Sicurezza Mobile e Privacy /

Dal phishing al whaling, malviventi a caccia di pesci grossi!

Dal phishing al whaling, malviventi a caccia di pesci grossi!

25 Agosto 2016 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
La pesca online a caccia di pesci che abboccano non è più rivolta solo a pesci che navigano in branchi o a pesci piccoli dai portafogli ancora più piccoli. Ora la pesca si è industrializzata e attrezzata prendendo di mira le numerose balene e pesci grossi che, nelle vesti di aziende, dirigenti di azienda e personaggi famosi popolano la Rete.

Le frodi neo confronti di aziende e grandi organizzazioni è in continua crescita tanto da avere dato origine a un nuovo termine: whaling o whaling phishing.

Si tratta di attacchi ben studiati e mirati che prendono di mira pesci grandi, potenziali vittime che, se catturate, possono generare maggiori guadagni. Si tratta di persone con ruoli chiave in aziende o istituzioni come gli amministratori delegati, i direttori finanziari e altri dirigenti di azienda.

La modalità della pesca non si discosta molto da quella tradizionale. Non è a strascico ma usa esche simili a quelle usate nelle attività di phishing fin qui note. Il cybercriminale inizia con la raccolta di informazioni sensibili sull’azienda presso cui lavora la potenziale vittima, in modo diretto, attraverso i sistemi informativi dell’azienda stessa o usando le informazioni fornite involontariamente da colleghi di lavoro e semplici dipendenti aziendali.

Una ricerca condotta da Mimecast, una società che offre servizi di email basati sul cloud computing, attraverso 436 interviste a direttori dei sistemi informativi di grandi aziende ha evidenziato che questo tipo di reato è in costante aumento. Il 67% degli intervistati ha segnalato un aumento dei tentativi di frode. Alcuni attacchi sono direttamente finalizzati a ottenere pagamenti in denaro, altri a ottenere informazioni riservate, solitamente conservate negli archivi della direzione delle risorse umane, da usare per attacchi futuri. Una delle vittime di questo tipo di attacchi è stata ad esempio Seagate che ha visto i responsabili del dipartimento delle risorse umane inviare dati relativi a stipendi e tasse di tutti i dipendenti dopo avere ricevuto una richiesta, apparentemente perfetta e regolare, da parte dell’amministratore delegato Stephen Luczo. UN’altra vittima illustre è stata Snapchat che ha subito un attacco simile. Due banche americane hanno perso decine di milioni grazie a un trasferimento fraudolento di fondi, operato da dipendenti aziendali su richieste all’apparenza regolari.

Questo tipo di attacchi sta raggiugendo valori sempre più elevati, stimati dalla FBI americana in 2,3 miliardi di dollari in soli tre anni, dal 2013 al 2016, con un aumento del 270% solo nel corso del 2015. La valutazione è stata fatta analizzando frodi che hanno interessato quasi 70 paesi.

La diffusione del whaling, unitamente al social engineering e al ransomware è la preoccupazione maggiore delle aziende e dei loro dipartimenti IT che devono monitorare con strumenti adeguati non solo la posta elettronica ma anche i siti web e i social network frequentati dai dipendenti ma anche imporre momenti formativi obbligatori e policy restrittive per impedire ai dipendenti di fornire informazioni riservate aziendale a persone estranee, sia dentro sia al di fuori dell’azienda.

Il punto di debolezza maggiore è oggi la scarsa conoscenza che molti dirigenti hanno dei mezzi tecnologici che usano, dei loro potenziali effetti collaterali e degli usi fraudolenti che ne vengono fatti. Ne derivano vulnerabilità importanti che possono avere risvolti molto costosi per le aziende, soprattutto se non esiste la adeguata percezione dei rischi che si corrono.

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


SANMARCO INFORMATICA SPA

Sanmarco Informatica opera nel settore dell'informatica da oltre 20 anni con...

Vai al profilo

Zero Computing S.r.l.

Zero è una web-agency presente sul mercato italiano dal 1992, con l’obiettivo di...

Vai al profilo

Sviluppo4Mobile

S4M è costituita da un gruppo di quattro amici storici, Gino, Danilo, Miriam e Luisa...

Vai al profilo

Vincenzo Falanga

Mi chiamo Vincenzo Falanga e la mia professione è l'innovazione! Tutto ciò che...

Vai al profilo