Il 90% delle violazioni parte da un caso di phishing o di social engineering. Un dato che mette in luce il ruolo della componente umana nella cybersecurity.

 

 

Una mail di spam. Questo è quello che alla maggior parte degli hacker serve per portare a termine un attacco informatico. Stando all’ultimo rapporto Clusit, infatti, nel 2016 i casi di phishing e social engineering sono aumentati del 1.166%. Circa il 90% dei problemi di violazione dei dati è legata a questi episodi e gli utenti che cadono nella trappola sono tra il 20 e il 40%.

 

Con questo metodo, il 72% dei cyber criminali cerca di guadagnare attraverso l’estorsione di denaro o il furto di dati importanti. Nel 2011, chi traeva guadagno da questa tecnica era solo il 36%. I settori più colpiti sono la sanità, la grande distribuzione e la finanza.

 

Ma cos’è esattamente il phishing e perché è così efficacie?

 

Un attacco che fa leva sulla componente umana

 

Il phishing prevede in sostanza l’invio di mail realizzate per assomigliare a quelle di enti o istituti con i quali gli utenti hanno familiarità: con queste mail, gli hacker richiedono alle vittime di compiere azioni come scaricare allegati (che contengono malware), inserire credenziali private o aziendali e informazioni sensibili.

 

Niente vulnerabilità del sistema o falle nel perimetro di sicurezza, quindi. Tutto è basato sull’ingenuità o la poca attenzione degli utenti che ricevono le mail. A differenza dei sistemi informatici, che sono in continua evoluzione, la componente umana spesso non tiene il passo con le nuove minacce e risulta essere l’anello debole.

 

Proliferano anche gli strumenti dedicati

 

Secondo Enrico Milanese, responsabile della sicurezza di Emaze, azienda specializzata nelle soluzioni di cyber security, è sempre più facile reperire strumenti open source per le azioni di spear phishing. Questi tool sono dotati di funzioni pensate per illudere i controlli e i filtri di sicurezza.

 

Per questo motivo la preparazione degli utenti diventa ancora più importante. Per le aziende è fondamentale, al fine di evitare questi episodi, di dedicare tempo e risorse alla formazione del personale per insegnarli a riconoscere le finte mail e non cadere nel tranello degli hacker.