzati durante l'attacco di phishing per far sembrare il messaggio legittimo.
In 2020i crimini informatici come le frodi CEO e i ransomware costeranno oltre 4,1 miliardi di dollari, con un aumento dei casi segnalati del 69% dal 2019 al 2020, raggiungendo oltre 791.000. Purtroppo, queste minacce informatiche non stanno rallentando, anzi stanno peggiorando.
È progettato per ingannare la vittima e farle credere di ricevere un'e-mail da qualcuno della sua organizzazione o da un'altra fonte affidabile.
Gli attacchi di phishing esecutivi prevedono solitamente un'e-mail ben confezionata da parte di un dipendente della vostra organizzazione, ma potrebbero anche includere un'e-mail proveniente da un soggetto esterno alla vostra organizzazione.
Le e-mail contengono spesso informazioni su una riunione imminente, come l'ordine del giorno o un contratto in scadenza.
L'aggressore può anche tentare di accedere ai dati riservati archiviati sulla rete aziendale fingendosi un dipendente fidato con accesso a informazioni sensibili.
Il phishing esecutivo mira a rubare dati riservati come password, documenti sensibili e credenziali di accesso. L'aggressore utilizzerà poi queste credenziali rubate per accedere alle risorse aziendali e ottenere l'accesso a informazioni sensibili.
Leggete anche: Che cos'è un'e-mail di phishing?
Perché gli attacchi di phishing colpiscono i dirigenti?
Prendere di mira i dirigenti consente agli hacker di accedere a informazioni preziose che potrebbero essere vendute sul Dark Web o utilizzate come ricatto contro l'azienda della vittima.
Poiché i dirigenti di livello C hanno in genere accesso a dati sensibili come dati finanziari, informazioni di identificazione personale (PII) e altri documenti aziendali riservati, possono diventare bersagli privilegiati di attacchi di phishing che mirano a ottenere questi dati con qualsiasi mezzo.
Esempio di attacco di phishing da parte di un dirigente
Un esempio di e-mail di phishing esecutivo è visibile nell'immagine seguente:
I principali tipi di attacchi di phishing esecutivo
Di seguito sono riportati alcuni dei principali tipi di attacchi di phishing esecutivo:
Attacchi BEC (Business Email Compromise)
Gli attacchi BEC prendono di mira amministratori delegati e altri funzionari di alto livello impersonando le loro e-mail e richiedendo trasferimenti di denaro.
Gli aggressori di BEC inviano e-mail fraudolente con loghi aziendali falsi e indirizzi di mittenti spoofati per ingannare il destinatario e fargli credere che siano reali.
Attacchi alla fatturazione
Questo attacco mira a sottrarre denaro alle aziende creando fatture false che sembrano legittime ma contengono errori o discrepanze.
L'aggressore richiederà quindi il pagamento di queste fatture utilizzando bonifici bancari o altri metodi di pagamento che richiedono tempo per essere verificati.
Sfruttamento delle piattaforme di comunicazione video
In questo attacco, l'hacker sfrutta una piattaforma di comunicazione video per impersonare il dirigente. Ad esempio, potrebbe utilizzare Google Hangouts per impersonare l'amministratore delegato e chiedere informazioni riservate.
L'hacker può anche inviare un'e-mail ai dipendenti indicando loro che si incontreranno con qualcuno del reparto finanziario in una videochiamata. Gli viene chiesto di scaricare un'app e di inserire i propri dati di accesso.
Ingegneria sociale
Ingegneria sociale è utilizzato per accedere a informazioni o dati sensibili, inducendo gli utenti a divulgare password, numeri di previdenza sociale e altre informazioni sensibili.
L'aggressore spesso si finge un informatico o un altro reparto dell'organizzazione e chiede l'accesso al computer o alle risorse di rete quando le normali pratiche aziendali non lo giustificano.
Phishing esecutivo vs Whaling
Ricordate che sia il Phishing esecutivo che il Whaling sono attacchi informatici rivolti a personale di alto livello, mentre il Whaling è una variante più specializzata. Per difendersi da queste minacce sono fondamentali misure di cybersecurity adeguate e la formazione dei dipendenti.
