La situazione delle minacce nello spazio digitale sta diventando sempre più complessa e sofisticata. Secondo uno studio recente, nella seconda metà del 2023 si è registrato un aumento del 198% degli attacchi di phishing basati su browser e un aumento del 206% degli attacchi evasivi.
Nello stesso periodo sono state identificate oltre 31.000 minacce appositamente progettate per eludere il rilevamento da parte delle soluzioni di sicurezza. Le tecniche di attacco più comuni sono phishing, social engineering, smishing e deepfake. Queste tattiche mirano a sfruttare la suscettibilità umana alla manipolazione, consentendo quindi ai criminali informatici di accedere a dati sensibili.
Questo sviluppo è particolarmente preoccupante perché, a differenza degli attacchi di phishing tradizionali, gli attacchi basati su browser richiedono un nuovo livello di fiducia e cautela. Mentre le e-mail spesso devono soddisfare determinate aspettative in termini di mittente, contenuto e formato, con un browser è spesso sufficiente un sito web dall'aspetto convincente con un URL adatto o l'uso di un exploit per ingannare le vittime e sferrare un attacco.
Anche l’uso di tecniche di evasione come Legacy URL Reputation Evasion (LURE) è un esempio della sofisticatezza e della varietà delle strategie di attacco. Questa tattica prevede il prelievo di URL da siti Web attendibili o il mantenimento dei propri domini inattivi per lunghi periodi di tempo al fine di stabilire una forma di riservatezza e creare un falso senso di sicurezza tra le vittime.
Protezione contro le minacce basate sul browser
L’enorme portata degli attacchi basati su browser illustra la situazione delle minacce e mostra la necessità di misure difensive efficaci. Particolarmente allarmante è il crescente utilizzo di attacchi di phishing basati su browser che non lasciano firme riconoscibili o tracce digitali. Questa caratteristica fa sì che molti comuni programmi di sicurezza non siano in grado di identificare gli attacchi offuscati.
Considerata la gravità della situazione di pericolo e il fatto che le soluzioni di sicurezza convenzionali raggiungono rapidamente i loro limiti, è necessario sensibilizzare maggiormente gli utenti su tali pericoli. La formazione sulla consapevolezza della sicurezza può essere utilizzata per istruire i dipendenti sui diversi tipi di attacchi. In questo modo apprendono strategie sostenibili per riconoscere e segnalare attività sospette. Ciò, a sua volta, rafforza la cultura della sicurezza di un'organizzazione e supporta le aziende nella lotta contro minacce informatiche sempre più avanzate.
Altro su KnowBe4.com
Informazioni su KnowBe4 KnowBe4, fornitore della più grande piattaforma al mondo per la formazione sulla consapevolezza della sicurezza e il phishing simulato, è utilizzato da oltre 60.000 aziende in tutto il mondo. Fondata dallo specialista in IT e sicurezza dei dati Stu Sjouwerman, KnowBe4 aiuta le organizzazioni ad affrontare l'elemento umano della sicurezza aumentando la consapevolezza di ransomware, frodi del CEO e altre tattiche di ingegneria sociale attraverso un nuovo approccio all'educazione alla sicurezza. Kevin Mitnick, uno specialista di sicurezza informatica riconosciuto a livello internazionale e Chief Hacking Officer di KnowBe4, ha contribuito a sviluppare la formazione KnowBe4 basata sulle sue ben documentate tattiche di ingegneria sociale. Decine di migliaia di organizzazioni si affidano a KnowBe4 per mobilitare i propri utenti finali come ultima linea di difesa.