Nel mondo di oggi, sempre più digitale, molto di quello che facciamo, sia per affari che per piacere, viene fatto online. Questo aumento dell'attività online ha portato a una massiccia esplosione del crimine informatico.
Il crimine informatico è diventato un potente strumento per i criminali che cercano di rubare i nostri dati personali ed estorcere denaro. La velocità, l'anonimato e la comodità di internet ha permesso ai criminali di lanciare attacchi altamente mirati con pochissimo sforzo.
Secondo un recente rapporto della società di cybersecurity Norton, i criminali informatici hanno rubato un totale di 130 miliardi di sterline dai consumatori nel 2017, tra cui 4,6 miliardi di sterline dagli utenti internet britannici.
Il più riuscito e pericoloso di tutti gli attacchi informatici è il phishing. La ricerca ha scoperto che il 91% di tutti gli attacchi informatici inizia con una e-mail di phishing.
Il phishing continua ad essere la forma più comune di attacco informatico a causa della sua semplicità, efficacia e alto ritorno sugli investimenti. Si è evoluto dai suoi primi giorni in cui ingannava le persone con truffe di principi nigeriani e richieste di cure mediche di emergenza. Gli attacchi di phishing che avvengono oggi sono sofisticati, mirati e sempre più difficili da individuare.
Il numero impressionante di e-mail inviate ogni giorno in tutto il mondo significa che è un metodo di attacco ovvio per i criminali informatici. Radicati Group ha stimato che 3,7 miliardi di persone inviano circa 269 miliardi di e-mail ogni giorno.
I ricercatori di Symantec suggeriscono che quasi una ogni 2.000 di queste e-mail è un'e-mail di phishing, il che significa che circa 135 milioni di attacchi di phishing sono tentati ogni giorno.
Gli attacchi di phishing si presentano in molte forme diverse, ma il filo conduttore che li attraversa tutti è lo sfruttamento del comportamento umano. I seguenti esempi sono le forme più comuni di attacco utilizzate.
Spear - Phishing è un tentativo più mirato di rubare informazioni sensibili e si concentra tipicamente su un individuo o un'organizzazione specifici. Questi tipi di attacco utilizzano informazioni personali specifiche dell'individuo per apparire legittimi.
I criminali informatici si rivolgono spesso ai social media e ai siti web aziendali per cercare le loro vittime. Una volta individuato l'obiettivo, iniziano a inviare e-mail personalizzate che includono link che, una volta cliccati, infettano il computer con il malware.
Il vishing si riferisce alle truffe di phishing che avvengono per telefono. È l'attacco con più interazione umana di tutti gli attacchi di phishing, ma segue lo stesso schema di inganno. I truffatori spesso creano un senso di urgenza per convincere la vittima a divulgare informazioni sensibili.
La chiamata viene spesso effettuata attraverso un ID spoofed, in modo da far sembrare che provenga da una fonte affidabile. Uno scenario tipico prevede che il truffatore si spacci per un dipendente della banca per segnalare un comportamento sospetto su un conto. Una volta ottenuta la fiducia della vittima, chiederà informazioni personali come dati di accesso, password e pin. I dati possono essere utilizzati per svuotare i conti bancari o per commettere frodi di identità.
Ciò che distingue questa categoria di phishing dalle altre è la scelta di un obiettivo di alto livello. Un attacco whaling è un tentativo di rubare informazioni sensibili e spesso è rivolto ai dirigenti.
Le e-mail di whaling sono molto più sofisticate delle normali e-mail di phishing e sono molto più difficili da individuare. Le e-mail contengono spesso informazioni personalizzate sull'obiettivo o sull'organizzazione e il linguaggio è più aziendale. La creazione di queste e-mail richiede molti più sforzi e riflessioni, dato l'alto livello di ritorno per i criminali informatici.
Lo smishing è un tipo di phishing che utilizza messaggi SMS al posto delle e-mail per colpire gli individui. È un altro modo efficace per i criminali informatici di ingannare gli individui a divulgare informazioni personali come i dettagli del conto, della carta di credito o nomi utente e password. Questo metodo prevede che il truffatore invii un messaggio di testo al numero di telefono di un individuo e di solito include una chiamata all'azione che richiede una risposta immediata.
Il clone del phishing è il caso in cui un'email legittima e precedentemente consegnata viene usata per creare un'email identica con contenuti dannosi. L'email clonata sembrerà provenire dal mittente originale, ma sarà una versione aggiornata che contiene link o allegati dannosi.
Gli attacchi contro le aziende sono quasi raddoppiati negli ultimi cinque anni e il danno di un attacco di phishing ad un'azienda può essere devastante. Nel corso degli anni, le imprese hanno perso miliardi a causa di attacchi di phishing. Microsoft stima che il costo potenziale del cyber-crimine per la comunità globale è di ben 500 miliardi e una violazione dei dati costerà all'azienda media circa 3,8 milioni.
Nonostante la presenza delle più forti tecnologie di sicurezza e di difesa, i criminali informatici spesso sfruttano l'anello più debole delle difese di un'azienda, che spesso sono i suoi dipendenti. Un solo errore umano può portare a una massiccia perdita di dati sensibili.
Una ricerca di Cisco ha scoperto che il 22% delle organizzazioni violate ha perso clienti nelle immediate conseguenze di un attacco, dimostrando quanto seriamente i consumatori prendano la sicurezza dei loro dati.
