A cura di Tony Fergusson, CISO EMEA presso Zscaler
Un flusso di messaggi che comunicano che il destinatario è fuori ufficio segnala che ormai il periodo delle vacanze estive è alle porte. E anche chi non può staccare completamente la spina sta sfruttando la crescente tendenza del “workation”, ovvero lavorare dal luogo di vacanza, che ha dato anche origine ad un nuovo acronimo: WFB, ovvero “Work From the Beach”.
Quest’opportunità di lavorare dal luogo di villeggiatura è un benefit interessante per la fidelizzazione dei dipendenti in un mercato sempre più competitivo per le persone in cerca di lavoro. Il trend è esploso in Italia nel 2021 quando quasi un italiano su quattro (23%) si è dichiarato intenzionato a organizzare una workation per i mesi estivi.
Allora perché l’ultima tendenza in termini di lavoro a distanza dovrebbe far preoccupare i datori di lavoro? Per rispondere a questa domanda basta una sola parola: phishing. Il report ThreatLabz 2023 Phishing di Zscaler fornisce un aggiornamento su quello che è già il vettore di attacco più popolare utilizzato dagli hacker: gli attacchi di phishing sono aumentati di quasi il 50% nel 2022 rispetto al 2021, e tutto lascia pensare che la tendenza continuerà anche quest’anno.
Abbassamento delle difese
Ciò è particolarmente preoccupante se si considera che i dipendenti che si trovano in un contesto vacanziero rilassato, sono più inclini a non rispettare le normali pratiche di sicurezza, diventando quindi un facile bersaglio per i criminali informatici.
Per cominciare, dato che non si trovano in ufficio non hanno la possibilità di chiacchierare con i colleghi con cui potrebbero avere l’opportunità di accennare a una richiesta sospetta o di chiedere un secondo parere prima di fare clic. Nel tentativo di dedicarsi alle loro famiglie il più rapidamente possibile, potrebbero anche essere troppo frettolosi e non fermarsi a riflettere.
Un altro fattore che aumenta il profilo di rischio dei “workationer” è che molto probabilmente lavorano da un dispositivo personale con soluzioni di sicurezza meno efficaci, che offre più percorsi di attacco (ad esempio SMS e WhatsApp) e uno schermo più piccolo. Quest’ultimo lascia meno possibilità agli utenti per individuare i segnali più impercettibili di una truffa, come per esempio un indirizzo email errato negli attacchi che avvengono tramite messaggi di testo o email.
A questo proposito, se da tempo abbiamo imparato a comprendere che l’offerta di una grossa somma di denaro da parte di uno sconosciuto in un’email non richiesta è troppo bella per essere vera, oggi gli attacchi di phishing sono sempre più difficili da individuare. Questo accade anche quando non si è distratti dall’ambiente in cui si decide di svolgere le proprie mansioni lavorative. E nessuno è immune, nemmeno chi lavora nel settore della sicurezza informatica.
La voce può essere usata come arma?
Per esempio, all’inizio di quest’anno, un direttore vendite di Zscaler ha ricevuto una chiamata che sembrava provenire dal CEO Jay Chaudhry. Con la sua foto sullo schermo, il direttore vendite ha sentito la voce di Jay dire “Ciao, sono Jay. Ho bisogno che tu faccia qualcosa per me”, prima che la chiamata si interrompesse. Un messaggio WhatsApp proseguiva: “Credo di avere una scarsa copertura di rete perché sono in viaggio in questo momento. Va bene se ti mando un messaggio qui nel frattempo?”. Ne è seguita una richiesta di aiuto per spostare una somma di denaro in una banca di Singapore. Dopo un controllo interno si è scoperto che i criminali informatici avevano ricostruito la voce di Jay a partire da spezzoni dei suoi discorsi pubblici, nel tentativo di frodare l’azienda.
Questo elaborato esempio di social engineering, che non è un caso isolato, evidenzia il livello di sofisticazione con cui le aziende devono confrontarsi. Grazie a strumenti di intelligenza artificiale sempre più sofisticati, il phishing si è evoluto da spoofing basato su testo meno credibile, in attacchi guidati dalla voce incredibilmente persuasivi, che sono stati soprannominati “vishing”.
Il successo di un attacco di vishing richiede la comprensione delle dinamiche sociali dell’azienda che si vuole colpire. Gli hacker sanno che è improbabile che il personale meno esperto e le nuove leve ignorino le richieste “urgenti” provenienti dalla direzione generale. Inoltre, i dirigenti di alto livello vengono intervistati dai media e inseriti nelle iniziative di marketing dell’azienda, il che significa che è più probabile che la loro voce sia di dominio pubblico. In sostanza, le voci dei membri del team esecutivo possono essere utilizzate come armi per creare l’esca perfetta.
Una porta d’accesso per il ransomware
L‘obiettivo degli attacchi di vishing è quello di attirare le vittime inducendole a compiere inconsapevolmente azioni che frodano le loro aziende o a fare clic su allegati dannosi che aprono la porta a minacce ben più gravi, come gli attacchi ransomware.
Il ransomware è un fenomeno che le aziende già temono, mentre il phishing, in genere, non riceve la stessa attenzione. Tuttavia, dovrebbe far preoccupare le aziende. Il phishing viene spesso utilizzato come forma di ricognizione per aiutare gli hacker a raccogliere informazioni riservate o personali che vengono poi utilizzate per portare a termine attacchi mirati più estesi, quando le credenziali rubate vengono vendute sul dark web.
Si tratta di un modo relativamente semplice e poco impegnativo per i criminali informatici di ottenere un piccolo punto d’appoggio all’interno di un’azienda, ad esempio tramite il notebook di un singolo utente preso di mira. A pagamento, l’accesso a questo prezioso punto di ingresso può essere condiviso con gruppi di ransomware che lo utilizzeranno per spostarsi lateralmente in tutta la rete connessa.
Un nuovo focus per la sicurezza
Cosa dovrebbero fare le aziende per assicurarsi che i loro dipendenti non cadano vittima di truffe di phishing mentre sono “fuori ufficio” in questa stagione estiva? Adottare una strategia Zero Trust Network Access (ZTNA) basata sul cloud che semplifichi e renda sicuro il lavoro a distanza.
Un’architettura Zero Trust riduce significativamente la superficie di attacco e contribuisce a bloccare i danni provocati da truffe informatiche come il phishing. In che modo? Ad esempio, previene la perdita di dati ispezionando e proteggendo i dati a riposo e in movimento, ed elimina lo spostamento laterale del malware, impedendo alle risorse compromesse di infettare altre risorse. Questo perché gli utenti sono collegati direttamente alle applicazioni e alle risorse di cui hanno bisogno, mai alla rete stessa.
Le aziende che vogliono rimanere attrattive agli occhi di talenti sempre più ricercati, non devono lesinare sui protocolli di sicurezza. Devono semplicemente evolvere il loro approccio mentale in materia di sicurezza passando da un approccio incentrato sulla rete a uno incentrato sull’utente con ZTNA. In questo modo, le aziende possono offrire più tranquillamente un miglior equilibrio tra lavoro e vita privata ai dipendenti che desiderano sfruttare al meglio la loro estate.
