La guida definitiva al phishing

Che cos'è il phishing?

Nell’odierno mondo sempre più digitale, gran parte delle nostre attività, che siano di lavoro o di piacere, vengono svolte online. Questo aumento delle attività online ha portato a una massiccia esplosione del crimine informatico.

Il crimine informatico è diventato un potente strumento per i criminali che vogliono rubare i nostri dati personali ed estorcere denaro. La velocità, l’anonimato e la comodità di internet hanno permesso ai criminali di sferrare attacchi altamente mirati con pochissimo sforzo.

Secondo un recente rapporto della società di cybersicurezza Norton, nel 2017 i criminali informatici hanno sottratto ai consumatori un totale di 130 miliardi di sterline, di cui 4,6 miliardi di sterline agli utenti internet britannici.

Il più riuscito e pericoloso di tutti gli attacchi informatici è il phishing. Una ricerca ha rilevato che il 91% di tutti gli attacchi informatici inizia con un’e-mail di phishing.

Il phishing continua a essere la forma più comune di attacco informatico grazie alla sua semplicità, efficacia e all’elevato ritorno sugli investimenti. Si è evoluto rispetto ai primi tempi in cui ingannava le persone con truffe di principi nigeriani e richieste di cure mediche d’emergenza. Oggi gli attacchi di phishing sono sofisticati, mirati e sempre più difficili da individuare.

Tipi di attacchi di phishing

Gli attacchi di phishing si presentano in molte forme diverse, ma il filo conduttore di tutti è lo sfruttamento del comportamento umano. Gli esempi che seguono sono le forme di attacco più comuni.

Lo Spear - Phishing è un tentativo più mirato di rubare informazioni sensibili e in genere si concentra su un individuo o un'organizzazione specifica. Questi tipi di attacco utilizzano informazioni personali specifiche dell'individuo per apparire legittimi. I criminali informatici si rivolgono spesso ai social media e ai siti web aziendali per cercare le loro vittime. Una volta individuato l'obiettivo, iniziano a inviare e-mail personalizzate che includono link che, una volta cliccati, infettano il computer con il malware.

Il vishing si riferisce alle truffe di phishing che avvengono per telefono. È l'attacco con più interazione umana di tutti gli attacchi di phishing, ma segue lo stesso schema di inganno. I truffatori spesso creano un senso di urgenza per convincere la vittima a divulgare informazioni sensibili. Spesso la chiamata viene effettuata attraverso un ID spoofato, in modo da far sembrare che provenga da una fonte affidabile. Uno scenario tipico prevede che il truffatore si finga un impiegato della banca per segnalare un comportamento sospetto su un conto. Una volta ottenuta la fiducia della vittima, chiederà informazioni personali come dati di accesso, password e pin. I dati possono essere utilizzati per svuotare i conti bancari o per commettere frodi di identità.

Ciò che distingue questa categoria di phishing dalle altre è la scelta di un obiettivo di alto livello. Un attacco whaling è un tentativo di rubare informazioni sensibili e spesso è rivolto ai dirigenti. Le email di whaling sono molto più sofisticate delle classiche email di phishing e sono molto più difficili da individuare. Le email contengono spesso informazioni personalizzate sull'obiettivo o sull'organizzazione e il linguaggio è più aziendale. La creazione di queste email richiede molti più sforzi e riflessioni, visto l'alto livello di guadagno per i criminali informatici.

Lo smishing è un tipo di phishing che utilizza i messaggi SMS anziché le e-mail per colpire le persone. Si tratta di un altro modo efficace con cui i criminali informatici ingannano le persone e le inducono a divulgare informazioni personali come i dati del conto corrente, i dati della carta di credito o i nomi utente e le password. Questo metodo prevede che il truffatore invii un messaggio di testo al numero di telefono di un individuo e di solito include un invito all'azione che richiede una risposta immediata.

Il clone phishing consiste nell'utilizzare un'email legittima e precedentemente consegnata per creare un'email identica con contenuti dannosi. L'email clonata sembrerà provenire dal mittente originale ma sarà una versione aggiornata che contiene link o allegati dannosi.