Diamo un'occhiata al phishing esecutivo e alla caccia alle balene:
| Aspetto | Phishing esecutivo | La caccia alle balene |
| Obiettivo | Il phishing esecutivo prende di mira i dirigenti di alto livello di un'azienda. | Whaling si concentra sui dirigenti di alto livello, come i CEO e i CFO. |
| Obiettivo | Il phishing esecutivo mira a ottenere un accesso non autorizzato, rubare dati o acquisire credenziali di accesso. | Il whaling mira a estrarre informazioni sensibili o fondi da dirigenti di alto profilo. |
| Tipo di attacco | L'executive phishing è un attacco di phishing che inganna specificamente i dirigenti per indurli ad agire. | Il whaling è uno spear phishing specializzato, che prende di mira gli individui più influenti. |
| Impersonificazione | Nel phishing esecutivo, gli aggressori impersonano un dirigente o un collega per ingannare l'obiettivo. | Il whaling consiste nell'impersonare dirigenti di alto livello per sfruttarne l'autorità. |
| Preparazione | Gli attaccanti ricercano il ruolo dell'obiettivo, il suo stile di comunicazione e le informazioni rilevanti sono comuni nel phishing esecutivo. | Gli autori della caccia alle balene conducono ricerche approfondite sul dirigente bersaglio e sull'ambiente aziendale. |
| Contenuto dell'e-mail | Le e-mail di phishing esecutivo imitano le comunicazioni ufficiali. Spesso creano un senso di urgenza o affrontano questioni delicate. | Le e-mail di Whaling contengono messaggi personalizzati e su misura per la posizione e le responsabilità dell'obiettivo. |
| Ingegneria sociale | Il phishing esecutivo sfrutta le dinamiche di potere, l'urgenza o la curiosità per manipolare gli obiettivi e indurli ad agire. | Il whaling sfrutta l'accesso e l'autorità di alto livello per manipolare la fiducia e la conformità dell'obiettivo. |
| Carico utile | Nel phishing esecutivo, i link malevoli, gli allegati o le richieste di informazioni sono payload comuni. | I payloads di balena spesso cercano dati riservati, transazioni finanziarie o altri beni di valore. |
| Impatto | L'impatto del phishing esecutivo può variare da account compromessi e violazioni di dati a perdite finanziarie. | L'impatto della caccia alle balene può essere significativo, con conseguenti danni finanziari e di reputazione per le organizzazioni. |
| Contromisure | Le contromisure contro il phishing esecutivo includono la formazione dei dipendenti, l'uso di strumenti anti-phishing e pratiche di posta elettronica attente. | Per difendersi dal whaling è necessaria una formazione di sensibilizzazione alla sicurezza, un rilevamento avanzato delle minacce e metodi di autenticazione forti. |
| Esempi | Esempi di phishing per dirigenti sono le false richieste di trasferimento di denaro o di condivisione di dati inviate ai dirigenti. | Il whaling consiste nell'invio di e-mail mirate a dirigenti di alto livello, spesso con intenti malevoli o richieste ingannevoli. |
Leggi correlate: Phishing balenare vs. Phishing regolare
Difesa e mitigazione degli attacchi di phishing esecutivo
Le seguenti misure di sicurezza possono aiutare a proteggere la vostra organizzazione dal phishing esecutivo:
Implementazione del DMARC
DMARC consente alle organizzazioni di segnalare l'utilizzo dei propri domini e di aiutare gli ISP e gli altri provider di posta elettronica a prendere provvedimenti adeguati quando vedono messaggi fraudolenti provenienti da tali domini.
Formazione sulla sicurezza
La formazione sulla sicurezza aiuterà i dipendenti a identificare le potenziali minacce prima che diventino un problema.
La formazione sulla sicurezza insegna ai dipendenti come identificare le e-mail sospette in base al loro contenuto, al mittente e all'oggetto. Inoltre, insegna ai dipendenti come segnalare queste e-mail per evitare di essere vittime di un attacco.
Autenticazione a più fattori (MFA)
L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza, richiedendo agli utenti di inserire un codice inviato al telefono o generato da un dispositivo fisico prima di ottenere l'accesso.
Strumenti di filtraggio e-mail e anti-phishing
La prima linea di difesa consiste nell'utilizzare un software di filtraggio delle e-mail per filtrare le e-mail di phishing. Questo software consente agli utenti di definire quali indirizzi e-mail devono essere considerati sospetti e li rifiuta automaticamente.
Inoltre, può essere utilizzato per identificare i messaggi di posta elettronica legittimi che sono stati oggetto di spoofing e rifiutarli automaticamente, così come qualsiasi allegato che potrebbe essere dannoso.
Leggi correlate: Differenza tra Anti-Spam e DMARC
Aggiornamenti regolari del software e gestione delle patch
Assicuratevi che tutto il software sia aggiornato, in particolare i browser, i sistemi operativi e le applicazioni di terze parti. Questo include sia le macchine fisiche che quelle virtuali.
Le patch spesso includono correzioni di sicurezza per vulnerabilità che potrebbero essere sfruttate da aggressori che hanno già compromesso un sistema.
Parole finali
Anche se non è la forma più comune di phishing, questo tipo di attacco può comunque avere un impatto negativo su individui e aziende. Se ricevete messaggi da persone che non conoscete o che riguardano situazioni che non sembrano immediatamente reali, non abbiate fretta di aprire i file che vi vengono inviati.
Potreste benissimo essere vittime di un attacco di phishing esecutivo e, in tal caso, dovreste seguire i nostri consigli per proteggervi.
- Come proteggere le password dall'intelligenza artificiale - 20 settembre 2023
- Cosa sono gli attacchi basati sull'identità e come fermarli? - 20 settembre 2023
- Cos'è la gestione continua dell'esposizione alle minacce (CTEM)? - 19 settembre 2023
