Lo spear phishing (il nome evoca l’antica pratica di pesca con lancia) è un tipo di attacco mirato attraverso comunicazioni elettroniche, come le e-mail, nel quale gli sforzi sono concentrati contro un bersaglio preciso (un individuo o alcuni membri di un’organizzazione)
Phishing e spear phishing, le differenze
Per questa caratteristica, lo spear phishing si distingue dal più noto phishing, una truffa indirizzata a una moltitudine indiscriminata di destinatari con lo scopo che almeno una piccola parte di questi “abbocchi” all’esca e metta in atto il comportamento indotto dall’aggressore (come compilare un form on line, scaricare un file e così via). La forza del phishing tradizionale sta dunque nell’irrisorietà dei costi e dei tempi in relazione alla mole dei messaggi “esca” ma, per contro, la possibilità che porti a dei risultati per ogni singolo destinatario è decisamente bassa.
Un’efficacia diversa ha lo spear phishing, dal momento che viene confezionato con elementi che puntano a risultare attendibili e individuati appositamente per conquistare la fiducia del destinatario e per superare i filtri antispam. Secondo una stima recente, i danni derivanti dagli attacchi mirati potranno toccare l’esorbitante cifra di 6 trilioni di dollari a livello globale per il 2021[1].
Chi sono i target dello spear phishing
I costi e le difficoltà tecniche dello spear phishing fan sì che le “prede” prescelte siano solitamente soggetti in grado di offrire un considerevole vantaggio agli aggressori, come impiegati con ruoli di alto livello che possono fornire dati e informazioni utili per scopi di spionaggio.
Ciò non significa che non vi possano rientrare persone comuni o rappresentanti di piccole organizzazioni, le quali possono essere prese di mira in considerazione della minor preparazione, al fine ad esempio di estorcere denaro. Di fatto, è stato stimato che almeno il 33% delle violazioni avvenute nel 2019 sono riconducibili a una disattenzione o a un errore dell’utente, che non ha riconosciuto un messaggio ingannevole.
Gli elementi di un attacco di Spear Phishing
Lo spear phishing fa perno sulla conoscenza del destinatario da colpire, del suo contesto e quindi sulla ricostruzione di quei dettagli che possano rendere credibile il messaggio.
L’aggressore quindi preliminarmente ricerca informazioni sulla vittima prescelta, avvalendosi di tecniche di ingegneria sociale: potrebbero bastare anche semplici dati facilmente reperibili tramite Web o sui social network.
In una seconda fase, particolarmente delicata, si studia come indurre il destinatario a compiere una precisa azione, ad eseguire un comando. Il messaggio deve essere innanzitutto credibile in modo da non allertare la vittima (non contenere errori, rimandare a un sito falso ma perfettamente curato…), e fare leva su determinati meccanismi psicologici come l’ansia o la paura. L’hacker cerca di calibrare in modo corretto il livello di emozione da suscitare nel destinatario, in quanto un messaggio con ad esempio una richiesta straordinaria e urgente potrebbe indurlo ad agire d’impulso e compiere azioni avventate, ma anche insospettirlo.
Il terzo elemento, come per il phishing tradizionale, è il comportamento da indurre, come la rivelazione di un’informazione sensibile, il cliccare un link, l’installare un determinato software, l’effettuare un pagamento ecc.
L’ultimo elemento, che richiede la maggior perizia tecnica, è quello di camuffare il messaggio: tramite lo spoofing, ad esempio, è possibile far apparire un mittente del messaggio diverso da quello effettivo, in modo che la vittima vi riconosca in una persona fidata, come ad esempio un collega.
Difendersi dallo Spear Phishing
La difesa dallo spear phishing è quindi un obiettivo più arduo rispetto al phishing più tradizionale: se per quest’ultimo le strategie difensive si basano sul mantenimento di una certa consapevolezza e attenzione, lo spear phishing è studiato proprio per far breccia in queste.
La formazione del personale deve quindi essere affiancata da adeguati strumenti per smascherare le e-mail con mittente contraffatto, quali dei filtri in grado di carpire anomalie nell’header delle stesse.
Altri scudi possono essere innalzati a livello organizzativo: per le comunicazioni e-mail è opportuno creare canali di comunicazione interni scortati da VPN, in modo che le comunicazioni interne non possano essere confuse con quelle esterne; più in generale è opportuno che i comandi per le operazioni più critiche dovrebbero protetti da sistemi di autenticazione a due fattori.
Inoltre, è necessario che ogni tentativo di attacco sia segnalato e portato a conoscenza delle competenti funzioni aziendali, in quanto la ricezione anche di un singolo attacco, a differenza del phishing tradizionale, indica che l’organizzazione è bersaglio di una campagna consapevolmente orchestrata che probabilmente è destinata a perdurare e colpire altri membri dell’organizzazione.
[1] Stima elaborata da Cefriel e presentata nell’ambito del progetto di ricerca europeo Horizon 2020
