Per il phishing basta un clic su un link malevolo, ma prima serve aver "rubato" il sito ad un'azienda attendibile. Segasec vuole evitare proprio questo.
Quando si parla di
phishing e di furto di account si mette sempre l'accento su come e quanto gli utenti finali debbano
stare attenti ai messaggi-trappola che ricevono via email, come anche all'affidabilità dei siti che visitano. Considerazioni indubbiamente vere, ma che non toccano un'altra importante area di intervento: molto spesso, dietro una operazione di phishing c'è anche la creazione di un sito, fatto anche di sole poche pagine Html, che
replica impropriamente un sito aziendale perfettamente lecito.
Dietro una buona campagna di phishing c'è insomma anche
il "furto" di un sito attendibile. Furto che in ultima analisi danneggia la reputazione di chi lo subisce, oltre che far cadere in trappola i malcapitati suoi utenti.
Segasec opera proprio in questo campo e offre una suite di servizi per fare in modo che un'azienda si accorga rapidamente che qualche criminale informatico sta usando la sua immagine. E per reagire di conseguenza.
Il cuore dell'approccio di Segasec è un motore che
scandaglia costantemente il web alla ricerca di qualsiai tentativo di "appropriarsi" del brand di uno dei suoi clienti per scopi illeciti. Tentativi che possono comprendere la classica creazione di una copia di un sito web, ma anche di
profili social o singoli post che in qualche modo sfruttino il brand in modo improprio. E anche di applicazioni mobili che magari cercano di replicare quella aziendale, anche un suo store online.
Accanto a questa forma di scansione proattiva, Segasec offre anche la possibilità di integrare sul proprio sito un piccolo agent di
threat detection. Il suo compito è rilevare immediatamente qualsiasi
tentativo di scraping dei contenuti del sito stesso. Una azione di copia che quasi sempre prelude ad azioni illecite.
La scansione online e le rilevazioni dell'agente web generano una grande quantità di informazioni che viene passata ad
algoritmi di machine learning. Sono questi a determinare se le azioni rilevate rappresentano davvero i passi preliminari di una campagna di phishing per il furto di dati, o comunque l'utilizzo illegale di un brand di un'azienda o delle informazioni contenute sul suo sito.
Tutto questo è utile ma servirebbe a poco se non fosse accompagnato da funzioni che permettono di
"smontare" rapidamente l'azione dei criminali che si stanno impadronendo del nostro brand. In questo senso Segasec segue due direttrici di intervento.
La prima, più drastica ed efficace, è fare in modo che un sito-trappola
non sia raggiungibile dalle sue potenziali vittime. Segasec ha definito a questo scopo una serie di interventi a più livelli che vanno dal "dirottamento" via DNS al blocco del sito in collaborazione con il suo hosting provider, dal filtro delle possibili mail di phishing al blacklisting del dominio creato dai criminali. Molte di queste azioni avvengono in automatico e questo permette a Segasec - spiega
Danielle Papadakis, Product Specialist della società - di "bloccare" un sito illecito in
al massimo tre ore. E nelle condizioni migliori, molto meno.
Danielle Papadakis, Product Specialist di SegasecÈ stato sviluppato anche un servizio per
mitigare i danni causati da un sito creato per il furto degli account. Fintanto che il sito non viene disattivato, Segasec lo fa contattare da
milioni di bot che vi inseriscono credenziali false. In questo modo si raggiunge un duplice risultato positivo.
In primis, i dati veri ricavati da visitatori umani sono
"diluiti" da un numero molto maggiore di dati falsi, il che rende tutta l'operazione di phishing poco efficace. In secondo luogo, i dati falsi sono
facilmente identificabili da Segasec. Che in questo modo può scoprire rapidamente quando vengono utilizzati o messi in vendita sul Dark Web.
Il tutto - sottolinea Danielle Papadakis - senza richiedere particolari sforzi tecnici alle aziende clienti. Le tecnologie di Segasec sono offerte come
servizio in cloud - via Google Cloud ed Azure - e sono attivabili con semplicità, senza integrazioni lato cliente. L'architettura del sistema è
basata su microservizi, quindi può crescere in funzione delle necessità di scansione o di intervento, senza colli di bottiglia.