Riconoscere i segnali degli attacchi di phishing è fondamentale, ma è altrettanto importante implementare misure efficaci che scoraggino i phisher e garantiscano la sicurezza delle vostre informazioni.
Non possiamo sopravvalutare l'importanza dell'educazione quando si tratta di migliorare la nostra consapevolezza del phishing e di altre minacce alla sicurezza digitale. Per questo motivo, in un recente articolo abbiamo illustrato alcuni consigli per aiutare gli utenti a individuare le truffe di phishing.
Sapere cosa cercare in un attacco di phishing è importante. Ma questa è solo metà della battaglia. Gli utenti devono anche prendere misure concrete per scoraggiare i phisher e mantenere le loro informazioni al sicuro.
Riconoscendo questo fatto, ecco 10 modi per proteggere voi e il vostro computer da un phish di successo.
Fortificare le difese informatiche: 10 consigli essenziali per prevenire e proteggere dagli attacchi di phishing
1. Non fatevi prendere dal panico
I phisher incorporano comunemente minacce e un senso di urgenza nelle loro email di attacco. C'è uno scopo per farlo. Come esseri umani, sanno che prendiamo alcune delle nostre peggiori decisioni quando siamo nel panico e non pensiamo chiaramente. Potremmo anche permetterci di cliccare su un link sospetto o di perdere alcune delle nostre informazioni personali sensibili.
Detto questo, cerca di mantenere la calma se ricevi un'email minacciosa o comunque allarmante. In questo modo puoi prendere decisioni informate ed evitare di cadere vittima di una truffa di phishing.
2. Immettere informazioni sensibili solo su siti web sicuri
La maggior parte degli attacchi di phishing richiede che gli utenti inviino le loro informazioni personali via e-mail o inserendole in un falso modulo di accesso su un sito web dannoso. Per proteggersi da questa tattica, cercate di inviare le vostre informazioni personali solo su siti web sicuri. Come minimo, questi siti dovrebbero avere una politica scritta sulla privacy che delinea come useranno/conserveranno le vostre informazioni personali. Potrebbero anche avere un certificato firmato per HTTPS, che aiuterà a proteggere la privacy e l'integrità dei dati che scambi con loro.
3. Familiarizzare con le norme sulla privacy di un sito web prima di iscriversi
Solo perché un sito web utilizza HTTPS non significa necessariamente che dovresti condividere le tue informazioni personali con esso. Alcuni siti web vendono il tuo indirizzo e-mail e altre informazioni di contatto a terzi. Questi acquirenti potrebbero a loro volta vendere i tuoi dati a individui non rispettabili che potrebbero salvare le tue informazioni e prenderti di mira in futuri attacchi di phishing.
Vai sul sicuro. Prima di condividere le tue informazioni con un sito web, esamina l'informativa sulla privacy del sito e assicurati di essere d'accordo con i suoi termini e condizioni.
4. Passare il mouse su URL sospetti prima di cliccarli
Gli aggressori amano ingannare i loro obiettivi a cliccare su un URL apparentemente benigno che in realtà porta a un dominio dannoso. Fortunatamente, gli utenti possono facilmente smascherare questo stratagemma passando il mouse su un URL sospetto. Si collega a dove dice il suo testo? In caso contrario, si può essere sicuri che la vera destinazione dell'URL è di natura dannosa.
5. Fare attenzione ai link abbreviati
Non tutti gli URL forniscono la posizione effettiva del link quando ci si passa sopra il mouse. Prendiamo ad esempio gli URL abbreviati. Servizi come bit.ly e tinyurl possono aiutare a ridurre le dimensioni degli URL e a tracciare i link. Tuttavia, un URL accorciato non rivela alcuna informazione sulla sua effettiva destinazione. Potrebbe portare ovunque, anche a un sito web di phishing.
Le organizzazioni legittime sono consapevoli di questo scetticismo, quindi generalmente non incorporano link abbreviati in nessuna corrispondenza commerciale. Di conseguenza, se ricevi un'e-mail contenente link abbreviati da un'organizzazione, pensaci due volte prima di cliccarci sopra.
6. Installare una soluzione antivirus sul computer
Mentre molti attacchi di phishing estraggono le credenziali dell'utente attraverso un falso modulo di log-in, altri installano malware sul computer dell'utente e sfruttano i keylogger per raccogliere nomi utente, password e altre informazioni sensibili.