Come il phishing può danneggiare la tua azienda

Gli attacchi contro le aziende sono quasi raddoppiati negli ultimi cinque anni e i danni di un attacco di phishing per un'azienda possono essere devastanti. Nel corso degli anni, le aziende hanno perso miliardi a causa degli attacchi di phishing. Microsoft stima che il costo potenziale del crimine informatico per la comunità globale è di ben 500 miliardi e che una violazione dei dati costa all'azienda media circa 3,8 milioni di euro. Nonostante le tecnologie di sicurezza e di difesa più efficaci, i criminali informatici spesso sfruttano l'anello più debole delle difese di un'azienda, che spesso sono i suoi dipendenti. Un solo errore umano può causare una perdita massiccia di dati sensibili. Una ricerca di Cisco ha rilevato che il 22% delle organizzazioni violate ha perso clienti nel periodo immediatamente successivo a un attacco, a dimostrazione di quanto i consumatori prendano sul serio la sicurezza dei propri dati.

Furto d'identità

Furto di dati sensibili

Furto di informazioni sui clienti

Perdita di nomi utente e password

Perdita di proprietà intellettuale

Furto di fondi dai conti aziendali e dei clienti

Danno reputazionale

Transazioni non autorizzate

Frode della carta di credito

Installazione di malware e ransomware

Accesso ai sistemi per lanciare attacchi futuri

Dati venduti a terzi criminali

I migliori consigli per individuare gli attacchi di phishing

Identificare un’email di phishing è diventato molto più difficile di un tempo, poiché i criminali hanno affinato le loro abilità e sono diventati più sofisticati nei loro metodi di attacco. Le email di phishing che riceviamo nella nostra casella di posta elettronica sono sempre più ben scritte, personalizzate, contengono i loghi e il linguaggio di marchi che conosciamo e di cui ci fidiamo e sono realizzate in modo tale che è difficile distinguere tra un’email ufficiale e un’email falsa redatta da un truffatore.

McAfee stima che il 97% delle persone in tutto il mondo non è in grado di identificare un’email di phishing sofisticata, per cui i criminali informatici riescono ancora a ingannare le persone e a convincerle a fornire informazioni personali o a scaricare malware. Nonostante la crescente sofisticazione e la natura convincente di queste e-mail, ci sono ancora alcuni segnali che possono avvisarci della presenza di un’e-mail di phishing.

I migliori consigli per individuare gli attacchi di phishing

Un URL non corrispondente

Una delle prime cose da controllare in un’e-mail sospetta è la validità di un URL. Se passi il mouse sul link senza cliccarlo, dovresti vedere apparire l’indirizzo completo del collegamento ipertestuale. Anche se sembra perfettamente legittimo, se l’URL non corrisponde all’indirizzo visualizzato, è un’indicazione che il messaggio è fraudolento e probabilmente si tratta di un’e-mail di phishing.

L'e-mail richiede informazioni personali

Un’azienda rispettabile non invierà mai un’e-mail ai clienti chiedendo informazioni personali come il numero di conto, la password, il pin o le domande di sicurezza. Se ricevi un’e-mail che richiede queste informazioni, è probabile che si tratti di un’e-mail di phishing e che debba essere immediatamente cancellata.

Grammatica e ortografia scadenti

I criminali informatici non sono famosi per la loro alta qualità ortografica e grammaticale. Ogni volta che le aziende legittime inviano e-mail ai clienti, spesso vengono corrette da copywriter per assicurarsi che l’ortografia e la grammatica siano corrette. Se noti errori di ortografia o di grammatica all’interno di un’e-mail, è improbabile che provenga da un’organizzazione ufficiale e potrebbe indicare la presenza di un’e-mail di phishing.

L'uso di un linguaggio minaccioso o urgente

Una tattica comune di phishing consiste nel promuovere un senso di paura o di urgenza per spingere qualcuno a cliccare su un link. I cybercriminali spesso minacciano che la tua sicurezza è stata compromessa e che è necessaria un’azione urgente per rimediare alla situazione. Diffida degli oggetti che affermano che il tuo account ha subito un “tentativo di accesso non autorizzato” o che il tuo “account è stato sospeso”. Se non sei sicuro che la richiesta sia legittima, contatta direttamente l’azienda tramite il sito web ufficiale o il numero di telefono ufficiale.

