"Il 90% dei problemi relativi alla violazione di dati ha avuto inizio con una mail di spear phishing o attività di social engineering". E' quanto sostiene Enrico Milanese, responsabile della sicurezza di Emaze, azienda che opera nel settore della cyber security. "Le statistiche - aggiunge - indicano tra un 20-40% di utenti caduti nella truffa di attacchi mirati di spear phishing. Gli hacker fanno leva sulla componente e psicologia umana per indurre una vittima ad eseguire azioni, aprire allegati, inserire le credenziali aziendali o private in siti non legittimi. Le componenti tecnologiche solitamente non riescono ancora a prevenire o combattere sempre in maniera efficace tutti questi scenari".
Secondo quanto contenuto nell'ultimo rapporto di Clusit, ricorda Emaze, nel 2016 gli attacchi compiuti con tecniche di phishing e social engineering sono cresciuti del 1.166% rispetto all'anno precedente. La sanità è il settore più colpito (+102%), seguito dalla grande distribuzione organizzata (+70%) e da quello finanziario e bancario (+64%). Nel 72% di casi di attacco, la motivazione dei cyber criminali è da ricercare nella volontà di estorcere denaro direttamente o attraverso il furto di informazioni sensibili. Quest'ultimo dato è in crescita costante dal 2011, quando era 'appena' al 36%.
"Va poi registrato - spiega ancora Milanese - che oramai strumenti open source o presenti nel black market per attuare campagne di Spear Phishing sono molto diffusi e facilmente reperibilil. Questi strumenti hanno già incorporate una serie di funzionalità per aggirare sistemi di controllo e molte funzionalità anti-detection. Molti di questi permettono in certi casi di aggirare i controlli di sicurezza. Come contromisure va detto che la soluzione non può essere unica vista la complessità del problema, solamente la componente tecno,logica non è in grado di prevenire e risolvere alla radice il fenomeno. Devono essere attuate diverse strategie, dalla formazione al training delle risorse umane, per rendere partecipi in maniera attiva e proattiva tutte le strutture interne dell’organizzazione", conclude Milanese.