Per proteggerti da un'infezione malware, installa una soluzione software anti phishing sul tuo computer e assicurati che sia aggiornata in modo che possa rilevare le ultime minacce.
7. Implementare gli aggiornamenti del fornitore non appena disponibili.
Uno dei modi in cui i phisher forniscono malware al computer di un utente è tramite gli exploit kit, o kit di software che sfruttano le vulnerabilità del software popolare per infettare gli utenti con programmi dannosi. Alcuni degli exploit kit più noti, come Angler, Neutrino e Magnitude, rilasciano comunemente ransomware sui computer vulnerabili. Queste varianti di crypto-malware criptano i file degli utenti e chiedono centinaia se non migliaia di dollari di riscatto per la chiave di decrittazione.
I kit di exploit sono più efficaci nel prendere di mira i computer con vulnerabilità software note. Non apritevi agli attacchi lasciando questi tipi di problemi senza patch! Cerca di aggiornare il tuo sistema non appena un fornitore rilascia un aggiornamento di sicurezza o una patch per il software.
8. Abilitare la funzione Solo contenuti sui documenti provenienti da fonti attendibili
Un altro modo in cui i phisher amano infettare gli utenti con il malware è tramite allegati di e-mail dannose. In particolare, i truffatori amano ingannare gli utenti ad aprire un documento Word apparentemente innocente che chiede loro di abilitare il contenuto. Sfortunatamente, il pulsante "abilita contenuto" è in questo tipo di email un iframe dannoso. Quando viene cliccato, avvia un downloader che passa il malware sul computer dell'utente.
Gli utenti devono avvicinarsi al pulsante "abilita contenuto" nei documenti di Office con attenzione. Solo quando sanno che il documento proviene da una fonte affidabile, dovrebbero cliccare sul pulsante "abilita contenuto". Anche allora, è una buona idea contattare il mittente in anticipo e confermare che ti ha inviato un documento con alcuni contenuti disabilitati.
9. Contattare il mittente
Contattare il mittente non è solo un buon modo per proteggersi da contenuti malevoli (macro). È un buon modo per proteggersi da tutti i tipi di attacchi di phishing.
Se ricevi un'e-mail sospetta da un amico, un membro della famiglia, un'azienda o un'altra fonte fidata che sembra sospetta o fuori dal normale, contattalo e conferma se ti ha effettivamente inviato il messaggio. Potrebbero dire di averlo fatto, o potrebbero rivelare di essere stati violati di recente.
10. In caso di dubbio, cancellare l'e-mail
Alcune email sospette non contengono alcuna informazione di contatto utilizzabile sul mittente. Se questo è il caso, prova a cercare il mittente e vedi se puoi trovare qualche informazione su di lui. Se non riesci a farlo, è meglio cancellare l'e-mail e non correre rischi per la sicurezza del tuo computer.
Come prevenire gli attacchi di phishing: Aspetti salienti e riflessioni finali
Studiando i suggerimenti di cui sopra, ora sai come proteggerti da una varietà di attacchi di phishing.
Purtroppo, le truffe di phishing sono sempre in evoluzione e incorporano nuove tecniche per colpire gli utenti ignari. È quindi importante che tu e tutta la tua azienda facciate continue esercitazioni anti-phishing per stare al passo con gli ultimi attacchi di phishing. Dai anche un'occhiata alle migliori soluzioni software anti phishing per il tuo computer.
Le organizzazioni moderne dipendono dalla loro rete digitale per sopravvivere e operare nel mondo degli affari di oggi. La soluzione MetaCompliance aiuta ad affrontare la sfida della consapevolezza della sicurezza informatica, della simulazione del phishing, della gestione degli incidenti, della gestione delle politiche e della valutazione delle conoscenze.
MetaCompliance ha sviluppato una soluzione per aiutare a difendere l'azienda migliorando la consapevolezza degli utenti sui rischi di sicurezza informatica e di conformità.
Phishing simulato, gestione degli incidenti, gestione delle politiche e valutazione delle conoscenze.
MetaCompliance, fornitore di software per la gestione delle policy e per la formazione degli utenti, offre molte soluzioni pronte all'uso che consentono alle aziende di ottimizzare la formazione dei dipendenti sulla sicurezza. Tra questi prodotti c'è MetaPhish Phishing Simulation, una soluzione software specificamente progettata per condurre simulazioni di phishing in modo continuativo, contribuendo ad aumentare la sensibilità dei dipendenti nei confronti di queste e-mail fraudolente.