Di Armen Najarian
In tema di sicurezza della posta elettronica e della lotta contro truffe BEC (Business Email Compromise), attacchi di phishing e altre minacce rivolte alle email, vi anticipiamo che il 2020 non sarà un gioco da ragazzi. In fin dei conti, nemmeno il 2019 è stato facile, anzi: sia che si trattasse di ransomware, di attacchi e-mail a tempo che si attivano dopo la consegna, o delle perdite di 700 milioni di $ al mese subite da aziende colpite da impennate di attacchi BEC, l’anno scorso ha mietuto numerose vittime.
Durante i mesi a venire, tuttavia, non basterà aspettarsi un aumento delle stesse minacce. Al contrario, i professionisti della sicurezza delle informazioni dovranno anche affrontare sorprendenti nuove svolte, poiché i criminali informatici si concentreranno meno su attacchi tecnici complessi e più su truffe semplici a bassa tecnologia che possono produrre danni finanziari e reputazionali sbalorditivi con un’efficacia impressionante. Ecco uno sguardo a quello che i CISO possono aspettarsi nel 2020:
1. Il VEC diventa la prima minaccia alla sicurezza della posta elettronica
Nel 2020, la forma di BEC conosciuta come vendor email compromise (VEC) emergerà come la principale modalità di attacco per i predatori della posta elettronica che prendono di mira le grandi aziende. In attacchi VEC come quelli lanciati dal gruppo di cybercrime che abbiamo soprannominato Silent Starling, i truffatori dirottano account e-mail aziendali, spiano le comunicazioni e quindi impersonano il legittimo proprietario dell’account nelle e-mail volte a frodare le società lungo l’intera supply chain. È facile intuire l’attrattiva che simili operazioni sono in grado di offrire. Mentre una truffa BEC tradizionale può fruttare mediamente 50.000 Dollari, il ricavo medio di un attacco VEC di successo, secondo FinCEN, può arrivare a 125.000 Dollari.
2. Altre truffe di ingegneria sociale mirano al business e alle elezioni del 2020
Le buone notizie: probabilmente ci saranno meno attacchi di malware nel 2020. Le cattive notizie: le organizzazioni criminali informatiche lanceranno attacchi e-mail meno tecnici e basati su ingegneria sociale su larga scala. Questi attacchi non solo sono molto più difficili da rilevare rispetto alle e-mail di phishing contenenti collegamenti o contenuti dannosi, ma possono essere altrettanto strazianti. Nell’anno a venire, gli anelli del crimine informatico non saranno i soli a utilizzare queste tattiche. L’Iran, la Russia, la Cina e altri attori di minacce straniere cercheranno di hackerare gli account e-mail delle campagne presidenziali statunitensi nella speranza di influenzare le elezioni del 2020 , deviando le donazioni delle campagne e falsificando i domini dei marchi delle campagne. Il sondaggio elettorale registrato sulla sicurezza elettorale, preso alla fine di ottobre 2019, ha riscontrato che il 44% degli elettori registrati ha dichiarato di ritenere che molte delle campagne presidenziali siano già state violate; e di questi, il 79% ritiene che almeno una parte delle campagne sia stata violata, ma non lo sa ancora.
3. I nuovi attori pericolosi entrano nel BEC
Gli anelli di criminalità informatica dell’Europa orientale e russa che hanno assistito all’ascesa del BEC, introdotti dagli anelli del crimine informatico dell’Africa occidentale, lanceranno probabilmente la loro lista aggressiva di attacchi BEC nell’anno a venire. Data la loro abilità operativa e le reti estese di canali di riciclaggio di denaro sporco, il loro successo potrebbe facilmente eclissare quello degli agenti nigeriani. Se gli $ 8,6 miliardi annui di perdite commerciali note dal 2016 sono negativi, il costo per le aziende potrebbe colpire la stratosfera nel 2020.
4. Scambio SIM, truffe Social Engineering Sconfiggi 2-FA
Con un maggiore utilizzo dell’autenticazione a 2 fattori, i criminali cercheranno modi per aggirare questo ulteriore livello di protezione. Gli attacchi di scambio di SIM aumenteranno, ma lo saranno anche semplici stratagemmi basati sul social engineering che ingannano le vittime nel biforcarsi sui passcode una tantum inviati tramite SMS durante l’autenticazione a 2 fattori. I criminali informatici che acquisiscono le credenziali di accesso al conto bancario violate, ad esempio, possono inviare un avviso fraudolento di “accesso non autorizzato” allo smartphone del cliente della banca, aggiungendo: “Se NON eri tu, ti preghiamo di ricambiare il codice che ti abbiamo appena inviato.” Semplice, ma potenzialmente catastrofico.
5. Phishing delle credenziali, violazioni dei dati democratizzano le frodi tramite e-mail
Le violazioni non stop dei dati guideranno la crescente disponibilità di milioni di credenziali e-mail compromesse come la raccolta n. 1 , rendendo più semplice che mai l’acquisizione dell’account e-mail di un target di alto valore. Cerca un boom nelle offerte di servizi di phishing-as-a-service (PaaS), nonché un numero crescente di kit di phishing chiavi in mano . Da kit gratuiti a $ 300, i kit di phishing in genere includono file zip con HTML, file PHD, immagini e altre risorse necessarie per impostare siti di phishing che replicano pagine di accesso legittime per marchi affidabilicome DropBox, Adobe, Microsoft, LinkedIn, Google e altro. I generatori di randomizzazione creano più URL in modo che se un URL viene inserito nella lista nera, gli altri URL continuano a funzionare. La maggior parte dei siti ha una durata di vita di appena 24 ore per evitare di essere demoliti.
