Fra ottobre 2020 e giugno 2021 gli attacchi di phishing mobile contro i dipendenti del settore energetico sono aumentati del 161% rispetto alla prima metà del 2020. Questo dato, unito alla crisi energetica europea, potrebbe rivelarsi una tempesta perfetta per il Vecchio Continente. L'allarme è stato lanciato dall'azienda di sicurezza informatica Lookout, nell'Energy Industry Threat Report 2021.

Il dettaglio dei dati rivela due aspetti importanti. Il primo è che l'industria energetica sta attraversando un'importante trasformazione digitale. La modernizzazione delle operazioni e la migrazione dei workflow su dispositivi mobili e app cloud aumenta la superficie di rischio. Il secondo è che i dipendenti del settore energetico all'interno dell'area EMEA sono più frequentemente esposti ad attacchi di phishing mobile rispetto ai loro colleghi stranieri.

Più nel dettaglio, negli ultimi 12 mesi il tasso di esposizione medio in EMEA è stato del 15,8% (un dipendente su sette, contro una media di 1 dipendente su 5 in altri Paesi), ma nei primi sei mesi del 2021 è schizzato a oltre il 21%. In parte questo picco è attribuibile alla campagna di phishing su larga scala che ha consegnato il trojan bancario Flubot in tutta Europa.

Le cifre preoccupano perché come noto l'Europa sta affrontando una crisi energetica. Quando gli Stati Uniti hanno affrontato l'attacco a Colonial Pipeline non c'era alcuna crisi energetica. Qualcosa di analogo oggi in Europa potrebbe far vacillare una supply chain già sotto stress.

Perché il phishing mobile

Il phishing mobile non è una novità, soprattutto in ambito consumer. In questo caso viene astutamente sfruttato dai criminali informatici perché risulta uno dei mezzi più semplici per rubare le credenziali di un dipendente del settore energetico e usarle per compromettere un'infrastruttura complessa e altrimenti ben difesa. È per questo motivo che l'industria energetica fronteggia il doppio delle minacce alle app mobili rispetto ad altri settori.

Le soluzioni per evitare che gli attacchi vadano a buon fine non mancano. Fondano prima di tutto su soluzioni anti-phishing dedicate per il mondo mobile. Il secondo luogo sulla formazione. La maggior parte degli utenti pensa al phishing come a un rischio che si corre con l'apertura di email su desktop.

Tuttavia, i dispositivi mobili sono diventati l'obiettivo primario ed è relativamente semplice inviare link di phishing tramite qualsiasi app mobile dotata di funzionalità di comunicazione. I dipendenti si devono quindi guardare da qualsiasi evenienza, anche perché il piccolo schermo degli smartphone tende a nascondere i classici segni rivelatori di un attacco.