Tra le nuove forme di attacchi informatici più insidiosi, lo spear phishing rappresenta una tecnica, di recente sviluppo ed altamente sofisticata, che si distingue, per la sua mirata personalizzazione, dalle tradizionali frodi informatiche.
A differenza del phishing cd. “generico”, lo spear phishing non si basa su un approccio quantitativo, ma rappresenta una tecnica di attacco in cui i truffatori studiano attentamente le loro vittime, raccogliendo informazioni dettagliate attraverso social network o fruendo di dati rubati in seguito ad accessi non autorizzati o data breaches.
Gli attacchi tramite spear phishing risultano funzionali, quindi, mediante comunicazioni apparentemente legittime e credibili, ad indurre la vittima individuata a rivelare dati sensibili, credenziali di accesso, anche a servizi bancari o finanziari.
Ciò che rende lo spear phishing particolarmente pericoloso è la sua elevata efficacia nel colpire soggetti organizzati quali aziende ed enti pubblici, che gestiscono spesso grandi quantità di dati sensibili, altamenti riservati.
Come funziona lo Spear Phishing?
Lo spear phishing è una forma di truffa complessa che si sviluppa in più fasi, ognuna delle quali prevede un’attenta pianificazione da parte degli aggressori.
Nella prima fase, i truffatori compiono uno studio approfondito delle caratteristiche della propria vittima, e ciò mediante monitoraggio dei social network, analisi dei siti web professionali, utilizzo di database e tecniche di ingegneria sociale (falsi sondaggi, chiamate o email apparentemente innocue).
Nella successiva fase, i truffatori procedono alla creazione di comunicazioni personalizzate, ovverosia messaggi di phishing altamente persuasivi preparati tenendo in considerazione le specifiche caratteristiche della vittima.
Nella maggior parte dei casi, si tratta:
- di false comunicazioni di carattere legale o bancario, apparentemente inviate da intermediari bancari, finti tribunali o enti impositori;
- email apparentemente trasmesse da colleghi o superiori che contengono richieste urgenti di accesso a documenti riservati, fatture inesistenti o contratti fittizi e che impongono un pagamento urgente ed immediato; questi messaggi possono spesso includere link fraudolenti, che reindirizzano la vittima a siti falsificati, oppure allegati che appaiono legittimi ma che contengono malware.
Qualora la vittima cada nell’inganno, possono verificarsi conseguenze assolutamente pregiudizievoli, quali l’accesso non autorizzato a sistemi aziendali o legali, furti di identità o frodi finanziarie, spesso difficili da rilevare fino a quando non si verificano danni concreti.
Data la natura mirata dello spear phishing, le difese convenzionali che possono essere approntate dagli utenti spesso potrebbero risultare inefficaci: i filtri anti-phishing, infatti, riconoscono gli attacchi generici, ma difficilmente bloccano email mirate e costruite con precisione per apparire autentiche.
Quali sono le strategie di difesa contro lo Spear Phishing?
La difesa contro gli attacchi di spear phishing richiede un approccio attento, proattivo e multidisciplinare, che combini efficacemente la formazione delle persone all’utilizzo di strumenti tecnologici.
La conoscenza delle proprie vulnerabilità e la capacità di riconoscere i segnali d’allarme (quali email predisposte con toni eccessivamente urgenti, oppure richieste anomale di dati) rappresentano la prima forma di difesa: è importante, quindi, promuovere, nell’ambito degli enti organizzati, una forte consapevolezza aziendale e una costante formazione dei dipendenti.
A tanto deve essere affiancata una protezione tecnologica ed informatica avanzata, quale:
- l’utilizzo dell’autenticazione a due fattori (2FA) per l’accesso all’email ed a sistemi sensibili;
- sistemi di crittografia dei dati legali e delle comunicazioni riservate, per limitare l’accesso ai soli utenti autorizzati;
- la creazione di protocolli difensivi;
- test di phishing simulato, mediante invio email false ai propri dipendenti e collaboratori, al fine di verificare la vulnerabilità del team ed identificare specifiche aree critiche.