Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale per la sicurezza informatica

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Email di phishing: Parole e terminologia comuni

Email di phishing

sull'autore

Condividi questo post

I criminali informatici si abbasseranno ai livelli più bassi per portare a termine un attacco informatico. Per esempio, ci sono stati campagne di phishing di massa rivolte all'esercito ucraino

e le loro famiglie nelle ultime settimane.

Quando la pandemia di Covid-19 ha colpito il mondo, i phisher ne hanno approfittato inviando campagne email di spam di massa. Ogni volta che si presenta un'opportunità, i criminali informatici si precipitano.

La cosa che le campagne di phishing hanno in comune, tuttavia, è il linguaggio che viene utilizzato per ingannare le persone a fare gli ordini del truffatore. I temi possono essere diversi, ma parole e frasi comuni sono utilizzate in tutte le campagne di phishing.

Il linguaggio delle e-mail di phishing e l'azione spontanea

Quando si educa chiunque sulle truffe di phishing, il linguaggio del phisher è importante da imparare. Gli attacchi di phishing si basano sulla comunicazione come veicolo per organizzare una truffa. Come tale, il truffatore (o i truffatori) dietro l'email di phishing configureranno il contenuto dell'email per incoraggiare il destinatario ad eseguire determinate azioni.

Questo è un trucco psicologico che richiede una connessione emotiva con il destinatario e il contenuto dell'email. Il linguaggio e l'emozione sono fattori di comportamento ben compresi. Prendiamo i proverbi come esempio: "Keep Calm and Carry On" era uno dei tre detti simili creati come campagna dal Ministero dell'Informazione (MOI) nel 1939 in caso di guerra per "bilanciare una 'influenza stabilizzante' con un incitamento all'azione 'spontanea'".

Il linguaggio conta: questa verità universale sul comportamento umano non è persa dai truffatori che la usano nelle loro campagne di email di phishing per incitare la loro versione di "azione spontanea".

Terminologia delle e-mail di phishing

Prima di guardare l'uso di parole comuni all'interno delle email di phishing, è importante capire la terminologia del phishing industriale. Questa terminologia è usata per descrivere i vari tipi di email di phishing. Alcuni dei più comuni sono:

Spear-phishing: campagne di email fraudolente mirate che sono progettate a partire dalla sorveglianza e dall'intelligence effettuata sull'organizzazione di destinazione. Questo aiuta a sviluppare email altamente credibili; la formulazione è tipicamente mirata e usa il nome del bersaglio per coinvolgere e sviluppare la fiducia.

Queste email di solito si concentrano su individui con accesso privilegiato alle risorse, come gli amministratori di sistema. Le parole comuni utilizzate si impegneranno con quella specifica persona all'interno del loro ruolo privilegiato e tipicamente useranno l'emozione, come l'urgenza.

Campagne di phishing via e-mail: campagne di phishing più generalizzate che inviano e-mail dannose per indurre gli utenti/dipendenti a divulgare informazioni personali, compresi nomi utente, numeri di telefono e informazioni sulle carte di credito. Le email usano parole e contesti comuni, come l'urgenza, per indurre il destinatario a cliccare su un link dannoso o a scaricare un allegato infetto. Il link tipicamente va a un sito web fasullo o a un'applicazione online che poi tenta di rubare le credenziali di accesso e/o i dati personali.

Business Email Compromise (BEC): spesso utilizza email di spear-phishing per iniziare l'attacco che si conclude con il trasferimento di denaro dell'azienda sul conto bancario di un criminale informatico.

Contesto e parole comuni nelle e-mail di phishing

Diverse organizzazioni esaminano il tipo di parole e tattiche comuni utilizzate nelle campagne di phishing via e-mail. Una di queste organizzazioni è l'Anti-Phishing Working Group (APWG). L'APWG tiene d'occhio i tipi di attività di phishing che avvengono nel mondo. Oltre a tracciare i marchi popolari che vengono spoofati, e le registrazioni dei domini dei siti web di phishing, il gruppo guarda anche le tendenze nei soggetti delle e-mail di phishing.

