
Il lateral phishing può essere considerato come un’evoluzione del tradizionale phishing.
A differenza di quest’ultimo, infatti, che riguarda, tipicamente, l’invio di email ingannevoli da parte di terzi malfattori, il lateral phishing sfrutta l’intervenuta compromissione di account di posta di proprietà di un’organizzazione aziendale (o associativa), utilizzata per diffondere fraudolentemente messaggi di phishing verso altri utenti interni o verso contatti esterni.
Questa tecnica di phishing presenta un’efficacia fraudolenta molto elevata, poichè i destinatari delle e-mail tendono a mostrare fiducia circa la genuinità e l’attendibilità delle comunicazioni provenienti da colleghi di lavoro o, in ogni caso, da contatti legittimi (amici, parenti).
Il termine lateral phishing, infatti, si si riferisce alla modalità con cui l’attacco si sviluppa e propaga all’interno di un’organizzazione.
Questa tecnica fraudolenta, infatti, si muove “lateralmente” attraverso la rete di un’organizzazione una volta che un account interno è stato compromesso, sfruttando la fiducia che intercorre tra i membri di una stessa rete (aziendale o associativa).
Come funziona il lateral phishing?
Un attacco di lateral phishing inizia con la compromissione di un singolo account e-mail all’interno di un’organizzazione aziendale.
Ottenute le credenziali di accesso tramite tecniche di phishing tradizionale o malware, i criminali informatici iniziano a monitorare l’attività dell’utente violato al fine di identificare contatti chiave e modalità di comunicazione.
Ottenute tali informazioni, i truffatori inviano e-mail di phishing da questo account a una rete di contatti, che, nella maggior parte di casi, nonostante appaiano attendibili, spesso includono richieste di dati sensibili, inviti a cliccare su link fraudolenti o ad aprire allegati dannosi.
La familiarità del mittente con il destinatario rende il phishing laterale notevolmente più difficile da rilevare rispetto alle e-mail tradizionali sospette.
Quali sono le implicazioni del lateral phishing sulla sicurezza informatica dell’organizzazione aziendale violata?
Una volta che l’attacco “riesce”, i criminali informatici riescono non soltanto a sottrarre dati sensibili, ma possono mettere a repentaglio l’integrità e la sicurezza informatica dell’intera rete organizzativa aziendale.
Infatti, il lateral phishing può essere utilizzato come trampolino di lancio per effettuare ulteriori attacchi informatici all’interno della stessa azienda, oltrechè nei confronti dei relativi clienti e partner commerciali.
Nondimeno, è necessario tener presente come questo tipo di attacco sia anche in grado di minare seriamente la reputazione commerciale dell’azienda coinvolta.
I truffatori, infatti, potrebbero inviare false richieste di pagamento o falsi documenti contabili (fatture) per conto dell’azienda, con gravi danni economici nei confronti dei destinatari che non ne comprendano l’origine truffaldina.
Quali sono le strategie di difesa dal lateral phishing?
La protezione dal lateral phishing richiede un preciso approccio organizzativo aziendale cd. multilivello:
- Educazione e formazione aziendale: le organizzazioni aziendali devono formare adeguatamente il proprio personale riguardo alle modalità con cui riconoscere i tentativi di phishing, specialmente nei casi in cui le false comunicazioni via mail giungano da soggetti fidati.
- Politiche di sicurezza informatica avanzata: è necessario che le aziende stabiliscano chiari e precisi protocolli di sicurezza, i quali devono includere anche i criteri per la creazione delle password, il loro aggiornamento e, in generale, la gestione degli accessi.
- Adozione dell’autenticazione a due fattori: le organizzazioni aziendali devono implementare l’autenticazione a due fattori per l’accesso agli account email riduce drasticamente le possibilità che le credenziali rubate siano sufficienti per accedere agli account.
- Monitoraggio e rilevamento anomalie: costituisce buona prassi per le aziende, soprattutto quelle di dimensioni medio-grandi, implementare strumenti avanzati di sicurezza basati sull’intelligenza artificiale e sul machine learning, al fine di identificare “automaticamente” email apparentemente genuine ma dotate di contenuti anomali che potrebbero sfuggire agli utenti meno attenti..