5 comuni e-mail di phishing

Il phishing – che sia tramite e-mail, messaggi di testo (SMShing), social media o telefonate (Vishing) – è ormai una minaccia quotidiana per le organizzazioni. Tra tutte le forme, le e-mail di phishing rimangono il tipo di attacco informatico più comune e dannoso.

Comprendere le tattiche utilizzate nelle e-mail di phishing e formare i dipendenti a riconoscere le minacce è fondamentale per ridurre il rischio informatico.

Cosa sono le e-mail di phishing?

Le e-mail di phishing sono messaggi fraudolenti inviati da criminali informatici che fingono di essere organizzazioni legittime. Il loro obiettivo è quello di indurre i destinatari a rivelare informazioni sensibili, cliccare su link dannosi o scaricare malware.

Nel primo trimestre del 2025, l’APWG Phishing Activity Trends Report ha registrato oltre 1 milione di attacchi di phishing, il totale trimestrale più alto dalla fine del 2023. Gli aggressori utilizzano sempre più spesso i codici QR nelle e-mail per reindirizzare le vittime verso siti di phishing.

I settori più bersagliati:

• Attacchi al settore finanziario: 30,9% (inclusi pagamenti, banche e criptovalute)
• SaaS/Webmail (18%)
• Attacchi BEC con bonifico bancario: +33% rispetto al trimestre precedente

Di seguito sono riportate le cinque più comuni truffe via e-mail di phishing e le strategie pratiche per prevenirle.

1. Truffa della fattura falsa

I truffatori spesso inviano e-mail contenenti fatture false, sperando che i dipendenti le paghino o forniscano informazioni sensibili.

Esempi di fatture false sono:

• Fatturazione di prodotti antivirus o di sicurezza
• Fatture scadute da fornitori falsi
• Notifiche di scadenza del dominio che avvisano della sospensione del servizio
• Fatture di beneficenza o di raccolta fondi che offrono inserzioni pubblicitarie
• Sofisticati attacchi BEC (Business Email Compromise)

Come evitare le truffe delle fatture false:

• Utilizza simulazioni di phishing basate sui ruoli per il personale che si occupa di finanza o di contabilità.
• Addestra i dipendenti a riconoscere il linguaggio urgente e minaccioso delle fatture.
• Personalizza le campagne in modo che riflettano le sfide reali del reparto.

2. False e-mail di supporto tecnico

I truffatori spesso si spacciano per il supporto tecnico interno per creare urgenza e manipolare il comportamento. Queste e-mail possono richiedere il login immediato o il rispetto delle regole per accedere alle informazioni personali o ai sistemi aziendali.

Come evitare le false e-mail di assistenza tecnica:

• Implementare la formazione generale sulla sicurezza per tutti i dipendenti.
• Istruire il personale sulle tattiche di manipolazione, tra cui l’urgenza e le minacce di disciplina.
• Utilizza esercizi di phishing simulati che imitano le comunicazioni interne al dipartimento.

3. Truffe fiscali

Le e-mail di phishing relative alle tasse spesso promettono rimborsi ma sono fraudolente. L’HMRC dichiara che non invierà mai notifiche via e-mail su sconti o rimborsi. I truffatori spesso replicano il marchio HMRC e inviano link a false pagine di login, a volte incorporando malware.

Come evitare le truffe fiscali:

• Includere le truffe fiscali nelle esercitazioni di phishing simulato per tutto il personale.
• Concentrare la formazione sul personale del dipartimento finanziario, soprattutto durante la stagione fiscale.
• Assicurati che i dipendenti sappiano che non devono mai cliccare sui link presenti nelle e-mail fiscali non richieste.

4. Problema dell’account e-mail Phishing

I criminali informatici spesso si spacciano per Microsoft, Google, LinkedIn, DHL e FedEx e inviano messaggi urgenti per segnalare problemi con l’account. Queste email spesso contengono link malevoli che raccolgono le credenziali di accesso.

Come evitare le e-mail di phishing con problemi di account:

• Istruisci i dipendenti a diffidare delle email brandizzate che utilizzano tattiche di urgenza.
• Incorporare esercizi di phishing simulati che mettano in evidenza l’impersonificazione di marchi famosi.
• Rafforzare le procedure di verifica per i messaggi inaspettati relativi all’account.

5. Truffe di Google Docs e GSuite

I truffatori sfruttano le piattaforme di collaborazione come Google Docs. Un commento fraudolento che utilizza la notazione @ può far scattare una vera e propria e-mail di notifica contenente un link dannoso.

Come evitare le truffe dei commenti di GSuite:

• Utilizza una formazione di sensibilizzazione alla sicurezza che copra gli strumenti di collaborazione basati sul cloud.
• Assicurati che le politiche specifichino chi può condividere e commentare i documenti aziendali.
• Tieni aggiornato il personale con le ultime informazioni sul phishing e le esercitazioni simulate.

I punti chiave per la prevenzione del phishing

• Gli attacchi di phishing sono sempre più sofisticati e prendono di mira tutti i dipendenti.
• La formazione basata sui ruoli e le esercitazioni di phishing simulato sono essenziali.
• I programmi di sensibilizzazione continua sulla sicurezza riducono i rischi.
• I dipendenti devono comprendere le tattiche di manipolazione del comportamento umano.
• L’educazione alla sicurezza informatica deve essere aggiornata regolarmente per riflettere l’evoluzione delle truffe.

Gli attacchi di phishing sono in continua evoluzione e la consapevolezza dei dipendenti e la formazione proattiva sono più importanti che mai. Per rafforzare le difese della tua organizzazione, esplora la piattaforma Human Risk Management di MetaCompliance. La nostra piattaforma offre una formazione di sensibilizzazione alla sicurezza basata sui ruoli, esercizi di phishing simulati e report in tempo reale per aiutare a ridurre il rischio umano in tutta la tua organizzazione. Metti i tuoi team in condizione di riconoscere le minacce, proteggere i dati sensibili e creare una cultura di vigilanza sulla cybersecurity.