Quattro aziende su cinque subiscono attacchi informatici veicolati dalla posta elettronica. Si punta spesso al furto di credenziali e, come obiettivo finale, di denaro. Second un recente rapporto dell’Fbi, nel 2017 questo fenomeno ha causato circa 680 milioni di dollari di danni alle aziende.

È immarcescibile, nonostante il continuo sbocciare di nuove tendenze fra app, social network e servizi cloud. La posta elettronica non smette di essere il primo strumento di comunicazione sul lavoro, tant’è che ogni giorno (secondo una stima di The Radicati Group riferita al 2018) nel mondo vengono scambiati 281 miliardi di messaggi email.

Ma è anche sempreverde in un altro senso: continua a essere un bersaglio molto amato da criminali informatici, truffatori e ladri di dati. Stando a un sondaggio condotto da Barracuda Networks su dirigenti e responsabili It di 145 piccole, medie e grandi aziende della regione Emea, appartenenti a diversi settori, ben quattro società su cinque hanno subìto almeno un attacco tramite email nel corso dell’ultimo anno.

E il quadro è aggravato dall’impressione che aumentino sia la frequenza (per il 73% degli intervistati) sia la gravità di questi episodi, da cui derivano sempre maggiori danni (per il 72%) in termini di interruzione delle attività, calo di produttività dei dipendenti, impatti sulla reputazione dell’azienda, spese di ripristino dei sistemi informatici o di recupero dei dati persi.

Per il 79% degli intervistati l’anello debole nella catena della sicurezza è rappresentato da comportamenti imprudenti delle persone, come quelli di chi non presta sufficiente attenzione ai mittenti, scarica allegati e clicca su link senza verificare da chi provengano.

Uno studio di Proofpoint fornisce una conferma sull’ascesa generale delle frodi via email: nel primo trimestre di quest’anno il 40% delle aziende colpite ha ricevuto tra i dieci e i cinquanta attacchi su questo vettore, ed è anche in crescita (del 20% rispetto alla fine del 2017) il numero di coloro che hanno subito più di cinquanta tentativi di infezione.

I trojan bancari sono l’insidia più frequentemente racchiusa nei messaggi, tant’è che per la prima volta dal 2016 nel primo trimestre di quest’anno hanno superato numericamente i ransomware in quanto a minaccia veicolata via email. Ma i criminali non smettono di divertirsi con altre forme di infezione già note, come gli stealer di credenziali che intercettano nomi utente e password (era di questo tipo quasi un malware via email su cinque, il 19%, fra quelli del primo trimestre) e come i downloader (18%), che scaricano o installano altri programmi nocivi sui computer o smartphone delle vittime.

Desta particolari preoccupazioni anche l’impennata del social engineering, l’insieme delle tecniche tese a carpire informazioni personali sulla vittima, così da confezionare inganni più efficaci e mirati.

 

Truffe sempre più elaborate

Se la truffa epistolare è particolarmente sofisticata, allora rientra di diritto nella categoria delle attività di business email compromise (gli addetti ai lavori le indicano con l’acronimo Bec). L’espressione non implica che ci sia stato un hackeraggio del sistema di posta elettronica aziendale, ma sta semplicemente a indicare che si impiegano indirizzi “business” di dipendenti e collaboratori di un’azienda per raggiungere diversi scopi di guadagno illecito o di interferenza con le attività dell’organizzazione bersaglio.

Rispetto alle semplici frodi via email, in questi casi gli autori si prendono del tempo per capire quali siano i talloni d’Achille dell’azienda, cioè quali gli individui da colpire, e preparano attacchi strutturati in più fasi.

Un report pubblicato lo scorso maggio dall’Fbi stima che nel 2017 questo fenomeno abbia causato non meno di 676 milioni di dollari di danni alle sole aziende statunitensi, e peraltro la cifra reale è presumibilmente più alta, considerato il fatto che molti episodi non vengono nemmeno denunciati.

Le aziende spesso tacciono, vuoi perché non si accorgono di nulla, vuoi perché per ragioni di reputazione è meglio non sventolare ai quattro venti la notizia (mentre in Europa, con il Gdpr, nel caso di violazioni con associato furto di dati è diventato obbligatorio dare notifica entro 72 ore dalla scoperta).

Una tipica tattica di raggiro è quella per cui il mittente finge di essere un collega oppure un fornitore, usando una motivazione plausibile per chiedere al destinatario di effettuare un pagamento o di fornire informazioni finanziarie.