Cosa sono le truffe di phishing?
I phishing scams, una tattica ingannevole, sono comunemente utilizzate dai criminali informatici per svolgere attività nefaste. La maggior parte delle persone si è imbattuta prima o poi in un'e-mail di phishing. Nonostante la sua diffusione, i criminali informatici continuano a utilizzare questo metodo per installare malware, rubare credenziali e commettere truffe, tra cui la Business Email Compromise (BEC).
Un rapporto sulle tendenze della sicurezza informatica di CISCO del 2021 indica il phishing e il cripto-mining come le due principali minacce per le aziende. Il rapporto ha anche rilevato che l'86% dei dipendenti delle organizzazioni clicca sui link di phishing.
Proteggersi dalle truffe di phishing è fondamentale per mantenere la vostra organizzazione al sicuro, dato che il 90% delle violazioni di dati ha origine da attacchi di phishing.
Ecco 10 modi per garantire che la vostra organizzazione non sia vittima di una truffa di phishing.
10 modi per prevenire i phishing scams
Per proteggersi dai phishing scams è necessario utilizzare più livelli di protezione:
Qual è l'aspetto di un attacco di phishing?
I criminali informatici lavorano duramente per far sembrare legittime le e-mail di phishing. Di conseguenza, i phishing scams sono sempre più sofisticate e spesso si rivolgono a persone e aziende specifiche. Una campagna di phishing mirata è chiamata spear phishing. Questa forma di phishing prevede la raccolta di informazioni per confezionare e-mail di phishing difficili da distinguere da quelle autentiche.
I dipendenti di tutte le unità aziendali devono essere addestrati a individuare i segnali rivelatori del phishing. Le campagne di phishing su misura spesso utilizzano marchi aziendali noti, come Microsoft Office 365, che vengono utilizzati per nascondere abilmente una truffa di phishing.
Le piattaforme di simulazione di phishing sono un modo ideale per addestrare i dipendenti a individuare un tentativo di phishing. Inoltre, le piattaforme avanzate di simulazione del phishing, come MetaPhish, consentono all'azienda di personalizzare le simulazioni in base ai ruoli all'interno dell'organizzazione, in modo da prevenire anche i tentativi di spear phishing.
Per maggiori dettagli sul phishing, leggete la MetaCompliance Ultimate Guide to Phishing.
Non cliccare su link sconosciuti
Gli utenti finali e i consumatori sono stati addestrati da tattiche intelligenti di user experience e UI a cliccare sui link per rendere la loro vita online più gestibile. Ma questo ha portato i criminali informatici a sfruttare questo comportamento.
L'impulso a cliccare deve essere intercettato per prevenire un attacco informatico. Una semplice regola può distinguere tra la prevenzione di un attacco informatico e l'essere una statistica della sicurezza informatica: "non cliccare su un link in un'e-mail se non si è sicuri al 100% che sia valido". Se un'e-mail o un messaggio di testo contiene un link, fermatevi sempre e pensate prima di cliccare.
Ulteriori approfondimenti nell'articolo Cosa fare se si clicca su un link di phishing?
Non scaricare allegati non verificati
Non c'è bisogno di dirlo, ma succede ancora: i dipendenti aprono un allegato e la vostra organizzazione viene infettata da malware. Non scaricate un allegato se non siete sicuri al 100% che sia legittimo.
Un recente attacco di phishing dimostra la sofisticazione degli attacchi che utilizzano allegati infetti. La campagna di phishing SVCReady utilizza un particolare tipo di proprietà insita in un documento Microsoft Word, nota come shellcode, per inviare un loader su un computer. Il computer infetto viene quindi utilizzato per raccogliere informazioni sensibili, impostare un centro di controllo remoto e, in generale, rimanere in giro fino a quando l'aggressore non decide di intervenire per uccidere, installare altro malware e/o rubare dati.
Non condividere troppo sui social media
I criminali informatici raccolgono informazioni sul loro obiettivo in modo che i loro attacchi di phishing siano personalizzati e abbiano maggiori probabilità di ingannare i destinatari. I social media sono uno stagno ideale per il phishing. I criminali informatici effettuano ricerche sull'azienda e sui suoi dipendenti, alla ricerca di informazioni che possono essere utilizzate per creare campagne di spear phishing.
