5 comuni e-mail di phishing

Il phishing, in tutte le sue forme, dalle email malevole all’SMShing (text phishing), dal social post phishing al Vishing (phone call phishing), fa ormai parte della vita quotidiana di un’organizzazione.

Tuttavia, le e-mail di phishing sono di gran lunga la forma più comune di phishing.

Cosa sono le e-mail di phishing?

Le e-mail di phishing sono messaggi fraudolenti inviati da criminali informatici che si spacciano per entità legittime, con l’obiettivo di ingannare i destinatari e indurli a divulgare informazioni sensibili o a compiere azioni dannose, come cliccare su link malevoli o scaricare malware.

Secondo la ricerca di Cisco“2021 Cybersecurity Threat Trends Report“, circa il 90% delle violazioni di dati inizia con email di phishing. Il rapporto suggerisce che nell’86% delle organizzazioni almeno una persona clicca su un link di phishing. Ma, ovviamente, basta un solo clic per essere infettati da un ransomware o per esporre dati sensibili, ecc.

Comprendere le tattiche utilizzate in alcune delle forme più comuni di attacchi e-mail di phishing e come i dipendenti possono evitarle aiuta a ridurre il rischio informatico. Ecco cinque esempi di email di phishing e come impedire ai dipendenti di correre rischi.

La truffa delle fatture false

Una delle truffe preferite dai phisher è quella delle fatture false. I truffatori inviano e-mail contenenti fatture false, sperando di catturare un dipendente ignaro. Purtroppo, se la fattura falsa viene pagata o se viene fatta una domanda sulla fattura al truffatore, è probabile che vengano rubati soldi o dati personali.

Il tipo di fattura inclusa nelle e-mail di phishing varia, ma alcuni esempi sono i seguenti:

Fatturazione di prodotti di sicurezza come il software antivirus

• Fatture scadute da fornitori falsi
• Email di scadenza del pagamento del dominio che ti avvisano che se non agisci, il tuo sito web e le tue email non saranno più disponibili 
• Fatture di raccolta fondi e di beneficenza, che spesso offrono un annuncio pubblicitario o un articolo in una pubblicazione di beneficenza.
• La Business Email Compromise (BEC) è una forma altamente sofisticata e mirata di truffa delle fatture false.

Come evitare le truffe delle fatture false

Le truffe sulle fatture possono essere molto sofisticate e i truffatori prendono di mira persone specifiche, come chi lavora nella contabilità fornitori o i CFO. Le e-mail sembrano autentiche e spesso contengono un messaggio urgente del tipo “paga subito o subisci le conseguenze”.

Utilizza una simulazione di phishing che fornisca una formazione basata sui ruoli per individuare i tipi di utenti più a rischio di truffe con fatture false. I simulatori di phishing basati sui ruoli ti permetteranno di adattare le tue campagne di phishing simulato in modo da rispecchiare le sfide reali che determinati reparti e personale devono affrontare.

False e-mail di supporto tecnico

Creare un senso di urgenza e di conformità sono due delle tecniche di manipolazione utilizzate dai truffatori per indurre i dipendenti a cliccare su link dannosi o a scaricare allegati infetti. Un esempio di queste manipolazioni comportamentali è rappresentato dalle e-mail di phishing che fingono di provenire dall’assistenza tecnica.

Nell’esempio qui sotto, puoi vedere che il personale viene invitato a passare a un nuovo portale web per accedere a importanti informazioni personali e aziendali, tra cui le buste paga. L’e-mail ricorda al personale che ha solo 24 ore per adeguarsi.

L’e-mail contiene un link a un sito web dannoso. Se il dipendente clicca su questo link e vi accede, gli verrà richiesto di inserire le credenziali di accesso e i dati personali esistenti. Se lo fa, questi dati verranno rubati e i truffatori utilizzeranno le credenziali di accesso per accedere al portale vero e proprio.

Come evitare le false e-mail di assistenza tecnica

Tutto il personale è esposto al rischio di questo tipo di e-mail di phishing speculativo. La formazione generale sulla sicurezza dovrebbe essere utilizzata per istruire tutti i dipendenti, in tutti i reparti, su come essere sicuri online.

La formazione sul modo in cui i criminali informatici manipolano il comportamento umano è fondamentale per formare i dipendenti sulle tattiche utilizzate dai truffatori per creare le e-mail di phishing. I programmi di formazione sulla sicurezza efficaci utilizzano un apprendimento puntuale che sfrutta le opportunità per riqualificare i comportamenti scorretti in materia di sicurezza.

La formazione generale sulla sicurezza dovrebbe essere affiancata da esercitazioni di phishing simulato che affrontino in modo specifico questo tipo di minaccia. Si tratta di e-mail che sembrano provenire da dipartimenti interni e che utilizzano tattiche come l’urgenza e la minaccia di sanzioni se non si agisce.  

Truffe fiscali

Le truffe fiscali spesso aumentano di volume durante la stagione fiscale, ma possono verificarsi in qualsiasi momento. Spesso queste e-mail offrono un rimborso fiscale. Tuttavia,  L‘HMRC dichiara esplicitamente sul suo sito web: “L’HMRC non invierà mai notifiche via e-mail relative a sconti o rimborsi fiscali..”

