Il phishing-as-a-Service e lo smishing sono le fonti principali degli attacchi sia per le aziende che per gli utenti finali a livello globale.
Nel 2021 gli attacchi di phishing sono aumentati del 29% a livello globale, hanno colpito maggiormente la vendita al dettaglio e all’ingrosso. L’incremento è legato alla diffusione del Phishing as-a-Service, che offre strumenti di attacco pronti all’uso accessibili anche a chi non ha competenze tecniche di spessore. Oltre a questo, è da annotare un crescente utilizzo di nuovi vettori di attacco, come il phishing tramite SMS, che è diventato uno dei metodi più prevalenti di violazione.
Sono alcuni dei dati contenuti nel 2022 ThreatLabz Phishing Report, frutto dell’analisi degli 873,9 milioni di attacchi monitorati nel cloud Zscaler. Alla luce di tali numeri, gli esperti confermano quanto già reso noto nell’Internet Crime Report 2020 dell’FBI, secondo cui i tentativi di phishing sono il cyberattacco più frequentemente segnalato. Colpiscono sia l’utenza privata che quella business, e la loro efficacia li ha resi un ottimo punto di partenza per violare le aziende e diffondere ransomware o rubare dati sensibili.
Il phishing di per sé non è certo una novità: è sempre stato una delle minacce informatiche più diffuse, grazie alla semplicità con cui i criminali informatici possono accedere ai sistemi di phishing e utilizzarli. Come noto, gli attaccanti sfruttano argomenti d’attualità, come la pandemia, ma anche i cambi d’abitudine degli utenti come l’uso di strumenti di produttività, di siti di streaming, dell’ecommerce, dei servizi logistici. Qualsiasi esca è lecita purché convinca le vittime inconsapevoli a fornire dati riservati, come password, informazioni della carta di credito e credenziali di accesso.
Il problema è globale, seppur con dei distinguo. Nel 2021, gli Stati Uniti sono stati il Paese più colpito a livello mondiale, con oltre il 60% di tutti gli attacchi di phishing bloccati dal cloud di sicurezza Zscaler. Seguono Singapore, Germania, Paesi Bassi e Regno Unito.
Sul piano dei settori operativi, nel 2021 e aziende che si occupano di vendita al dettaglio e all'ingrosso hanno subìto un aumento di oltre il 400% dei tentativi di phishing. Seguono il settore finanziario e la pubblica amministrazione, con un aumento in media del 100% degli attacchi. In notevole calo rispetto al 2020 sono stati invece gli attacchi contro sanità (-59%) e settore terziario (-33%).
I ricercatori di ThreatLabz hanno calcolato che un'azienda di medie dimensioni riceve decine di email di phishing ogni giorno. Questo significa che i dipendenti, a tutti i livelli, devono essere consapevoli delle tattiche di phishing più comuni ed essere in grado di individuare i tentativi di phishing che possono causare perdite finanziarie e danni di reputazione all’azienda.
Oltre alla formazione, è fondamentale che le aziende sfruttino strumenti automatizzati e di intelligence per fornire ai dipendenti gli strumenti necessari per ridurre gli incidenti di phishing, e che conducano periodicamente simulazioni di attacchi per verificare l’efficacia delle policy attuate. È inoltre consigliabile condurre periodiche valutazioni dell'infrastruttura di sicurezza per garantire l'accesso alle più recenti ricerche e capacità del sistema.