Quando si parla di minacce via email, ci si riferisce quasi sempre a phishing e spam, qualche volta al Business Email Compromise. In realtà le minacce che arrivano via email, e che possono mettere in pericolo un'azienda, sono molte di più. Barracuda Networks ne ha elencate almeno 13 su cui è bene tenere alta l'attenzione.

Di quelle sopraccitate, lo spam è fra i più popolari e datati. Non è una minaccia di per sé, perché le email non contengono malware o altri componenti dannosi, a meno che lo spam non venga utilizzato per la distribuzione di malware.

Anche nel caso in cui siano innocue, le ondate di spam devono essere gestite, e questo causa un calo della produttività. Inoltre, lo spam sovraccarica i server di elaborazione dei messaggi. Complessivamente le stime recenti calcolano che lo spam causi alle aziende perdite per circa 20 miliardi di dollari all'anno.

Malware, un nervo scoperto

Durante il lockdown la distribuzione di malware via email ha dimostrato tutto il suo potenziale. Non era una novità, ma sfruttando le paure della popolazione i cyber criminali sono riusciti ad andare spesso a segno. Non stupisce quindi che, secondo i calcoli di Barracuda, il 94% di malware venga distribuito tramite email.

Malware che spesso è legato agli attacchi ransomware, che da soli nel 2019 sono costati 170 miliardi di dollari, comprensivi dei riscatti pagati, della perdita di produttività, e altri danni causati dall'attacco. L'importo medio del riscatto è lievitato da 41.198 dollari nel terzo trimestre del 2019 a 84.000 dollari nel quarto.

Un altro grosso problema causato dalle email malevole è l'esfiltrazione di dati, o furto di dati. Secondo un report di IBM, nel 2019 questo problema ha causato un costo totale medio di 3,92 milioni di dollari, con picchi ben più alti per il settore sanitario. Oltre al danno finanziario, è incalcolabile quello di reputazione delle aziende colpite.

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale - Come funzionano, e che cosa devono avere per essere davvero efficaci, le principali soluzioni antimalware sul mercato.

Finora abbiamo fatto riferimento alle email che contengono file dannosi. Non sono meno pericolose quelle che contengono indirizzi web malevoli. Portano a siti web contraffatti che spesso assomigliano molto a quelli veri, per trarre in inganno le vittime. Basti pensare a quelli in cui si chiede di reinserire le credenziali di Office 365.

Barracuda fa notare che questa tecnica è tanto diffusa quanto efficace, tanto che il 4% dei destinatari di una campagna di phishing clicca sul link dannoso. È sufficiente che una sola persona compia questa azione per dare il via a un attacco contro un’azienda.

Phishing, spear phishing e truffe

Un’altra minaccia da non sottovalutare è lo spear phishing, il phishing mirato. Un sondaggio di Barracuda rivela che il 43% delle aziende ha subito un attacco di spear phishing negli ultimi 12 mesi. Questo tipo di attacchi di solito porta a un'infezione malware dei computer e della rete, e a perdite monetarie dirette tramite bonifici bancari e danni alla reputazione. Spesso questa attività è associata al furto di credenziali, usate poi per sferrare successivi attacchi.

Nell'ambito dello spear phishing rientrano le truffe, che da sole rappresentano il 39% di tutti gli attacchi della categoria. Questo tipo di email prospetta finte vincite alla lotteria o investimenti fraudolenti, e miete molte vittime. L'FBI ha registrato perdite segnalate per milioni di dollari a seguito di queste truffe.

Capitolo a parte è quello dell'impersonificazione, che può essere di dominio o del marchio. È legata quasi sempre allo spear phishing, o per facilitare il conversation hijacking. Il marchio più bersagliato è Microsoft, per penetrare nelle aziende e perpetrare ulteriori attacchi. Del resto, la suite di produttività dell’azienda di Redmond è la più usata in ambito business.

Una minima parte dello spear phishing (il 7%) è invece finalizzato ai ricatti. Non è un caso che la percentuale sia la stessa degli attacchi Business Email Compromise. Significa che c'è la stessa probabilità che i dipendenti di un'azienda vengano presi di mira da un ricatto o che subiscano un attacco BEC. Se l'estorsione vi sembra trascurabile, sappiate che il costo degli attacchi di estorsione, incluso il ricatto, è stato di oltre 107 milioni di dollari nel 2019.

Le violazioni dei dati più devastanti del 21° secolo hanno interessato milioni di utenti. Ecco quelle più gravi della memoria recente.

Il fenomeno BEC ha causato invece perdite per 1,7 miliardi di dollari nel 2019. Gli attacchi bersagliano per lo più le risorse umane, con l'obiettivo di fargli accreditare lo stipendio di un dipendente su un conto corrente controllato dai cyber criminali. È quello che è successo poche ore fa in Svizzera, dove i cyber criminali sono riusciti a farsi accreditare gli stipendi dei dipendenti di diversi atenei. La maggior parte di queste truffe è inviata tramite Gmail.

Furto di account e phishing laterale

Il furto di account è un grande classico. Lo ha subito oltre un terzo delle aziende. Per lo più si parla di account Office 365 per i motivi indicati sopra, e perché la raffica di spam malevolo contro gli utenti Office è impressionante: si parla di oltre 1,5 milioni di email dannose inviate da account Office 365 compromessi in un periodo di 30 giorni.

Il furto di account non è mai fine a sé stesso. Le credenziali rubate possono essere usate dalla stessa organizzazione criminale per perpetrare attacchi ransomware o di altro tipo contro l’azienda. Oppure possono essere rivenduti sul dark web a chi li userà per gli stessi fini. Lo scenario non si conclude qui.

Se ne parla poco, ma esiste anche il phishing laterale. Avviene quando vengono usate credenziali rubate per inviare email di phishing ai contatti stretti della prima vittima, in una catena perversa. È una tecnica efficace, perché il collega con cui si lavora da anni è ritenuto un mittente affidabile, quindi non si valutano con il dovuto sospetto gli allegati o i link che spedisce. 


In genere questi messaggi vanno a segno e scatenano attacchi su vasta scala. Secondo uno studio recente, una organizzazione su sette ha subito un attacco di phishing laterale.

Come contrastare queste minacce

Qualsiasi consiglio e soluzione di difesa è da rivalutare nel tempo, perché spesso gli attacchi via email si evolvono per aggirare le difese. Una volta bastava installare un buon filtro antimalware per contrastare le insidie recapitate via email. Oggi le tecniche di social engineering richiedono l’impiego di Intelligenza Artificiale e machine learning. Da sole non bastano.

Spesso le tecniche e le argomentazioni sono talmente sofisticate da superare anche i controlli più stringenti. Occorre quindi un passo in più, con un’opera di formazione continua ai dipendenti di ogni livello, per sensibilizzare sui pericoli e insegnare a riconoscerli.

In linea generale, non possono mancare un blocco degli attacchi di volume elevato presso il gateway. Ferma la maggior parte dei messaggi dannosi, inclusi quelli di spam, gli attacchi di phishing su larga scala, il malware, i virus e gli attacchi zero-day. A valle deve esserci una protezione degli utenti a livello di posta in arrivo basata su API, che protegge gli utenti dagli attacchi altamente mirati che sfuggono ai gateway.