Nel 2023, l'impatto finanziario medio di una violazione dei dati causata dal phishing è salito a un'incredibile cifra di 4,76 milioni di dollari. Questa allarmante statistica ci ricorda quanto possano essere astuti e costosi questi attacchi.
In questo post ci immergeremo nel mondo del phishing, esplorando le sue varie forme e fornendovi indicazioni essenziali su come individuare e contrastare questi tentativi malevoli.
Cos'è il Phishing?
Il phishing è un tipo di attacco informatico in cui le persone vengono prese di mira via e-mail, telefono o messaggio di testo da un aggressore che si spaccia per un'organizzazione legittima, un amico o un collega. L'obiettivo di questi attacchi è quello di indurre le vittime a fornire dati sensibili, tra cui informazioni di identificazione personale, dati bancari e di carte di credito e password.
Secondo un rapporto di Egress, nel 2022 il 92% delle organizzazioni ha subito attacchi di phishing. Un singolo messaggio ingannevole può portare al furto di informazioni personali o all'infezione del dispositivo con malware. Tuttavia, riconoscere le e-mail di phishing può essere un passo importante per prevenire questi attacchi.
Tipi di attacchi di phishing
Spear phishing: una forma personalizzata di attacco informatico che sfrutta informazioni dettagliate sull'obiettivo per rendere l'attacco più credibile. Questi attacchi sono progettati in modo meticoloso e spesso si avvalgono della sorveglianza e delle informazioni raccolte sull'organizzazione o sull'individuo bersaglio.
Phishing via e-mail: a differenza dello spear-phishing, le campagne di phishing via e-mail adottano un approccio più ampio. Il loro scopo è quello di indurre molti utenti o dipendenti a rivelare informazioni personali, come nomi utente, numeri di telefono e dettagli di carte di credito. Queste e-mail utilizzano spesso frasi comuni e creano un senso di urgenza per indurre i destinatari a cliccare su un link dannoso o a scaricare un allegato infetto.
Compromissione della posta elettronica aziendale (BEC): Un attacco sofisticato che spesso inizia con un'e-mail di spear-phishing. I truffatori si spacciano per dirigenti di alto livello o fornitori fidati e inviano richieste apparentemente legittime di trasferimenti di fondi o informazioni sensibili.
Whaling: Il whaling è un tipo di attacco informatico che prende di mira in modo specifico dirigenti di alto livello o persone importanti all'interno di un'organizzazione. Si tratta di una forma di spear phishing che ha lo scopo di rubare informazioni sensibili o di ottenere un accesso non autorizzato alle reti aziendali.
Smishing: Smishing è un termine utilizzato per descrivere un attacco effettuato tramite SMS (Short Message Service) o messaggi di testo, ma può anche essere inviato tramite le più diffuse app di messaggistica come WhatsApp o Facebook Messenger.
Vishing: le truffe telefoniche sono un tentativo mirato di manipolare qualcuno affinché compia determinate azioni o divulghi informazioni riservate. Questa pratica è comunemente nota come vishing. Vishing è una combinazione delle parole voice e phishing e si riferisce alle truffe di phishing che avvengono per telefono.
Individuare un attacco di phishing
È diventato sempre più difficile identificare le e-mail di phishing, poiché i criminali informatici sono diventati più abili e sofisticati nei loro metodi di attacco. Queste e-mail fraudolente sono ora meglio realizzate e personalizzate, spesso utilizzando loghi e linguaggio di marchi affidabili, rendendo difficile distinguere tra un'e-mail legittima e una fraudolenta del truffatore.
Conoscendo i seguenti segnali, potrete identificare e proteggere efficacemente voi stessi e la vostra organizzazione dagli attacchi.
Link sospetti: I tentativi di phishing includono spesso link che appaiono sospetti o che conducono a siti web sconosciuti. Prima di cliccare su un link, verificatene la legittimità esaminando attentamente l'URL. Passate il mouse sulla parte superiore dell'URL. Se questo indirizzo è diverso da quello visualizzato, non cliccateci sopra.
Richieste di informazioni sensibili: Le e-mail provenienti da un mittente inaspettato o sconosciuto che richiedono credenziali di accesso, informazioni di pagamento o altri dati sensibili devono sempre essere trattate con cautela.
Informazioni insolite sul mittente: Le truffe spesso si spacciano per aziende legittime. Non limitatevi a verificare il nome del mittente, ma passate il mouse sull'indirizzo "da" e verificate se ci sono alterazioni, come numeri o lettere aggiuntive.
Saluti generici: I truffatori ricorrono spesso a saluti generici come "Caro cliente" o "Caro socio". Le aziende affidabili di solito personalizzano le loro e-mail e vi indirizzano a contattarle per telefono, se necessario.
Linguaggio urgente o che incute timore: I criminali informatici spesso creano un senso di urgenza o di paura per provocare un'azione immediata. Gli aggressori utilizzano questa strategia per spingere i destinatari ad agire prima che possano esaminare l'e-mail alla ricerca di potenziali difetti o incongruenze. Le frasi e le tattiche più comuni utilizzate dai truffatori includono:
- Abbiamo notato alcune attività o tentativi di accesso sospetti.
- C'è un problema con l'account o le informazioni di pagamento
- È necessario effettuare un pagamento
- Offerta di coupon per prodotti gratuiti
- Emissione di una falsa conferma d'ordine
Errori ortografici o grammaticali: Le organizzazioni affidabili impiegano copywriter professionisti per le loro comunicazioni. Molteplici errori ortografici o grammaticali in un'e-mail potrebbero indicare un tentativo di phishing.