L'ingegneria sociale non è certo un concetto nuovo, anche nel mondo della sicurezza informatica. Le sole truffe di phishing esistono da quasi 30 anni, con gli aggressori che trovano costantemente nuovi modi per indurre le vittime a fare clic su un collegamento, scaricare un file o fornire informazioni sensibili.
Gli attacchi BEC (Business Email Compromise) hanno reiterato questo concetto consentendo all'attaccante di accedere a un account di posta elettronica legittimo e impersonarne il proprietario. Gli aggressori sostengono che le vittime non metteranno in discussione un'e-mail che proviene da una fonte attendibile e, troppo spesso, hanno ragione.
Ma la posta elettronica non è l'unico mezzo efficace utilizzato dai criminali informatici per impegnarsi in attacchi di social engineering. Le aziende moderne si affidano a una vasta gamma di applicazioni digitali, dai servizi cloud e VPN agli strumenti di comunicazione e ai servizi finanziari. Inoltre, queste applicazioni sono interconnesse, quindi un utente malintenzionato che può comprometterne una può comprometterne anche altre. Le organizzazioni non possono permettersi di concentrarsi esclusivamente su attacchi di phishing e BEC, non quando la compromissione delle applicazioni aziendali (BAC) è in aumento.
Targeting Single Sign-On
Le aziende utilizzano le applicazioni digitali perché sono utili e convenienti. Nell'era del lavoro da remoto, i dipendenti hanno bisogno di accedere a strumenti e risorse fondamentali da un'ampia gamma di postazioni e dispositivi. Le applicazioni possono semplificare i flussi di lavoro, aumentare l'accesso alle informazioni critiche e rendere più facile per i dipendenti svolgere il proprio lavoro. Un singolo dipartimento all'interno di un'organizzazione potrebbe utilizzare dozzine di applicazioni, mentre ilun'azienda media ne utilizza più di 200. Sfortunatamente, i reparti di sicurezza e IT non sempre sono a conoscenza, figuriamoci approvare, di queste applicazioni, rendendo la supervisione un problema.
L'autenticazione è un altro problema. Creare (e ricordare) combinazioni univoche di nome utente e password può essere una sfida per chiunque utilizzi dozzine di app diverse per svolgere il proprio lavoro. L'utilizzo di un gestore di password è una soluzione, ma può essere difficile da applicare per l'IT. Al contrario, molte aziende semplificano i propri processi di autenticazione attraverso soluzioni single sign-on (SSO)., che consentono ai dipendenti di accedere a un account approvato una volta per accedere a tutte le applicazioni e i servizi connessi. Tuttavia, poiché i servizi SSO offrono agli utenti un facile accesso a dozzine (o addirittura centinaia) di applicazioni aziendali, sono bersagli di alto valore per gli aggressori. I fornitori di SSO hanno caratteristiche e capacità di sicurezza proprie, ovviamente, ma l'errore umano rimane un problema difficile da risolvere.
Ingegneria sociale, evoluta
Molte applicazioni, e sicuramente la maggior parte delle soluzioni SSO, dispongono dell'autenticazione a più fattori (MFA). Ciò rende più difficile per gli aggressori compromettere un account, ma non è certamente impossibile. L'AMF può essere fastidioso per gli utenti, che potrebbero doverlo utilizzare per accedere agli account più volte al giorno, causando impazienza e, a volte, disattenzione.
Alcune soluzioni MFA richiedono all'utente di inserire un codice o mostrare la propria impronta digitale. Altri semplicemente chiedono: "Sei tu?" Quest'ultimo, sebbene più facile per l'utente, offre agli aggressori spazio per operare. Un utente malintenzionato che ha già ottenuto un set di credenziali utente potrebbe tentare di accedere più volte, pur sapendo che l'account è protetto da MFA. Inviando spam al telefono dell'utente con richieste di autenticazione MFA, gli aggressori aumentano l'affaticamento vigile della vittima. Molte vittime, dopo aver ricevuto un diluvio di richieste, presumono che l'IT stia tentando di accedere all'account o fanno clic su "approva" semplicemente per fermare il flusso di notifiche. Le persone si infastidiscono facilmente e gli aggressori lo sfruttano a proprio vantaggio.
In molti modi, questo rende il BAC più facile da realizzare rispetto al BEC. Gli avversari impegnati nel BAC devono solo infastidire le loro vittime affinché prendano una decisione sbagliata. E prendendo di mira i provider di identità e SSO, gli aggressori possono ottenere l'accesso a dozzine di applicazioni diverse, tra cui risorse umane e servizi paghe. Le applicazioni comunemente utilizzate come Workday sono spesso accessibili tramite SSO, consentendo agli aggressori di impegnarsi in attività come depositi diretti e frodi sulle buste paga che possono incanalare fondi direttamente nei propri conti.
Questo tipo di attività può facilmente passare inosservato, motivo per cui è importante disporre di strumenti di rilevamento in rete in grado di identificare comportamenti sospetti, anche da un account utente autorizzato. Inoltre, le aziende dovrebbero dare la priorità all'uso di chiavi di sicurezza FIDO (Fast Identity Online) resistenti al phishing
quando si utilizza l'AMF. Se i fattori solo FIDO per MFA non sono realistici, la cosa migliore da fare è disabilitare e-mail, SMS, voce e password monouso basate sul tempo (TOTP) a favore delle notifiche push, quindi configurare MFA o criteri del provider di identità per limitare l'accesso ai dispositivi gestiti come ulteriore livello di sicurezza.
Dare priorità alla prevenzione del BAC
Recente ricerca indica
che le tattiche BEC o BAC sono utilizzate nel 51% di tutti gli incidenti. Sebbene meno noto del BEC, il BAC di successo garantisce agli aggressori l'accesso a un'ampia gamma di applicazioni aziendali e personali associate all'account. L'ingegneria sociale rimane uno strumento ad alto rendimento per gli aggressori di oggi, uno che si è evoluto insieme alle tecnologie di sicurezza progettate per fermarlo.
Le aziende moderne devono educare i propri dipendenti, insegnando loro come riconoscere i segnali di una potenziale truffa e dove denunciarla. Con le aziende che utilizzano più applicazioni ogni anno, i dipendenti devono lavorare fianco a fianco con i loro team di sicurezza per aiutare i sistemi a rimanere protetti da attacchi sempre più subdoli.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
