Sicurezza Mobile e Privacy /

Dal phishing al whaling, malviventi a caccia di pesci grossi!

Dal phishing al whaling, malviventi a caccia di pesci grossi!

25 Agosto 2016 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
La pesca online a caccia di pesci che abboccano non è più rivolta solo a pesci che navigano in branchi o a pesci piccoli dai portafogli ancora più piccoli. Ora la pesca si è industrializzata e attrezzata prendendo di mira le numerose balene e pesci grossi che, nelle vesti di aziende, dirigenti di azienda e personaggi famosi popolano la Rete.

Le frodi neo confronti di aziende e grandi organizzazioni è in continua crescita tanto da avere dato origine a un nuovo termine: whaling o whaling phishing.

Si tratta di attacchi ben studiati e mirati che prendono di mira pesci grandi, potenziali vittime che, se catturate, possono generare maggiori guadagni. Si tratta di persone con ruoli chiave in aziende o istituzioni come gli amministratori delegati, i direttori finanziari e altri dirigenti di azienda.

CONSIGLIATO PER TE:

Internet e cosa è diventato

La modalità della pesca non si discosta molto da quella tradizionale. Non è a strascico ma usa esche simili a quelle usate nelle attività di phishing fin qui note. Il cybercriminale inizia con la raccolta di informazioni sensibili sull’azienda presso cui lavora la potenziale vittima, in modo diretto, attraverso i sistemi informativi dell’azienda stessa o usando le informazioni fornite involontariamente da colleghi di lavoro e semplici dipendenti aziendali.

Una ricerca condotta da Mimecast, una società che offre servizi di email basati sul cloud computing, attraverso 436 interviste a direttori dei sistemi informativi di grandi aziende ha evidenziato che questo tipo di reato è in costante aumento. Il 67% degli intervistati ha segnalato un aumento dei tentativi di frode. Alcuni attacchi sono direttamente finalizzati a ottenere pagamenti in denaro, altri a ottenere informazioni riservate, solitamente conservate negli archivi della direzione delle risorse umane, da usare per attacchi futuri. Una delle vittime di questo tipo di attacchi è stata ad esempio Seagate che ha visto i responsabili del dipartimento delle risorse umane inviare dati relativi a stipendi e tasse di tutti i dipendenti dopo avere ricevuto una richiesta, apparentemente perfetta e regolare, da parte dell’amministratore delegato Stephen Luczo. UN’altra vittima illustre è stata Snapchat che ha subito un attacco simile. Due banche americane hanno perso decine di milioni grazie a un trasferimento fraudolento di fondi, operato da dipendenti aziendali su richieste all’apparenza regolari.

Questo tipo di attacchi sta raggiugendo valori sempre più elevati, stimati dalla FBI americana in 2,3 miliardi di dollari in soli tre anni, dal 2013 al 2016, con un aumento del 270% solo nel corso del 2015. La valutazione è stata fatta analizzando frodi che hanno interessato quasi 70 paesi.

La diffusione del whaling, unitamente al social engineering e al ransomware è la preoccupazione maggiore delle aziende e dei loro dipartimenti IT che devono monitorare con strumenti adeguati non solo la posta elettronica ma anche i siti web e i social network frequentati dai dipendenti ma anche imporre momenti formativi obbligatori e policy restrittive per impedire ai dipendenti di fornire informazioni riservate aziendale a persone estranee, sia dentro sia al di fuori dell’azienda.

Il punto di debolezza maggiore è oggi la scarsa conoscenza che molti dirigenti hanno dei mezzi tecnologici che usano, dei loro potenziali effetti collaterali e degli usi fraudolenti che ne vengono fatti. Ne derivano vulnerabilità importanti che possono avere risvolti molto costosi per le aziende, soprattutto se non esiste la adeguata percezione dei rischi che si corrono.

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


D'Uva Workshop

E' un'azienda che produce audioguide, videoguide, totem multimediali, applicazioni e...

Vai al profilo

Centrica

Centrica progetta e sviluppa tecnologie innovative nei settori del digital imaging...

Vai al profilo

Roma4You

Roma4You è un progetto trasversale unico nel suo genere, contraddistinto da...

Vai al profilo