Cosa sono le truffe di phishing?

Le truffe di phishing, una tattica ingannevole, sono comunemente utilizzate dai criminali informatici per svolgere attività nefaste. La maggior parte delle persone si è imbattuta prima o poi in un’e-mail di phishing. Nonostante la sua diffusione, i criminali informatici continuano a utilizzare questo metodo per installare malware, rubare credenziali e commettere truffe, tra cui la Business Email Compromise (BEC).

Un rapporto sulle tendenze della sicurezza informatica di CISCO del 2021 indica il phishing e il crypto-mining come le due principali minacce per le aziende. Il rapporto ha anche rilevato che l’86% dei dipendenti delle organizzazioni clicca sui link di phishing.

Proteggersi dalle truffe di phishing è fondamentale per mantenere la tua organizzazione al sicuro, dato che il 90% delle violazioni di dati ha origine da attacchi di phishing.

Ecco 10 modi per assicurarti che la tua organizzazione non sia vittima di una truffa di phishing.

10 modi per prevenire le truffe di phishing

Per proteggersi dalle truffe di phishing è necessario utilizzare più livelli di protezione:

Scopri come si presenta un attacco di phishing

I criminali informatici lavorano duramente per far sembrare legittime le e-mail di phishing. Di conseguenza, le truffe di phishing sono sempre più sofisticate e spesso prendono di mira persone e aziende specifiche. Una campagna di phishing mirata è chiamata spear phishing. Questa forma di phishing prevede la raccolta di informazioni per confezionare email di phishing difficili da distinguere da quelle autentiche.

I dipendenti di tutte le unità aziendali devono essere addestrati a riconoscere i segnali rivelatori del phishing. Le campagne di phishing su misura spesso utilizzano marchi aziendali noti, come Microsoft Office 365, che vengono utilizzati per nascondere abilmente una truffa di phishing.

Le piattaforme di simulazione di phishing sono il modo ideale per addestrare i dipendenti a riconoscere un tentativo di phishing. Inoltre, le piattaforme di simulazione di phishing avanzate come MetaPhish consentono all’azienda di personalizzare le simulazioni in base ai ruoli all’interno dell’organizzazione, in modo da prevenire anche i tentativi di spear phishing.

Per maggiori dettagli sul phishing, leggi la MetaCompliance Ultimate Guide to Phishing.

Non cliccare su link sconosciuti

Gli utenti finali e i consumatori sono stati addestrati da tattiche intelligenti di user experience e UI a cliccare sui link per rendere la loro vita online più gestibile. Ma questo ha portato i criminali informatici a sfruttare questo comportamento.

L’impulso a cliccare deve essere intercettato per prevenire un attacco informatico. Una semplice regola può distinguere tra prevenire un attacco informatico e diventare una statistica della sicurezza informatica: “non cliccare su un link in un’e-mail se non sei sicuro al 100% che sia valido”. Se un’e-mail o un messaggio di testo contiene un link, fermati sempre e pensa prima di cliccare.

Per ulteriori approfondimenti, leggi l’articolo Cosa fare se si clicca su un link di phishing?

Non scaricare allegati non verificati

Non c’è bisogno di dirlo, ma succede ancora: i dipendenti aprono un allegato e la tua organizzazione viene infettata da un malware. Non scaricare un allegato se non sei sicuro al 100% che sia legittimo.

Un recente attacco di phishing dimostra la sofisticazione degli attacchi che utilizzano allegati infetti. La campagna di phishing SVCReady sfrutta un particolare tipo di proprietà insita in un documento Microsoft Word, nota come shellcode, per inviare un loader su un computer. Il computer infetto viene quindi utilizzato per raccogliere informazioni sensibili, creare un centro di controllo remoto e, in generale, rimanere in giro fino a quando l’aggressore non deciderà di uccidere, installare altro malware e/o rubare dati.

Non condividere troppo sui social media

I criminali informatici raccolgono informazioni sul loro obiettivo in modo che i loro attacchi di phishing siano personalizzati e abbiano maggiori probabilità di ingannare i destinatari. I social media sono uno stagno ideale per il phishing. I criminali informatici fanno ricerche sull’azienda e sui suoi dipendenti, alla ricerca di informazioni che possono essere utilizzate per creare campagne di spear phishing.

