Lo spear phishing è una forma sofisticata di attacco informatico in cui gli aggressori prendono di mira persone o organizzazioni specifiche, spesso utilizzando informazioni personalizzate per aumentare le loro possibilità di successo. A differenza dei tentativi di phishing generici, che gettano un'ampia rete, lo spear phishing è altamente mirato e personalizzato, il che lo rende più pericoloso. Gli aggressori possono impersonare contatti fidati o utilizzare un linguaggio familiare per ingannare le vittime e indurle a rivelare informazioni sensibili, come password o dati finanziari. Comprendere le tattiche impiegate nello spear phishing e attuare misure preventive è fondamentale per salvaguardare la sicurezza personale e organizzativa.
Cos'è lo Spear Phishing? Proprio come il phishing, ma un po' più diretto
Tutti abbiamo sentito parlare del termine phishing e del suo funzionamento: viene inviata un'e-mail generica con un URL o un allegato crittografato e quando viene cliccato "BOOM"... siete stati scoperti. Ma ora stiamo assistendo a un aumento dello spear phishing.
Lo spear phishing è tecnicamente la stessa cosa, ma con un approccio più diretto e mirato. Gli hacker passano il tempo a esaminare la vita, gli interessi e il ruolo lavorativo di un individuo o di un piccolo gruppo di persone e creano un'e-mail che sembra legittima e interessante, tanto da indurre a cliccare. E se quella persona clicca e attiva il malware, questo può diffondersi e causare effetti dannosi all'interno dell'azienda
.
Il Federal Bureau of Investigation ha condotto una ricerca dettagliata sullo spear phishing e ha riferito che la maggior parte dello spear phishing è diretto alle aziende che utilizzano "i bonifici bancari come metodo comune di trasferimento di fondi per scopi commerciali". Questa è nota anche come truffa BEC, definita come una "... truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e/o aziende che effettuano regolarmente pagamenti tramite bonifico bancario. La truffa viene attuata compromettendo gli account di posta elettronica aziendali legittimi attraverso tecniche di social engineering o di intrusione informatica per effettuare trasferimenti di fondi non autorizzati".
Ecco un rapido sguardo su come i "Spear Phishermen" catturano e colpiscono
Spear Phishing su Facebook
I vostri aggiornamenti possono rivelare molto di voi come persona. Le vostre abitudini di spesa, il nome del vostro cane, una foto della vostra recente vacanza in Grecia o dell'acquisto della vostra bella auto nuova. I phisher possono creare un'e-mail credibile in cui vi chiedono di rivedere la vostra recente vacanza o di acquistare del cibo per cani scontato con il nome del vostro cane, che includerebbe un link pieno di malware. Non stiamo dicendo che non dovete mai più aggiornare nulla, ma fate attenzione e pensate prima di postare o cliccare!
Spear Phishing su Twitter
Il vostro Twitter è pieno di hashtag, #sister #bestfriend #family... e di solito a questi sono collegati tag di nomi di persone, luoghi e persino immagini. Questo rende facile per i phisher creare un personaggio "dietro cui nascondersi". Se ricevete un'e-mail con il nome di vostra sorella, pensereste automaticamente che è tutto a posto e non pensereste mai che si tratta di un'e-mail di phishing, ma purtroppo a volte è così.
Spear Phishing su LinkedIn
Avete la vostra immagine, il titolo della vostra attività, il nome dell'azienda, tutti i dipendenti collegati e tutto ciò che vi interessa è visibile. I phisher possono usare tutto questo contro di voi e per
manipolarvi. Non è un pensiero spaventoso? Tutto ciò che fate online e con cui interagite è fondamentalmente la base per il vostro attacco di spear phishing.
Se li mettete insieme, diventerete il bersaglio principale di uno scandalo di spear phishing che, se cliccato, potrebbe essere inviato anche ai vostri colleghi, con un effetto a valanga. Fate attenzione e non fate partire la palla di neve di
.
Spear Phishing: come evitare e ridurre le probabilità di esserne vittima
1) Come evitare lo Spear Phishing? Siate prudenti
Con tutti i vostri dati online, le vostre informazioni possono essere reperite e utilizzate molto facilmente. Non svelate troppo e non pubblicate mai dati personali come indirizzo, numero di telefono o coordinate bancarie. Ma divertitevi lo stesso, postate foto divertenti, raccontate ai vostri amici che avete trascorso la giornata più bella in spiaggia con la vostra famiglia, dite a tutti che avete mangiato un burrito per pranzo... ma fate attenzione. Se ricevete un'e-mail su un "burrito gratis" dal vostro takeaway preferito in riva al mare, probabilmente non è una coincidenza! Siate consapevoli e state attenti.
2) Come evitare lo Spear Phishing? Controllare i link
Le e-mail di phishing diretto contengono solitamente dei link che chiedono di cliccare per cambiare una password, verificare i dati o iscriversi a qualcosa di nuovo ed esclusivo. Ma prima di fare clic, la cosa migliore da fare è controllare l'URL passando il mouse sul link. Se si tratta di una truffa di phishing, si può scommettere che l'URL sarà qualcosa di completamente irrilevante per l'e-mail e talvolta sarà seguito da una riga di numeri e cifre casuali.
3) Come evitare lo Spear Phishing? Usare la logica
Perché il vostro collega di lavoro dovrebbe voler conoscere i vostri dati bancari? Perché il vostro capo dovrebbe inviarvi un link per visualizzare la vostra bolletta telefonica? Molto probabilmente non lo farebbero, quindi, in caso di dubbio, contattate direttamente la persona in questione e verificate se ha inviato l'e-mail. E se ricevete un'e-mail di phishing, cancellatela immediatamente! Meglio prevenire che curare.
Per saperne di più sulla protezione dei dipendenti dallo Spear Phishing
Migliorate la consapevolezza della vostra sicurezza informatica attraverso i programmi di formazione di MetaCompliance, in particolare MetaPhish, la nostra piattaforma avanzata di simulazione del phishing.