Cosa fare per tutelarsi da un attacco via email phishing?
Siccome non è possibile impedire ai malintenzionati di spedire mail di phishing bisogna invece lavorare per:
- ridurre la probabilità che gli utenti abbocchino
- impederire che il ransomware faccia danni anche se gli utenti danno il via, seppur inconsapevolmente, alla sua esecuzione
Tool di prevenzione: filtraggio delle email
Filtrare le mail ingress mediante un Sistema antispam/antivirus professionale è assolutamente necessario ed efficace per bloccare il transito di allegati potenzialmente pericolosi (.exe, .bat, .vbs,…) e per fermare alla frontiera email provenienti dale più note botnet (reti di computer zombie usati per lanciare attacchi su larga scala).
Questa attività di filtraggio è necessaria ma, purtroppo, per nulla sufficiente.
Nella nostra esperienza la quasi totalità di chi è stato infettato da un ransomware era protetto da antivirus e buona parte utilizzava anche sistemi di email filtering.
percentuale di utenti che usavano un determinato tool di sicurezza e che sono stati comunque infettati (fonte Barkly)
Altro strumento di prevenzione: istruzione degli utenti
È fondamentale investire tempo per istruire gli utenti finali affinchè non diventino degli involontari alleati degli attaccanti, cliccando con superficialità.
Un paio di giorni fa mi ha scritto un Cliente dicendomi che stava ricevendo delle strane mail con allegate delle fatture in excel che chiedevano di abilitare le macro.
Ho analizzato la situazione e gli ho spiegato che si trattava di un attacco ransomware e che tale mail non dovevano essere aperte ma subito cancellate.
Ebbene, nel giro di mezz’ora, mi ha richiamato dicendo che già due utenti avevano aperti ma senza cliccare sull’allegato…
Anche in questo caso si sta parlando di un’attività necessaria ma non risolutiva al 100%.
Ransomware che viaggiano via exploit kit e non via mail
Cosa cambia rispetto ad un’infezione via mail
La maggior differenza nei due tipi di attacco è che via mail l’utente deve essere parte attiva nello scaricare e nell’aprire un file allegato mentre un expoit kit può infettare un PC perché questo ha semplicemente aperto una certa pagina web, come già spiegato in precedenza.
Quindi navigando solo su siti famosi siamo a posto…
In realtà questo non è vero perchè è successo recentemente che dei cyber criminals riuscissero a compromettere alcune piattaforme di online advertising (pubblicità online), facendo in modo che i navigatori del sito del NY Times venissero infettati dalla pubblicità (che tecnicamente è ospitata su un sito diverso da quello del Times) presente sul sito stesso.
Come impedire che l’exploit kit mi contagi
Anche stavolta dobbiamo concentrarci su noi stessi, sui PC e sui server che usiamo per navigare il web.
Gli exploit kit sfruttano le vulnerabilità dei nostri sistemi operativi. Vulnerabilità che, molto spesso, vengono sistemate entro breve tempo dalla loro scoperta. Diventa quindi fondamentale mantenere i nostri sistemi sempre aggiornati e patchati.
Ed anche in questo caso ciò che può essere automatizzato può essere migliorato. Pertanto il consiglio è di investire in tecnologia e servizi professionali affinchè il servizio di patch management sia gestito in automatico e da professionisti dell’IT.
Ad blocker
Nell’esempio riportato prima l’infezione è arrivata mediante una pubblicità malevole (malvertsing, da advertising – pubblicità). È opportuno installare un ad blocker (cioè un sw od un plugin che blocchi l’esecuzione automatica delle pagine di annunci pubblicitari.