Anche i social media sono un luogo in cui l’eccessiva condivisione può portare alla condivisione delle password. Ad esempio, un rapporto ha individuato una condivisione diffusa di password su canali di collaborazione poco sicuri come Slack. Assicurati che i tuoi dipendenti conoscano i pericoli legati alla divulgazione di dati privati e password su canali come Slack, Discord e piattaforme di social media.

Sii consapevole dell’igiene delle password

La condivisione e il riutilizzo delle password aumentano le possibilità che una campagna di phishing porti alla compromissione dei dati e dei sistemi informatici. La condivisione delle password è un problema serio nelle organizzazioni. Secondo un’indagine di Google, il 62% delle persone riutilizza le password e il 52% le riutilizza per accedere a più account.

Inoltre, il 34% dei dipendenti condivide le password con i colleghi. Se le password vengono “passate di mano” e riutilizzate, è meno probabile che le persone vedano il valore della sicurezza e quindi abbiano un atteggiamento più permissivo nei confronti della sicurezza delle password. Fai in modo che l’igiene delle password sia un tema centrale della formazione sulla sicurezza.

Una toppa nel tempo

Le campagne di email di phishing spesso dipendono da una vulnerabilità di sicurezza sfruttabile. Ad esempio, l’attacco di phishing Zimbra del 2021 ha sfruttato le vulnerabilità del client di posta elettronica Zimbra attraverso un’e-mail di phishing. Per questo motivo, assicurarsi che le applicazioni software siano patchate il prima possibile è fondamentale per le misure anti-phishing in corso.

Tieni aggiornati i conti

I vecchi account online sono utili ai criminali informatici che possono usarli per creare identità sintetiche e commettere frodi. Questi account possono anche essere utilizzati come parte di una truffa BEC o per estrarre informazioni per ulteriori attacchi informatici.

Se hai un vecchio account e-mail o online che non usi mai, chiudilo o ristabiliscilo e controllalo regolarmente. Assicurati di cambiare spesso la password e controlla HaveIBeenPwnd per vedere se un account e-mail o una password sono stati esposti durante una violazione dei dati.

Usa 2FA o MFA (ma fai comunque attenzione)

Una buona pratica per proteggersi dalle truffe di phishing è l’applicazione di un secondo fattore (2FA) o di un’autenticazione a più fattori (MFA), laddove questa misura sia supportata. Tuttavia, il 2FA o l’MFA non garantiscono che un attacco di phishing non vada a buon fine, ma solo che ne riducono il rischio.

Misure 2FA o MFA mal implementate, ad esempio, possono essere inutili per prevenire gli attacchi di phishing. Utilizza il 2FA o l’MFA, ma supportalo con una formazione di sensibilizzazione alla sicurezza.

Segnala qualsiasi cosa sospetta

Incoraggia i dipendenti a segnalare un’e-mail o un testo sospetto per evitare che si verifichi un incidente. Crea un ambiente che incoraggi la cooperazione in materia di sicurezza. Mantieni una porta aperta e una mente aperta nei confronti dei dipendenti che cliccano su un link dannoso, dando loro lo spazio per pensare di poter segnalare un errore.

La segnalazione degli incidenti aiuterà a proteggere la tua organizzazione dalle truffe di phishing, ma la segnalazione deve essere semplice e basata su un sistema di segnalazione avanzato, progettato per dare un’escalation e fornire opzioni di triage.

Considera l’utilizzo di strumenti anti-phishing

La formazione sulla sicurezza fa parte di un insieme più ampio di misure che possono essere utilizzate per proteggersi dalle truffe di phishing. Altre misure che possono essere adottate per aggiungere livelli di protezione sono: un software di filtraggio DNS che aiuta a evitare che un dipendente navighi verso un sito web dannoso e un filtro antispam basato su cloud che impedisce alle e-mail di phishing di entrare nella casella di posta elettronica di un dipendente.

Tuttavia, queste misure di sicurezza da sole non sono sufficienti. I criminali informatici che sviluppano le email di phishing le progettano sempre più spesso per eludere il rilevamento. Solo utilizzando metodi a più livelli, compresa la conoscenza del phishing da parte dei tuoi dipendenti, un’organizzazione può proteggersi dalle truffe di phishing.

[faq_posts]