È venerdì sera, in tarda serata, quando nella tua casella di posta elettronica compare un messaggio dell’amministratore delegato dal titolo “Trasferimento urgente richiesto al più presto!” Cosa fai? 

Questo è uno scenario con cui molte persone stanno diventando sempre più familiari nel moderno mondo digitale. Purtroppo, gli attacchi di phishing si stanno facendo sentire in tutto il Regno Unito e in tutto il mondo.  Nel 2016 si è registrato un enorme aumento del 65%. Questo fa sì che molte organizzazioni si trovino ad affrontare una crescente pressione per proteggere ed educare adeguatamente i propri dipendenti in merito a queste minacce. Quindi, cosa comprende un’email di phishing? Di seguito ne riportiamo alcune  consigli scritti dal punto di vista di un hacker “Guida di MataHacky” su come individuare il Phish e reagire!

#1 Va bene generalizzare…ma se sei un vero professionista Spear Phish!

Quando si inizia e si punta a più persone in un’unica soluzione, è bene mantenere un nome generico, poiché stiamo cercando un solo malcapitato che abbocchi. Ad esempio,  Il termine “Gentile cliente” è sufficiente per aprire l’email e spesso viene trascurato da un ignaro utente in movimento con la sua vita piena di impegni. Molti di loro non si accorgeranno nemmeno che l’email non è personalizzata e che non ci si rivolge a loro per nome. È importante notare che, con l’aumentare della consapevolezza, sempre più persone inizieranno a considerare questa generalizzazione come un rilevatore di minacce. Questo ci porta a capire dove si trova il vero guadagno e il gioco cambia ritmo.  spear phishing! In pratica, devi fare delle ricerche sul tuo obiettivo, scoprire il suo nome, il luogo di lavoro e persino il nome del suo capo per creare un phish personalizzato e super convincente!

#2 Crea un senso di urgenza!

Questa è la chiave. Devi incutere timore nel pubblico. Senza di questo, potrebbero guardare con più attenzione agli altri difetti della tua email, come gli errori di ortografia, e diventare più cauti. Come un cavallo che esce dalla trappola, devi entrare subito in azione. Inizia con l’oggetto dell’email  ‘Urgente – attività sospetta sul tuo account X’ è di solito un ottimo modo per aprire e attirare la loro attenzione. Ricordati di mantenere questo livello di urgenza per tutta la durata dell’email e sarai a buon punto. Il panico è la chiave di un buon phish. Pensa a ciò che è più prezioso, come ad esempio dettagli che potrebbero causare danni finanziari o imbarazzo reputazionale, mettilo in una situazione di pericolo e sicuramente abboccherai.

#3 Fai attenzione all’ortografia e alla grammatica

È vero che, se tieni conto degli altri punti che ti ho elencato, puoi anche fare a meno di qualche errore ortografico o grammaticale… Tuttavia, devi tenere d’occhio la quantità di errori ortografici presenti nel tuo testo. Uno o due probabilmente passeranno inosservati, ma il super esperto di phish non si lascerà ingannare, quindi cerca di ripassare il più possibile. Dopotutto, qualsiasi azienda veramente professionale non commette errori di ortografia nelle e-mail che invia ai propri clienti.

D’altra parte, gli errori di ortografia ti aiuteranno a creare la perfetta lista di fessi. Insomma, se si innamorano di un’email di phishing piena di errori di ortografia, a cos’altro potrebbero credere? Potresti anche condividere i dati di contatto di questi babbei con i tuoi amici hacker in modo che possano prendere di mira anche loro!

#4 Crea un indirizzo email fasullo e dei link davvero convincenti!

Per assicurarti che questi sciocchi abbocchino e clicchino sul link che fornisci, devi assicurarti che l’indirizzo e-mail da cui operi sembri legale. Di solito basta un solo carattere in meno rispetto a quello reale per indurli a cliccare sul link; anche in questo caso, l’attenzione delle persone ai dettagli è spesso carente, quindi se vedono arrivare un’e-mail da “[email protected]”, molti trascureranno questi piccoli errori. Applica la stessa idea anche ai tuoi link! Fai in modo che appaiano il più possibile reali e puoi anche fare in modo che manchi o venga aggiunto un piccolo carattere qui o là. Lo spoofing è un’arte e se vuoi diventare un maestro, ti conviene fare pratica!

Ricorda che Il 91% degli attacchi di phishing aziendali contiene spoofing del nome visualizzato, Il 30% viene aperto e Il 12% dei fessi cliccherà sul link o sull’allegato, quindi le tue possibilità di fare soldi facili sono buone se ti attieni alle mie regole. Buona fortuna!

Il dipendente medio si trova ad affrontare almeno un’email a rischio al giorno e si prevede che l’email rimarrà il metodo principale per colpire la maggior parte degli attacchi fino al 2020. Negli ultimi due anni, i link fraudolenti inviati agli account di posta elettronica aziendali sono costati alle aziende oltre  due miliardi di dollari con Il 30% dei clienti si rivolge altrove in seguito a una violazione.

Puoi permetterti che la tua organizzazione o addirittura il tuo account personale subiscano uno di questi attacchi? Se la risposta è no, allora potresti essere interessato al nostro corso eLearning Essential Phishing Awareness, che spiega come identificare correttamente un phish e cosa fare quando lo si individua. Il corso può essere integrato con il nostro software di simulazione di phishing “MetaPhish” per aumentare la sensibilità dei tuoi dipendenti nei confronti delle e-mail fraudolente.

Il più grande rischio per la sicurezza informatica che la tua azienda affronta quotidianamente è la compiacenza dei dipendenti e questo è il momento giusto per invertire la rotta. Rivolgiti a noi oggi stesso per avere maggiori informazioni su come salvare la tua azienda da un attacco di phishing.