La sicurezza informatica sta diventando l’ultima tendenza. Tutti abbiamo letto delle violazioni di TalkTalk, Dropbox e Yahoo e questo significa che il fenomeno è destinato ad aumentare nel prossimo futuro.

In quanto esseri umani, siamo predisposti a commettere errori, quindi è necessario che tu istruisca il tuo personale su cosa fare attenzione. Puoi proteggere la tua organizzazione facendo in modo che i tuoi dipendenti evitino di cliccare su link di e-mail sospette, di non scrivere le loro password su un post-it o di non connettersi a reti Wi-Fi pubbliche quando lavorano da remoto.

In questa serie di blog torniamo alle basi, quindi diamo un’occhiata a quali tipi di minacce di phishing esistono. Per difenderti da un potenziale attacco di phishing, dovresti sfruttare le barriere tecniche ma anche la consapevolezza del personale. In definitiva, la sensibilizzazione del personale aiuterà il tuo staff a riconoscere le tattiche comuni utilizzate dai criminali informatici in un’email di phishing.

  • Phishing

Il filtro antispam del tuo account di posta elettronica personale o di lavoro di solito individua le e-mail indesiderate, ma a volte queste possono arrivare nella tua casella di posta principale. È qui che devi essere in grado di riconoscere un’email di phishing. Il fatto che il tuo filtro antispam ti aiuti di tanto in tanto e sposti le email di spam fuori dalla tua vista è sia un aiuto che un ostacolo. Il filtro ti aiuta perché non sei tentato di cliccarci sopra direttamente (lontano dagli occhi, lontano dal cuore), ma ti impedisce di vedere le tattiche utilizzate dagli hacker e quindi potrebbe impedirti di notare la differenza tra un’email autentica e un’email di phishing.

Ad esempio, un individuo ti contatta per dirti che sei stato identificato come l’ultimo discendente vivente di un ricco finanziere e che hai diritto alla sua fortuna. Il buon senso è a portata di mano per dirti che questo è praticamente impossibile. Non solo, ma ti piacerebbe pensare di ricevere un documento legale che confermi tale notizia piuttosto che un’e-mail da un account Hotmail.

Se riesci a riconoscere questi segnali d’allarme, è un bene. Le e-mail di phishing generiche sono progettate per coglierti in fallo, ma le false promesse o la mancanza di grammatica utilizzata nell’e-mail dovrebbero metterti in guardia dai pericoli. Ma i criminali informatici stanno diventando più furbi.

Un test ransomware è una soluzione per verificare il comportamento dei tuoi dipendenti nei confronti delle email di phishing. Una soluzione software di phishing simulato può fornire alla direzione dei report sulle reazioni dei dipendenti a queste email. I report indicano quali membri del personale devono seguire un modulo di formazione sul phishing.

  • Spear Phishing

Si tratta di un metodo di phishing estremamente sofisticato. I cybercriminali che inviano email di spear phishing hanno fatto i compiti a casa; avranno personalizzato il contenuto dell’email in modo specifico per te. A tal fine, avranno monitorato te e i tuoi colleghi sui social media e, alla fine, utilizzeranno queste informazioni per creare l’email perfetta per te che verrà utilizzata per guadagnarsi la tua fiducia.

L’e-mail che ricevi sembra provenire da un privato o da un’azienda. Se a questo mix aggiungi le informazioni personali che hanno raccolto, la ricetta del disastro è pronta. Rispetto a un’email di phishing standard, un’email di spear phishing è indirizzata personalmente a te e contiene informazioni che ti interessano.

E se ricevessi un’e-mail firmata dal tuo team di assistenza informatica per dirti che il tuo account e-mail sta esaurendo lo spazio? Questo tipo di email sembra un po’ più plausibile. Le firme delle e-mail possono sembrare ufficiali: questo va benissimo, ma nel corpo dell’e-mail devi fare attenzione all’ortografia e alla grammatica, a chi è indirizzata l’e-mail (si fa riferimento a te per nome o semplicemente “utente”?) e ai link che vengono forniti.

  • La caccia alle balene

Questa forma di attacco di phishing si rivolge direttamente ai membri senior del personale e alla dirigenza, ma l’obiettivo è sempre lo stesso: acquisire informazioni.

Il criminale informatico si maschera come una fonte affidabile o degna di fiducia, in modo molto simile allo spear phishing. Tuttavia, un attacco whaling è progettato per ingannare i membri più anziani del personale, in quanto è più probabile che abbiano accesso a importanti informazioni finanziarie dell’azienda e che siano in grado di autorizzare transazioni finanziarie o pagamenti.

Ad esempio, supponiamo che tu sia il Senior Finance Manager e che tu riceva un’e-mail da un tuo collega in merito ad alcune fatture che richiedono l’approvazione per il pagamento immediato. All’e-mail è allegata anche una cartella zip. Ti viene automaticamente il panico e il tuo cervello va in fibrillazione pensando : “Ho dimenticato di autorizzarle? Sono sicuro di no, ho elaborato tutte le fatture lunedì”. In questo caso, la tua reazione automatica sarebbe quella di cliccare sull’allegato della cartella zip e controllare le fatture per rinfrescarti la memoria.

È qui che devi fermarti. Invece di cliccare sull’allegato, controlla i tuoi archivi per verificare se il pagamento è stato approvato. Risparmia qualche secondo in più (e la reputazione della tua azienda) controllando i tuoi archivi prima di accedere a contenuti scaricabili da un’e-mail.

Se hai scaricato la suddetta cartella zip, è probabile che contenga un file sospetto e che questo esegua un pericoloso malware sul tuo computer o laptop. Questo programma potrebbe anche accedere alla tua rete, causando danni potenzialmente irreparabili.

Conclusione

Semplicemente, gli attacchi di phishing possono distruggere un’azienda con un semplice clic. Basta che una persona clicchi su un link o scarichi un allegato e la reputazione e i beni della tua azienda sono a rischio. Per combattere la minaccia del phishing, le aziende devono investire nella formazione del proprio personale su cosa fare attenzione.

MetaCompliance fornisce software di simulazione del phishing e contenuti di eLearning che aumentano la sensibilità delle aziende nei confronti delle e-mail fraudolente.

Sapevi che ci vuole solo un minuto e venti secondi perché qualcuno apra un’e-mail di phishing? Invece, prenditi questo tempo per pensare prima di cliccare.