Le email di truffa fiscale sono tipicamente realistiche e spesso ben composte. I truffatori utilizzano il logo HMRC e il relativo marchio per far sembrare legittime le email di phishing. Di solito c’è un link alla pagina di login dell’HMRC Gateway. La pagina web a cui rimanda il link è un sito web fasullo che viene utilizzato per raccogliere dati e inviarli ai truffatori dietro la truffa. A volte questi siti web contengono anche malware e chiunque li navighi potrebbe ritrovarsi con un dispositivo infetto.

Come evitare le truffe fiscali

Le truffe fiscali possono essere non mirate e inviate a chiunque all’interno di un’organizzazione. Tuttavia, le truffe fiscali più efficaci vengono inviate a dipendenti specifici dei dipartimenti finanziari. Per questo motivo, se da un lato è importante includere le truffe fiscali nelle esercitazioni di phishing simulato per tutti, dall’altro dovresti concentrarti sulla formazione di tutti i dipendenti del dipartimento finanziario. In vista della stagione fiscale, raddoppia la tua formazione per assicurarti che i dipendenti, in particolare quelli del reparto finanziario, siano pronti ad affrontare il probabile assalto di queste e-mail di phishing.

Problema dell’account e-mail E-mail di phishing

Supponiamo che un dipendente riceva un’email dal suono urgente che lo informa che il suo account di posta elettronica sta per essere sospeso o che deve essere aggiornato con urgenza. In questo caso, potrebbe sentirsi obbligato a cliccare sul link per risolvere il “problema”. Tuttavia, questa email potrebbe essere una truffa di phishing che porta al furto delle credenziali.

L’esempio di e-mail di phishing riportato di seguito mostra come il marchio Microsoft sia stato utilizzato per aggiungere peso all’affermazione che l’account e-mail dell’utente è a rischio. Il link contenuto nell’email è dannoso e porta l’utente a un sito web che sembra una pagina di login di Microsoft Office 365.

Microsoft è spesso nella top five dei marchi più spoofati utilizzati nei messaggi di phishing. Secondo Cisco, i cinque marchi più spooferati nel primo trimestre del 2022 sono:

1. LinkedIn (relativo al 52% di tutti gli attacchi di phishing a livello globale)
2. DHL (14%)
3. Google (7%)
4. Microsoft (6%)
5. FedEx (6%)

Come evitare il problema delle e-mail di phishing di Microsoft

I truffatori spesso utilizzano Microsoft e altri marchi famosi per dare ai dipendenti un falso senso di sicurezza. La fedeltà e la fiducia nel marchio vengono sfruttate per far sì che le vittime si avvicinino al messaggio di posta elettronica e clicchino sul link malevolo. In questo caso, le esercitazioni di phishing simulato possono addestrare i dipendenti a diffidare delle e-mail di marca che includono tattiche di manipolazione del comportamento come l’urgenza.

Truffa di Google Docs

Le aziende utilizzano regolarmente Google docs per acquisire documenti e idee e collaborare con i colleghi. Nel 2020, Google GSuite ha avuto oltre  6 milioni di aziende si sono iscritte al servizio. Questi numerosi utenti rendono Google una proposta appetibile per i truffatori.

Un recente attacco basato sul phishing che utilizza GSuite per agganciare un bersaglio dimostra quanto possano essere innovativi gli hacker. In questa truffa, un truffatore crea un documento Google e poi commenta al suo interno utilizzando la notazione @ per colpire un utente specifico. In questo modo Google invia un’e-mail di notifica del commento nella casella di posta dell’obiettivo. L’e-mail di Google è autentica, ma contiene un commento incorporato. Questo commento contiene in genere dei link dannosi che, se cliccati, portano il dipendente su un sito web dannoso.

Google ha recentemente aggiornato i commenti in modo che le persone possano vedere chi ha lasciato il commento. Tuttavia, i truffatori aggiornano costantemente le loro tattiche e presto potrebbe comparire una nuova truffa GSuite.

Come evitare le truffe di GSuite Comment (e simili)

Le e-mail di phishing abilmente camuffate possono appoggiarsi a e-mail legittime e a servizi simili, come nel caso della truffa dei commenti di GSuite. Queste truffe sofisticate rendono difficile per i dipendenti riconoscere una truffa.

La formazione sulla sicurezza deve riflettere le politiche aziendali, tra cui l’utilizzo di archivi di documenti basati su cloud e chi può o non può collaborare alla documentazione aziendale. Quando fai formazione sulla sicurezza, assicurati di avere le informazioni più aggiornate sulle truffe e che i contenuti riflettano le truffe più recenti.

Utilizza la formazione di sensibilizzazione alla sicurezza e una piattaforma di phishing simulato che fornisce un ottimo supporto per la creazione di programmi di formazione basati sui ruoli e che offrono supporto in più lingue e accessibilità.

Inoltre, è fondamentale riconoscere che i truffatori cambiano regolarmente le loro tattiche per evitare di essere scoperti. Per questo motivo, è fondamentale svolgere regolarmente corsi di formazione sulla sicurezza durante tutto l’anno.