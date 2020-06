Di Pierguido Iezzi, Co-Founder Swascan

Il tasso di mobile phishing è aumentato notevolmente nel primo trimestre del 2020, una spinta molto probabilmente dovuta all’aumento del numero di persone che lavorano da casa a causa delle disposizioni dovute al COVID-19.

Infatti, i riscontri di attacchi di mobile phishing, a livello aziendale, sono aumentati del 37% tra l’ultimo trimestre del 2019 e il primo trimestre del 2020, stando a quanto riportato in un recente studio.

Il Mobile Phishing Spotlight Report di Lookout evidenzia come i Criminal Hacker abbiano modificato le loro tattiche per sfruttare l’evoluzione del passaggio dall’ufficio fisico a quello “digitale” e domestico sulla scia della pandemia , che ha costretto molte aziende a ordinare ai propri dipendenti di lavorare in Smart Working e di utilizzare i dispositivi mobili come parte della loro attività quotidiana.

I lavoratori, non più all’interno del perimetro di protezione e dei controlli di sicurezza del loro ufficio, in breve, hanno involontariamente creato un’opportunità unica per i Criminal Hacker di espandere i loro attacchi di phishing.

Poiché questa tendenza probabilmente continuerà nel prossimo futuro – con le grandi aziende come Google, Twitter, Facebook e Amazon che mantengono la loro forza lavoro remotizzata – le organizzazioni devono necessariamente cambiare le loro tattiche di sicurezza e investire nella formazione dei dipendenti per stare al passo con l’evoluzione della minaccia.

Perché il Phishing

In effetti, il phishing in generale è stato il metodo prediletto dai Criminal Hacker durante la pandemia, con gli aggressori che hanno ampiamente utilizzato il social engineering per indurre le vittime a scaricare infostealers e altri tipi di malware. A un certo punto i ricercatori hanno scoperto che i Cyber Attacker inviavano 1,5 milioni e mezzo di email dannose al giorno relative alla pandemia COVID-19.

Gli attacchi di mobile phishing, tuttavia, sono diversi dalle tipiche campagne.

Da un lato, non sempre si presentano sotto forma di e-mail. La piattaforma mobile offre agli aggressori un campo di gioco più ampio con cui lavorare e fornire link dannosi per l’installazione di malware: possono utilizzare SMS (Smishing), social media, piattaforme di messaggistica e persino applicazioni di dating per fornire payload dannosi.

Un’altra differenza è che le persone tendono a utilizzare (oltre che a fidarsi) di più i loro dispositivi mobile. Ciò potrebbe renderli meno attenti alla possibilità di ricevere attacchi su questa interfaccia.

Gli utenti potrebbero anche non notare un link dannoso su un dispositivo mobile a causa dell’uso di uno schermo più piccolo e di un’interfaccia utente semplificata.

Oltre a educare i dipendenti sul maggiore potenziale di attacchi di mobile phishing ora che lavorano a distanza, le organizzazioni dovrebbero prendere in considerazione altre strategie per proteggere i lavoratori dagli attacchi di mobile phishing.

Ampliare le policy e le best practice anche a questi device, potrebbe diventare a breve un must!