Corrispondenza inaspettata

Se ricevi un’e-mail che ti informa di aver vinto un concorso a cui non hai partecipato o che ti chiede di cliccare su un link per ricevere un premio, è molto probabile che si tratti di un’e-mail di phishing. Se un’offerta sembra troppo bella per essere vera, di solito lo è!

Come proteggersi dagli attacchi di phishing

1. Non cliccare mai su link sospetti

Il tipo più comune di truffa di phishing consiste nell’ingannare le persone ad aprire le e-mail o a cliccare su un link che può sembrare provenire da un’azienda legittima o da una fonte affidabile.

Creando un senso di urgenza, gli utenti vengono indotti a cliccare su un link o ad aprire un allegato. Il link potrebbe indirizzarti a un sito web falso in cui ti viene chiesto di inserire i tuoi dati personali o portarti su un sito web che infetta direttamente il tuo computer con un ransomware.

Le aziende legittime non inviano mai e-mail in cui si chiede di cliccare su un link per inserire o aggiornare i dati personali.

Test di phishing simulato per i dipendenti

2. Educare il personale

Le aziende possono anche disporre dei più solidi sistemi di difesa della sicurezza, ma ciò non offre una grande protezione se i criminali informatici sono in grado di aggirare queste difese tecnologiche tradizionali e di arrivare direttamente a un dipendente per indurlo a divulgare informazioni sensibili.

Oltre il 90% di tutti gli attacchi informatici riusciti sono il risultato di informazioni fornite inconsapevolmente dai dipendenti. Mentre le reti diventano sempre più difficili da violare, gli hacker prendono sempre più di mira quello che considerano l’anello più debole delle difese di un’azienda: i suoi dipendenti!

Dato che gli hacker affinano le loro tecniche e diventano sempre più mirati nei loro attacchi, è importante educare il personale e fornire una formazione regolare su ciò a cui devono prestare attenzione e su come possono fare la loro parte nella prevenzione di un attacco informatico.

Non lasciare che il tuo staff abbocchi all’amo!

MetaPhish è stato progettato specificamente per proteggere le aziende dagli attacchi di phishing e ransomware e rappresenta la prima linea di difesa nella lotta al crimine informatico. Se desideri maggiori informazioni su come utilizzare questo strumento per proteggere ed educare il tuo personale, ti invitiamo a contattarci.

Phishing e Ransomware

3. Fai attenzione a ciò che pubblichi online

Internet e i social media hanno trasformato il modo in cui comunichiamo quotidianamente tra di noi, ma questa cultura della condivisione ha fornito ai cybercriminali un modo semplice per profilare le potenziali vittime, assicurando che i loro tentativi di phishing siano più mirati e difficili da individuare.

Gli hacker si rivolgono ai siti di social media per accedere a informazioni personali come l’età, il titolo di lavoro, l’indirizzo e-mail, la posizione e l’attività sociale. L’accesso a questi dati personali fornisce agli hacker informazioni sufficienti per lanciare un attacco di phishing altamente mirato e personalizzato.

Per ridurre le possibilità di cadere in un’email di phishing, pensa con più attenzione a ciò che pubblichi online, sfrutta le opzioni di privacy avanzate, limita l’accesso a chi non conosci e crea password forti per tutti i tuoi account sui social media.

Leggi la nostra guida su come proteggersi dagli hacker

4. Verifica la sicurezza di un sito

Prima di inserire qualsiasi informazione in un sito web, dovresti sempre verificare che il sito sia sicuro e protetto. Il modo migliore per farlo è osservare l’URL di un sito web. Se inizia con “https” invece di “http” significa che il sito è stato protetto con un certificato SSL (la S sta per secure). I certificati SSL garantiscono la sicurezza di tutti i dati che passano dal tuo browser al server del sito web. Dovrebbe essere presente anche una piccola icona a forma di lucchetto vicino alla barra degli indirizzi, che indica che il sito è sicuro.

5. Installare un software antivirus

Il software antivirus è la prima linea di difesa per rilevare le minacce sul tuo computer e bloccare l’accesso agli utenti non autorizzati. È inoltre fondamentale assicurarsi che il software sia aggiornato regolarmente per garantire che gli hacker non possano accedere al tuo computer attraverso le vulnerabilità dei programmi più vecchi e obsoleti.

Proteggiti dagli attacchi di phishing