Un documento di ricerca dell'APWG ha esaminato i temi comuni, gli URL spoof e le parole chiave utilizzate nelle campagne di phishing via e-mail durante la pandemia Covid-19 e gli eventi correlati. I ricercatori hanno scoperto che una frase comune utilizzata nelle e-mail di phishing relative alla pandemia è stata "scade tra 2 giorni" usata per incoraggiare un senso di urgenza.

Il documento conclude: "Dalla nostra profonda immersione nel contenuto dei siti web di phishing legati alla corona, abbiamo notato l'importanza dei fattori umani e il modo in cui gli aggressori sfruttano i desideri e i bisogni degli individui guidati dalla pandemia. Quindi, è fondamentale educare rapidamente le persone a comprendere meglio gli attacchi di ingegneria sociale in modo che possano proteggersi quando le mitigazioni tecniche non riescono a farlo".

I ricercatori hanno anche identificato le parole più comuni utilizzate nelle e-mail di phishing. Per esempio, le prime cinque secondo un rapporto focalizzato sugli Stati Uniti sono:

  1. Etichetta
  2. Fattura
  3. Invia

Probabilmente, queste parole sono comuni sia nelle email legittime che in quelle illegittime. Sia la ricerca di APWG che la ricerca sulle parole più comuni hanno portato alla conclusione che le parole PIÙ il contesto è importante nella formazione sulla consapevolezza della sicurezza.

Contesto e temi comuni nelle e-mail di phishing

Le email di spam dipendono dal contesto e dai temi comuni, così come dalla formulazione. Alcuni dei temi più comuni sono:

Urgenza, ad esempio: "La password del tuo account è scaduta, aggiorna subito la tua password per mantenere l'accesso a Office 365".

Fear of missing out (FOMO), ad esempio, "non perdere questa offerta unica nella vita...": La ricerca ha dimostrato che la FOMO può essere molto efficace nelle campagne di phishing via email.

Emozione, per esempio, "ti abbiamo registrato mentre stavi usando un sito web porno..." questa tattica è spesso usata nelle campagne di phishing di sexploitation

Autorità (e urgenza), ad esempio, "John, puoi elaborare urgentemente questo filo al nostro ultimo fornitore. Se non lo fai oggi, perderemo un grosso ordine " - l'email sarà tipicamente firmata dal CEO. In un'azienda le persone con autorità possono avere i loro indirizzi e-mail spoofati per effettuare attacchi di Business Email Compromise e spear-phishing.

Alcuni esempi di parole comuni usate nelle e-mail di phishing

Laricerca e l'esperienza hanno dimostrato che alcune parole comuni sono usate nelle truffe di phishing in tutte le campagne. Alcune delle parole chiave di phishing più comuni includono:

Esempi di oggetto del messaggio:

  • Urgente
  • Verifica necessaria!
  • Fattura
  • Ho bisogno di aiuto urgente!
  • Attività sospetta di Outlook
  • Importante! La tua password sta per scadere
  • Azione richiesta...

Esempi di contenuto del corpo:

  • È stata identificata una vulnerabilità in [nome dell'app qui].
  • Per eseguire la verifica, clicca sul link [un link diretto o un pulsante di collegamento ipertestuale]
  • Ecco la nuova fattura per le attività di questa settimana [clicca per accedere, nome dell'applicazione]
  • [Un messaggio fasullo dal supporto tecnico] Per favore clicca qui per installare l'ultima [nome dell'applicazione]
  • Il tuo account [nome dell'applicazione] è stato bloccato per motivi di sicurezza, clicca qui per sbloccare il tuo account [un link diretto o un pulsante di collegamento ipertestuale]

L'attualità può modificare alcune delle parole usate nell'oggetto o il contenuto del corpo di un'email di phishing, ma il tono e le parole chiave comuni saranno probabilmente simili o uguali.

Mantenere la calma e andare avanti

Il linguaggio delle e-mail di spam ha temi comuni e parole comuni correlate, ma questo è un tallone d'Achille per i truffatori. Educando i vostri dipendenti sulle parole comuni usate nelle e-mail di phishing, così come la comprensione delle diverse terminologie degli attacchi di phishing, potete aiutarli a identificare un'e-mail fasulla prima che clicchino su un link dannoso o scarichino un allegato infetto.

Rischio di ransomware

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti