Nuovo report Netskope sul fenomeno del Phishing: aumentano le false applicazioni cloud di terze parti utilizzate per ingannare gli utenti
Netskope, leader in Secure Access Service Edge (SASE), rilascia oggi una nuova ricerca che mostra come la prevalenza di utilizzo delle applicazioni cloud stia cambiando il modo in cui gli attaccanti lanciano attacchi di phishing per rubare i dati.
Il nuovo “Cloud and Threat Report: Phishing” di Netskope descrive le nuove tendenze nei metodi di distribuzione del phishing come, ad esempio, false pagine di login e false applicazioni cloud di terze parti realizzate appositamente per imitare applicazioni legittime, gli obiettivi degli attacchi di phishing, dove viene ospitato il contenuto fraudolento, e molto altro ancora.
Sebbene l’e-mail sia ancora il mezzo principale per fornire link di phishing a finte pagine di login finalizzate alla sottrazione di nomi utente, password, codici MFA (multi factor authentication) e altro ancora, il report rivela che gli utenti cliccano più frequentemente i link di phishing provenienti da altri canali, come siti web e blog personali (al primo posto col 26% di alert di phishing), social media e i risultati dei motori di ricerca.
Il report descrive anche l’aumento di false applicazioni cloud di terze parti, realizzate appositamente per ingannare gli utenti ad autorizzare l’accesso ai propri dati e risorse in cloud. Questa tendenza recente è particolarmente preoccupante perché l’accesso ad applicazioni di terze parti è ubiquo e offre agli attaccanti un’ampia superficie di attacco. In media, gli utenti nelle organizzazioni hanno concesso l’accesso ai loro dati e applicazioni Google a più di 440 applicazioni di terze parti: un’organizzazione ha mediamente fino a 12.300 plugin diversi che accedono ai dati, una media di 16 plugin per utente. Altrettanto allarmante, oltre il 44% di tutte le applicazioni di terze parti che accedono a Google Drive hanno accesso a dati sensibili o a tutti i dati di un utente, incentivando ulteriormente i criminali a creare false applicazioni cloud di terze parti.
“La prossima generazione di attacchi di phishing è già tra di noi. Questa nuova tendenza di false applicazioni di terze parti è qualcosa che stiamo monitorando e tracciando per i nostri clienti. Prevediamo che questi tipi di attacchi aumenteranno nel tempo, quindi le organizzazioni devono garantire che i nuovi percorsi di attacco, come le autorizzazioni Oauth, siano limitati o bloccati” ha affermato Ray Canzanese, Threat Research Director, Netskope Threat Labs. “I dipendenti dovrebbero anche essere consapevoli di questi attacchi ed esaminare le richieste di autorizzazione allo stesso modo in cui esaminano e-mail e messaggi di testo”.
Nel report, Netskope Threat Labs include i passi che le organizzazioni possono intraprendere per identificare e controllare l’accesso a siti o applicazioni di phishing, come il passaggio ad una piattaforma cloud SSE (Security Service Edge) con un Secure Web Gateway (SWG), l’abilitazione di principi di zero trust con privilegio minimo di accesso ai dati e monitoraggio continuo, e l’utilizzo di Remote Browser Isolation (RBI) per ridurre il rischio di navigazione per i domini appena registrati.
Altri risultati significativi del report:
I dipendenti continuano a fare clic su collegamenti malevoli. È ampiamente dimostrato che un solo clic è sufficiente per compromettere gravemente un’organizzazione. Sebbene la sensibilizzazione e la formazione aziendale sul phishing sia in aumento, il report rivela che in media 8 utenti su 1.000 in azienda hanno fatto clic su un collegamento di phishing o hanno tentato in altro modo di accedere a contenuti di phishing.
Gli utenti vengono attirati da siti web falsi realizzati per imitare pagine di accesso legittime. Gli attaccanti ospitano questi siti web principalmente su domini appartenenti alla categoria “content server” (22%) seguiti da domini di nuova registrazione (17%). Una volta che gli utenti inseriscono informazioni personali in un sito falso, o concedono l’accesso ai propri dati, gli attaccanti sono in grado di acquisire nomi utente, password e codici di autenticazione a più fattori (MFA).
L’ubicazione geografica gioca un ruolo nella percentuale di accesso a contenuti di phishing. L’Africa e il Medio Oriente sono le due regioni con la più alta percentuale di utenti che accedono a contenuti di phishing. In Africa, la percentuale è superiore alla media di oltre il 33% e in Medio Oriente è più del doppio della media. Gli attaccanti utilizzano spesso la paura, l’incertezza e il dubbio (FUD) per adescare le proprie vittime e cercano anche di monetizzare illecitamente le principali notizie. Soprattutto in Medio Oriente, gli attaccanti sembrano avere successo utilizzando esche che fanno leva sulle questioni politiche, sociali ed economiche che interessano la regione.
Netskope fornisce protezione ai dati e protezione dalle minacce a milioni di utenti in tutto il mondo. Le informazioni presentate in questo report si basano su dati anonimi raccolti dalla piattaforma Netskope Security Cloud relativi a un sottoinsieme di clienti Netskope che hanno concesso l’autorizzazione. Le statistiche in questo report si basano su un periodo di tre mesi, dal 1 luglio 2022 al 30 settembre 2022.
Qui è possibile consultare il report completo:
https://www.netskope.com/netskope-threat-labs/cloud-threat-report
Scopri di più su Netskope Threat Labs e ottieni informazioni dettagliate dalla piattaforma Netskope Security Cloud visitando il Threat Research Hub di Netskope.