Ai fornitori di servizi gestiti viene data fiducia implicita sull’infrastruttura di piccole imprese per progettarla, gestirla e proteggerla. Non sorprende che un solo errore sulla rete di un cliente MSP possa significare milioni di danni da una violazione dei dati. Sapendo che gli MSP si preoccupano di configurare la rete di un cliente con la sicurezza in mente, gli hacker hanno modificato direttamente l’attenzione sugli MSP. Mediante il phishing per le credenziali o la compromissione diretta della rete di un MSP, un utente malintenzionato ha accesso a una miniera di informazioni che possono essere utilizzate per compromettere le piccole e medie imprese.
Gli MSP sono l’ultimo obiettivo per gli aggressori
Non è raro che gli MSP trascorrano ore nelle configurazioni di sicurezza e nelle appliance che proteggono i loro ambienti dei clienti, ma poi si indeboliscono nei loro standard di sicurezza. Gli hacker sanno anche che alcuni dipendenti non hanno familiarità con i comuni attacchi di phishing e potrebbero essere un buon bersaglio per un attacco.
L’aumento degli attacchi MSP ha persino attirato l’attenzione del team statunitense sull’adeguatezza delle emergenze informatiche. Un nuovo avviso ha fornito un avvertimento per gli MSP che gli aggressori hanno puntato su di loro in modo persistente negli ultimi mesi. Gli attacchi sono rivolti a qualsiasi fornitore gestito in diversi settori IT tra cui MSP, fornitori di servizi cloud e fornitori di sicurezza. Se memorizzi una grande quantità di credenziali del cliente, è probabile che gli autori di attacchi possano creare una campagna di phishing per ottenere l’accesso alla tua rete locale o ai tuoi clienti.
Cosa possono fare gli MSP
Essere lassisti sugli standard di sicurezza informatica non è mai un’opzione, ma accade in alcuni ambienti in cui MSP gestisce diversi clienti e taglia gli angoli durante i mesi più affollati. Poiché il phishing è uno degli attacchi più comuni, è importante che gli MSP siano a conoscenza delle campagne in corso rivolte alle loro organizzazioni e prendano precauzioni.
Il phishing è uno degli attacchi più difficili da difendere perché richiede solo un impiegato impegnato che non nota le bandiere rosse e accede a un server Web controllato da un aggressore. Altri attacchi possono anche rendere vulnerabile l’MSP come XSS o SQL injection. Eventuali moduli online presentati pubblicamente a dipendenti interni che leggono contenuti utilizzando un’interfaccia basata sul Web devono essere sottoposti a test di vulnerabilità. Utilizzando SQL injection o XSS (o una combinazione di entrambi), un utente malintenzionato potrebbe ingannare un utente mirato a divulgare informazioni riservate.
Qualsiasi applicazione pubblica dovrebbe essere sottoposta a test di vulnerabilità e gli utenti dovrebbero essere informati sui molti modi in cui gli utenti malintenzionati inviano email di phishing e costruiscono siti web di cloni che inducono gli utenti a immettere dati sensibili. Le applicazioni per le prove di penetrazione dovrebbero sempre essere fatte indipendentemente da quanto innocua sembra essere. Gli aggressori possono utilizzare le vulnerabilità su un’applicazione pubblica per ottenere più dati dalla rete MSP interna. Il problema con il phishing, tuttavia, è che gli aggressori inviano più e-mail e che solo una persona deve essere vittima di una email. In molti attacchi riusciti, l’utente target era troppo occupato per notare le bandiere rosse.
Quali sono le bandiere rosse di phishing a cui prestare attenzione:
- L’email ha un allegato che non ti aspettavi
- L’e-mail include link a siti non familiari (passa con il mouse sul controllo)
- L’indirizzo del mittente non è corretto. Una tattica universale tra i truffatori è l’uso di email o indirizzi web falsificati. Controlla se questo indirizzo corrisponde al nome del mittente e se il dominio della società è corretto.
- Il mittente non ti indirizza con il tuo nome corretto.
- L’email richiede informazioni personali come password, informazioni bancarie, ecc.
- Cattiva ortografia e grammatica
Con gli attacchi di phishing che diventano così diffusi, gli MSP devono essere vigili con i loro metodi di sicurezza informatica che proteggono gli utenti. Un modo per proteggere gli utenti è utilizzare il filtro dei contenuti. Il filtro del contenuto blocca determinati siti e impedisce agli utenti di accedere a siti Web noti come siti di attacco.
Il filtro del contenuto basato sul DNS blocca le e-mail di phishing che passano attraverso i filtri del servizio di posta elettronica. Un utente che riceve un’email di phishing potrebbe fare clic su un collegamento, ma con il filtro del contenuto basato sul DNS, non sarà in grado di raggiungere il sito Web. Poiché questi siti sono inclusi in una lista nera impostata dall’amministratore di rete dell’MSP, nessun utente è in grado di raggiungere il sito. Questo tipo di filtro dei contenuti protegge la rete da malware scaricati, contenuti che potrebbero essere utilizzati per ingannare gli utenti e siti Web che sembrano siti legittimi ma che sono in realtà applicazioni controllate dagli aggressori.
Alcuni attacchi di phishing combinano l’ingegneria sociale per indirizzare utenti specifici su una rete. Ad esempio, un utente malintenzionato potrebbe cercare dipendenti del dipartimento finanza e trovare quelli che potrebbero avere privilegi più elevati. Possono utilizzare le informazioni trovate sui social media come LinkedIn o Facebook e utilizzare queste informazioni per ingannare un dipendente all’interno dell’organizzazione. A volte gli aggressori trascorrono settimane a cercare utenti target per le loro campagne di phishing.
Gli MSP possono educare i loro utenti, ma la sola istruzione non è sufficiente per proteggere la rete interna da una violazione dei dati dovuta al phishing. Il filtro del contenuto basato su DNS può bloccare gli attacchi riusciti perché gli utenti non possono più accedere a questi siti di attacco. Questo tipo di filtro dei contenuti impedisce inoltre agli utenti di esplorare questi siti se li trovano su Internet. Il sovraccarico di sicurezza informatica per un MSP è già difficile, ma il filtro del contenuto basato su DNS può proteggere dagli attacchi di phishing che rafforzano l’infrastruttura e le difese.