Furto d'identità
Furto di dati sensibili
Furto di informazioni sui clienti
Perdita di nomi utente e password
Perdita di proprietà intellettuale
Furto di fondi dai conti aziendali e dei clienti
Danno reputazionale
Transazioni non autorizzate
Frode con carta di credito
Installazione di malware e ransomware
Accesso ai sistemi per lanciare attacchi futuri
Dati così a terzi criminali
È vitale che le aziende facciano tutto il possibile per educare il personale sui pericoli di un attacco di phishing. Formare i dipendenti su come riconoscere efficacemente un tentativo di phishing è la chiave per mitigare il rischio per un'organizzazione.
Per ulteriori informazioni su come proteggere la vostra azienda dagli attacchi di phishing, cliccate qui.
Identificare un'email di phishing è diventato molto più difficile di quanto non fosse prima, dato che i criminali hanno affinato le loro abilità e sono diventati più sofisticati nei loro metodi di attacco. Le email di phishing che riceviamo nella nostra casella di posta sono sempre più ben scritte, personalizzate, contengono i loghi e il linguaggio dei marchi che conosciamo e di cui ci fidiamo e sono realizzate in modo tale che è difficile distinguere tra un'email ufficiale e un'email sospetta redatta da un truffatore.
McAfee stima che il 97% delle persone in tutto il mondo non sono in grado di identificare una sofisticata email di phishing, quindi i cyber criminali riescono ancora ad ingannare le persone per fargli dare informazioni personali o scaricare malware. Nonostante la crescente sofisticazione e la natura convincente di queste email, ci sono ancora alcuni segnali di giveaway che possono avvisarci della presenza di un'email di phishing.
Il tipo più comune di truffa di phishing consiste nell'ingannare le persone ad aprire e-mail o a cliccare su un link che può sembrare provenire da un'azienda legittima o da una fonte rispettabile.
Creando un senso di urgenza, gli utenti sono indotti a cliccare su un link o ad aprire un allegato. Il link può indirizzare l'utente a un falso sito web in cui viene richiesto di inserire i propri dati personali o portarlo a un sito web che infetta direttamente il computer con un ransomware.
Le aziende legittime non invieranno mai email che richiedono di cliccare su un link per inserire o aggiornare dati personali.
Le aziende possono avere i più forti sistemi di difesa della sicurezza, ma offrono poca protezione se i criminali informatici sono in grado di aggirare queste difese tecnologiche tradizionali e arrivare direttamente a un dipendente per indurlo a divulgare informazioni sensibili.
Oltre il 90% di tutti gli attacchi informatici riusciti sono il risultato di informazioni fornite inconsapevolmente dai dipendenti. Mentre le reti diventano sempre più difficili da violare, gli hacker prendono sempre più di mira quello che percepiscono come l'anello più debole delle difese di un'azienda: i suoi dipendenti!
Dato che gli hacker affinano le loro tecniche e diventano più mirati nei loro attacchi, è importante educare il personale e fornire una formazione regolare su ciò a cui dovrebbero prestare attenzione e come possono fare la loro parte nel prevenire un attacco informatico.
MetaPhish è stato specificamente progettato per proteggere le aziende dagli attacchi di phishing e ransomware e fornisce la prima linea di difesa nel combattere il crimine informatico. Se volete maggiori informazioni su come questo può essere utilizzato per proteggere ed educare il vostro staff.
Internet e i social media hanno trasformato il modo in cui comunichiamo tra di noi giorno per giorno, tuttavia questa cultura della condivisione ha fornito ai criminali informatici un modo semplice per profilare le potenziali vittime, assicurando che i loro tentativi di phishing siano più mirati e più difficili da individuare.
Gli hacker si stanno rivolgendo ai siti di social media per accedere a informazioni personali come l'età, il titolo di lavoro, l'indirizzo e-mail, la posizione e l'attività sociale. L'accesso a questi dati personali fornisce agli hacker abbastanza informazioni per lanciare un attacco di phishing altamente mirato e personalizzato.
Per ridurre la possibilità di cadere in un'e-mail di phishing, pensa più attentamente a ciò che pubblichi online, approfitta delle opzioni di privacy avanzate, limita l'accesso a chi non conosci e crea password forti per tutti i tuoi account di social media.
Per ridurre la possibilità di cadere in un'e-mail di phishing, pensa più attentamente a ciò che pubblichi online, approfitta delle opzioni di privacy avanzate, limita l'accesso a chi non conosci e crea password forti per tutti i tuoi account di social media.
Prima di inserire qualsiasi informazione in un sito web, dovresti sempre controllare che un sito sia sicuro e protetto. Il modo migliore per farlo è guardare l'URL di un sito web. Se inizia con "https" invece di "http" significa che il sito è stato reso sicuro utilizzando un certificato SSL (la S sta per secure). I certificati SSL assicurano che tutti i tuoi dati siano sicuri mentre vengono passati dal tuo browser al server del sito web. Ci dovrebbe essere anche una piccola icona a forma di lucchetto vicino alla barra degli indirizzi che indica anche che il sito è sicuro.
Il software antivirus è la prima linea di difesa per rilevare le minacce sul vostro computer e bloccare l'accesso agli utenti non autorizzati. È anche vitale assicurarsi che il vostro software sia regolarmente aggiornato per garantire che gli hacker non siano in grado di accedere al vostro computer attraverso le vulnerabilità dei programmi più vecchi e obsoleti.
Richiedete oggi stesso una demo gratuita e scoprite come il nostro corso di sensibilizzazione sulla sicurezza informatica di livello mondiale possa essere utile alla vostra organizzazione.
La demo richiede solo 30 minuti di tempo e non è necessario installare alcun software.
Richiedi una demo - Test della testata
Le informazioni personali che ci fornite in questo modulo saranno utilizzate da MetaCompliance (in qualità di controllore dei dati) solo per i seguenti scopi specificamente definiti: