Il fenomeno nel primo trimestre 2019
Il rapporto presenta due importanti novità nel panorama delle attività di phishing nel primo trimestre 2019.
Si denota innanzitutto un cambio di target: se negli ultimi anni il fenomeno era immediatamente associato all’ambito bancario e finanziario, i primi tre mese del 2019 hanno visto un importante aumento delle attività di phishing nei confronti di servizi di Webmail e – più in generale – del mondo SAAS[i]. Tali servizi sono stati il bersaglio del 36% delle attività di phishing, seguiti al secondo posto dai sistemi di pagamento, con il 27%. Il grafico a lato, estratto dal report APWG, mostra la distribuzione dei target.
[i] “Software-as-a-Service”. Rientrano in questa categoria, tra gli altri, anche i servizi di Cloud Storage.
Il secondo aspetto è relativo al mutamento dei canali di phishing: si riscontra infatti un sensibile aumento (58% del totale delle pagine, contro il 46% dell’ultimo trimestre 2018) delle pagine di phishing che fanno uso di canali cifrati (HTTPS). Tale mutamento è sicuramente da ricondursi alla semplicità – sia tecnologica che economica – con cui si possa acquisire un certificato SSL da poter utilizzare sulla propria pagina malevola.
L’uso opportuno di tale certificato fa sì che tutti i moderni browser non presentino alcuna segnalazione all’utente che cercasse di consultare la pagina malevola, inducendo l’utente a ritenere legittima la medesima.
Il grafico seguente, estratto dal report APWG, mostra la percentuale di utilizzo di HTTPS nei siti di phishing:
Contromisure
Le possibili contromisure tecnologiche al phishing sono molteplici, ma sono da ritenersi di poca efficacia dal momento che le attività di phishing, e più in generale il mondo del Social Engineering, non sfruttano vulnerabilità tecniche ma la disattenzione degli utenti. Ne consegue che l’arma più efficace per combattere un tale fenomeno sia la costante sensibilizzazione degli utenti.
Un tale approccio – da intendersi assolutamente come un processo che acuisca negli utenti l’attenzione piuttosto che le paure – può facilmente essere trasformato in un percorso di formazione continua, avendo cura di personalizzare i momenti formativi secondo gli utenti ed i dati da essi trattati.
Si noti altresì che le attività di formazione, a tutela dei dati aziendali gestiti, rientrano negli obblighi previsti dalla General Data Protection Regulation (GDPR)[i].
[i] Art. 39 "Compiti del responsabile della protezione dei dati" e Art. 47 "Norme vincolanti d'impresa"
20 giugno 2019