Verizon ha pubblicato il 16° Data Breach Investigation Report (DBIR), lo studio che fornisce informazioni su compromissione della posta elettronica aziendale (BEC), social engineering e altre tendenze del settore.
Dai dati emerge che gli attacchi BEC sono oggi la più grande minaccia alla sicurezza informatica per le aziende. Dei 16.312 incidenti di sicurezza che si sono verificati in più di 20 settori in tutto il mondo analizzati da Verizon, 5.199 erano data breach.
Ecco i tre punti salienti del report:
- Gli attacchi BEC di social engineering sono in aumento
Negli ultimi anni, gli attacchi BEC di ingegneria sociale sono in costante aumento. Il report DBIR 2023 evidenzia che questa tendenza non mostra segni di rallentamento. In effetti, gli attacchi BEC sono raddoppiati nell’ultimo anno, rappresentando quasi il 60% degli incidenti di social engineering.
Un attacco BEC coinvolge un attore delle minacce che utilizza la posta elettronica o una campagna di posta elettronica per rubare denaro o ottenere l’accesso a informazioni aziendali sensibili. Gli attacchi BEC in genere non utilizzano collegamenti o allegati URL dannosi per fornire i loro payload pericolosi. Ciò li rende estremamente difficili da rilevare, mitigare e rimuovere con semplici soluzioni aggiuntive per la sicurezza della posta elettronica. Ed è per questo che le aziende sono vulnerabili a questi tipi di attacchi.
I cyber criminali hanno a disposizione una vasta gamma di strumenti e metodi per attaccare le aziende. Tuttavia, tendono a preferire un approccio “collaudato”: il social engineering. Gli attacchi di social engineering sfruttano la tendenza degli esseri umani a fidarsi l’uno dell’altro. Gli aggressori manipolano, creano fiducia e creano un senso di urgenza per indurre gli utenti a commettere errori di sicurezza o a divulgare dati sensibili.
Nell’ultimo anno, Verizon ha scoperto che gli attacchi BEC basati su pretesti sono quasi raddoppiati in tutto il mondo. Il pretesto è una delle tattiche di social engineering più popolari. In questo tipo di attacco, un cyber criminale convince un utente a rivelare informazioni sensibili attraverso una serie di bugie abilmente costruite.
Questa truffa spesso inizia con un utente malintenzionato che finge di essere un dirigente, un collega o un’altra persona autorizzata che necessita di informazioni sensibili dall’utente per svolgere un’attività specifica o critica. L’aggressore inizia a stabilire un rapporto di fiducia con l’utente ponendogli domande personali che confermano l’identità dell’utente, come il numero di previdenza sociale, l’indirizzo personale o il numero di telefono.
Il Verizon DBIR ha rilevato che questi attacchi rappresentano ora oltre il 50% di tutti gli incidenti di social engineering. La perdita media per ogni incidente è superiore a $ 50.000. Un fatto correlato: motivi finanziari guidano un enorme 94,6% di tutte le violazioni.
Uno dei motivi per cui gli attori delle minacce hanno così tanto successo con i pretesti è che le aziende semplicemente non sono disposte a fermarli. Molte soluzioni aggiuntive per la sicurezza della posta elettronica non sono molto efficaci quando si tratta di identificare, bloccare e correggere le e-mail BEC. E questo include le minacce dei fornitori, l’impersonation e gli attacchi TOAD (telephone-oriented attack delivery).
- Gli attori delle minacce continuano a prendere di mira e sfruttare le persone
Gli attori delle minacce non vogliono entrare nella tua azienda, vogliono accedervi. Questo è il motivo principale per cui i criminali informatici prendono di mira e sfruttano l’anello più debole della tua infrastruttura di sicurezza: il tuo personale.
Mentre i tuoi professionisti della sicurezza e del rischio costruiscono e implementano difese di sicurezza più complesse, i tuoi dipendenti sono sotto assedio. Gli utenti devono avere ragione il 100% delle volte quando incontrano diversi tipi di attacchi e-mail. Un passo falso e la tua azienda potrebbe essere il prossimo titolo di violazione dei dati.
L’anno scorso, la maggior parte delle violazioni dei dati ha coinvolto l’elemento umano o qualche tipo di errore umano, uso improprio dei privilegi, credenziali compromesse o individui vittime di attacchi di social engineering. Verizon riferisce che il 74% delle violazioni dei dati include l’elemento umano.
Anche il recente rapporto Proofpoint 2023 Human Factor conferma le scoperte di Verizon secondo cui abbiamo una “crisi di identità”. Nel report Human Factor di Verizon di quest’anno, è stato rilevato che “fino al 40% delle identità di amministratore ombra può essere sfruttato in un unico passaggio, ad esempio reimpostando una password di dominio per elevare i privilegi. E si è scoperto che il 13% degli amministratori ombra disponeva già di privilegi di amministratore di dominio”.
Questi risultati mostrano che c’è un bisogno fondamentale di solide misure di sicurezza, come l’awareness – la formazione per la consapevolezza degli utenti e il controllo degli accessi – e altre strategie proattive per rilevare e mitigare le minacce. Tutti ciò può aiutare a proteggere le aziende da data breach, accessi non autorizzati e danni finanziari e di reputazione.
- Credenziali rubate e ransomware guidano l’accesso degli aggressori
I cyber criminali fanno molto affidamento su credenziali rubate o compromesse perché sono facili da ottenere. Possono essere acquistati dal dark web o acquisiti attraverso una scarsa igiene della password dell’utente, incluso il riutilizzo della password su più applicazioni (sia aziendali che personali).
Il punto è che gli attori delle minacce vogliono prendere la strada più semplice per ottenere l’accesso alla rete della tua azienda. E quel percorso molto spesso implica lo sfruttamento delle credenziali rubate. Il report DBIR di Verizon rileva che le credenziali rubate o compromesse sono alla base di poco più del 50% di tutte le violazioni.
I risultati mostrano che il ransomware continua a regnare come uno dei principali tipi di azione presenti nelle violazioni. Il ransomware è responsabile del 24% di tutte le violazioni dei dati, afferma il rapporto. Le infezioni da ransomware sono diffuse tra le aziende di tutte le dimensioni e in tutti i settori. L’anno scorso, il ransomware è stato così ampiamente utilizzato ed efficace che il 90% delle aziende colpite dal ransomware disponeva di una polizza assicurativa informatica. E il 64% delle persone infette da ransomware ha pagato un riscatto.
Il punto chiave qui è che gli attori delle minacce utilizzano un potente metodo one-two (credenziali rubate e ransomware) per ottenere l’accesso ad applicazioni, sistemi e servizi aziendali.
Leggi il report completo Data Breach Investigation Report
https://www.proofpoint.com/us/blog/takeaways-from-2023-verizon-data-breach-investigations-report