6. Identità Intel + AI richiesta per superare le minacce avanzate alla posta elettronica
In un mondo in cui i criminali informatici non devono più fare affidamento su malware o contenuti dannosi, le aziende hanno chiaramente bisogno di un nuovo approccio alla sicurezza della posta elettronica. Per molte aziende, potrebbe essere richiesta l’ intelligenza dell’identità del mittente abbinata all’apprendimento automatico (ML) per risolvere minacce avanzate su scala aziendale. Ma un’accurata intelligenza del mittente in tempo reale si baserà su un solido grafico di identità che viene arricchito quotidianamente ed è tratto da un enorme pool di dati comportamentali e telemetrici del mittente di alta qualità.
7. Bloccare semplicemente gli attacchi informatici non è più sufficiente
Nonostante i 100 miliardi di dollari investiti nella sicurezza informatica nell’ultimo anno, i livelli di minaccia continuano ad aumentare. Nel 2020, riteniamo che un numero maggiore di aziende sentirà l’obbligo morale di reagire con nuove misure di “difesa attiva”. Ciò includerà gli sforzi intersettoriali per assistere i team di ricerca di esperti che lavorano per infiltrarsi negli account e-mail di anelli criminali collegati in rete, documentare tattiche, identificare gli autori e altro ancora. Non lanciare contrattacchi, ma condividere i risultati con le istituzioni finanziarie e le forze dell’ordine in modo che possano recuperare fondi rubati , arrestare gli autori e infine paralizzare gli anelli transnazionali di criminalità informatica.
8. Una delle principali società statunitensi perde $ 50 milioni per il programma di posta elettronica interno
Quando gli attacchi di phishing provengono da un collega o da un dipendente di un partner della catena di approvvigionamento fidato, il rilevamento può arrivare troppo tardi. Soprattutto quando l’obiettivo non è il furto finanziario diretto. L’esfiltrazione di informazioni e strategie competitive, IP e dati preziosi dei clienti è una vera minaccia. I costi medi associati alle violazioni dei dati ora superano $ 8,2 milioni per incidente per le società con sede negli Stati Uniti. Per le mega-violazioni, i costi possono arrivare fino a $ 388 milioni o più. E questo prima di eventuali multe o azioni legali . Considerando la perdita di $ 37 milioni una Toyota la consociata ha recentemente sofferto di un attacco via e-mail esterno, non è insondabile che una grande azienda dovrà affrontare perdite per 50 milioni di dollari a causa di una frode interna o di un attacco di phishing di credenziali che si traduce in una violazione dei dati nel 2020.
9. La tecnologia vocale espande la superficie di attacco BEC
“Alexa, puoi hackerare la mia e-mail?” Nei prossimi mesi, la tecnologia vocale sarà armata in nuovi attacchi informatici. Poiché le forme relativamente insicure della tecnologia di registrazione continua dei dati (CDR) vengono inevitabilmente compromesse, i criminali informatici uniranno le credenziali di accesso vocale e le “voci” abilitate ai deepfake di dirigenti fidati nei loro schemi di phishing. Basta chiedere alla società tedesca che ha recentemente pagato $ 243.000 in quello che potrebbe essere stato il primo attacco BEC abilitato ai deepfake . Sempre più la sicurezza della posta elettronica richiederà un approccio adattativo basato sull’autenticazione che sfrutti ML per analizzare migliaia di indicatori (identità, dispositivo, posizione, comportamento e altro) per valutare e agire con precisione sui rischi.
10. Sviluppo della pressione per i nuovi mandati di sicurezza della posta elettronica nel settore privato
Aspettatevi richieste di nuovi regolamenti che emulino la direttiva operativa vincolante del Dipartimento della Patria degli Stati Uniti, BOD 18-01 , che imponga alle agenzie delle filiali esecutive di adottare rapporti e conformità di autenticazione dei messaggi di dominio (DMARC). Questo protocollo di autenticazione e-mail standard aiuta le organizzazioni a proteggere i propri domini dall’essere piratati e impersonati negli attacchi e-mail. Oggi, la maggior parte delle agenzie di filiali esecutive ha implementato completamente DMARC, mentre l’ 82% di Fortune 500 rimane vulnerabile agli attacchi di imitazione contro i propri clienti, partner, investitori e il pubblico in generale. Controlla eventuali mandati proposti che includano DMARC, cyber-assicurazione e protezione avanzata dalle minacce attraverso una serie definita di controlli di sicurezza della posta elettronica.
Afferrare la vittoria dall’inganno
La maggior parte, se non tutte, di queste crescenti sfide riflettono un passaggio accelerato dalle minacce e-mail basate sulla tecnologia agli attacchi basati sul social engineering. BEC, VEC, estorsione e phishing credenziali sono tutti in aumento e nessuno di essi richiede una tecnologia sofisticata. Nel 2020, le organizzazioni saranno in grado di implementare difese contro queste e altre minacce avanzate via e-mail potrebbero avere un netto vantaggio commerciale, in quanto quelle che non possono diventare obiettivi sempre più allettanti.