Anche i social media sono un luogo in cui l'eccessiva condivisione può portare alla condivisione delle password. Ad esempio, un rapporto ha individuato una condivisione diffusa di password su canali di collaborazione insicuri come Slack. Assicuratevi che i vostri dipendenti conoscano i pericoli legati alla divulgazione di dati privati e password su canali quali Slack, Discord e piattaforme di social media.
Essere consapevoli dell'igiene delle password
La condivisione e il riutilizzo delle password aumentano le possibilità che una campagna di phishing porti alla compromissione dei dati e dei sistemi IT. La condivisione delle password è un problema serio nelle organizzazioni. Secondo un'indagine di Google, il 62% delle persone riutilizza le password e il 52% le riutilizza per accedere a più account.
Inoltre, il 34% dei dipendenti condivide le password con i colleghi. Se le password vengono "passate di mano" e riutilizzate, è meno probabile che le persone vedano il valore della sicurezza e quindi abbiano un atteggiamento più permissivo nei confronti della sicurezza delle password. Fate dell'igiene delle password un tema centrale della formazione sulla sicurezza.
Patch in tempo
Le campagne di e-mail di phishing spesso dipendono da una vulnerabilità di sicurezza sfruttabile. Ad esempio, l'attacco di phishing Zimbra del 2021 ha sfruttato le vulnerabilità del client di posta elettronica Zimbra attraverso un'e-mail di phishing. Pertanto, garantire che le applicazioni software siano patchate il prima possibile è fondamentale per le misure anti-phishing in corso.
Mantenere i conti aggiornati
I vecchi account online sono utili ai criminali informatici che possono utilizzarli per creare identità sintetiche e commettere frodi. Questi account possono anche essere utilizzati come parte di una truffa BEC o per estrarre informazioni per ulteriori attacchi informatici.
Se avete un vecchio account e-mail o online che non usate mai, chiudetelo o ristabilitelo e controllatelo regolarmente. Assicuratevi di cambiare spesso la password e controllate HaveIBeenPwnd per vedere se un account e-mail o una password sono stati esposti durante una violazione dei dati.
Utilizzare 2FA o MFA (ma fare comunque attenzione)
Una best practice per proteggersi dai phishing scams è l'applicazione di un secondo fattore (2FA) o di un'autenticazione a più fattori (MFA), laddove questa misura sia supportata. Tuttavia, il 2FA o l'MFA non garantiscono l'insuccesso di un attacco di phishing, ma solo la riduzione del rischio.
Misure di 2FA o MFA mal implementate, ad esempio, possono essere inutili per prevenire gli attacchi di phishing. Utilizzate la 2FA o la MFA, ma supportatela con una formazione di sensibilizzazione alla sicurezza.
Segnalare qualsiasi cosa sospetta
Incoraggiate i dipendenti a segnalare un'e-mail o un testo sospetto per evitare che si verifichi un incidente. Create un ambiente che incoraggi la cooperazione in materia di sicurezza. Mantenete una porta aperta e una mente aperta nei confronti dei dipendenti che cliccano su un link dannoso, dando loro lo spazio per pensare di poter segnalare un errore.
La segnalazione degli incidenti aiuterà a proteggere la vostra organizzazione dalle truffe di phishing, ma la segnalazione deve essere semplice e basata su un sistema di segnalazione avanzato progettato per l'escalation e per fornire opzioni di triage.
Considerare l'utilizzo di strumenti anti-phishing
La formazione sulla sicurezza fa parte di un insieme più ampio di misure che possono essere utilizzate per proteggersi dai phishing scams. Altre misure che possono essere impiegate per aggiungere livelli di protezione sono: un software di filtraggio DNS che impedisce ai dipendenti di navigare verso un sito web dannoso e un filtro antispam basato su cloud che impedisce alle e-mail di phishing di entrare nella casella di posta dei dipendenti.
Tuttavia, queste misure di sicurezza da sole non sono sufficienti. I criminali informatici che sviluppano le e-mail di phishing le progettano sempre più spesso per eludere il rilevamento. Solo utilizzando metodi a più livelli, compresa la conoscenza del phishing da parte dei dipendenti, un'organizzazione può proteggersi dai phishing scams.