Nel 2022, con il crescere delle informazioni sensibili in rete, anche gli attacchi di phishing sono aumentati. Secondo ZDNet, ogni giorno vengono inviati circa tre miliardi di messaggi phishing. Comprendere quali sono questi tipi di email e come combatterle, è essenziale per evitare danni finanziari e reputazionali, attraverso questi 7 consigli per prevenire gli attacchi di phishing è possibile avere informazioni utili per combattere questa crescente minaccia.
Ma che cos’è il phishing?
Partiamo dal principio, come fare per spiegarti cosa sia il phishing? Potremmo inviarti un documento o un’email contenente un testo simile a quello che trovi qui sotto.
Hai mai ricevuto una strana e-mail che ti invita a inserire i tuoi dati sensibili? Un individuo o un’entità che tenta di convincerti a fornire informazioni importanti su di te o sulla tua azienda, sta mettendo in atto un tentativo di phishing.
Generalmente, il phishing inizia con qualcuno che finge di essere una persona o un’organizzazione di cui ti fidi. Una volta che avrà ottenuto la tua fiducia, cercherà di estorcerti informazioni o fornirti dei link/ file per infettarti i dispositivi con dei malware.
I primissimi esempi di phishing risalgono alle famose truffe nigeriane dei primi anni 2000. Una persona ti contattava comportandosi in modo colloquiale per stabilire un rapporto. Una volta che la vittima abboccava, tentavano di ottenere denaro o informazioni sul tuo conto in banca. Uno dei gruppi di phisher nigeriani più famosi venne chiamato “Yahoo Boys”, come il motore di ricerca anni 90.
Naturalmente il phishing si è evoluto, sia in termini di complessità che di targeting. Oggi, però, invece di “costruire un rapporto” ti mandano un’email contenente link o box testi dove inserire informazioni sensibili.
Inoltre, i phisher non si rivolgono più solo al singolo individuo, ma mirano anche alle aziende, cercando di accedere ai dati sensibili o provando a infettare i tuoi sistemi con i virus più disparati.
Quali sono i tipi di attacchi?
I tentativi di phishing più moderni tentano di colpire più soggetti, come le aziende e i loro clienti o, più comunemente, la popolazione in generale. Diamo uno sguardo ad alcuni tipi di phishing:
- Contatto da parte di un finto fornitore. Questo è probabilmente il metodo più comune in circolazione. Il phisher cerca di immedesimarsi in un’azienda con cui sei in contatto inviandoti email simili a quelle che sei abituato a ricevere. Queste “fake email” sono una spina nel fianco. Un esempio? Se un tuo fornitore utilizza indirizzi email come: “Name@Company.com”, una email sospetta potrebbe presentarsi così: “Name@Company-support”.
- Phishing telefonico. Questo tipo di attacco utilizza il Voice over Internet Protocol (VoIP), una tecnologia in grado di impersonare una società o un business. Il phisher, cercherà di utilizzare i dati personali di un membro della leadership aziendale per cercare di convincere l’obiettivo a fornire volontariamente informazioni sensibili.
- “Spear” phishing. Nel metodo dello Spear phishing, il malintenzionato cercherà di ottenere la tua fiducia fingendo di conoscerti bene. Come? Ottenendo le tue informazioni dal tuo sito o dai tuoi social media (Facebook, Instagram, LinkedIn, etc.).
- Attacchi interni. Il phisher, utilizzando questo metodo, cerca di ottenere le informazioni di accesso di un account email della tua azienda per prenderne il possesso. Una volta riuscito, è possibile che il malintenzionato lo utilizzi per ottenere informazioni sensibili dei tuoi clienti e colleghi.
Come fare a individuare un attacco? 7 consigli per prevenire gli attacchi di phishing
Anche se gli attacchi di phishing diventano sempre più sofisticati, esiste ancora la possibilità di educare il proprio team sul monitoraggio e la prevenzione. Ecco 7 consigli per prevenire gli attacchi di phishing da seguire quando si identifica una minaccia:
- Urgenza. Una email ti chiede di compiere un’azione e di agire subito? Questo potrebbe essere il primo campanello di allarme. La maggior parte delle aziende e delle agenzie governative non incoraggiano a compiere azioni in fretta. Quindi, potresti trovarti di fronte a un tentativo di phishing.
- Cerca le incongruenze. Molte di queste imitano l’azienda o l’agenzia che stanno impersonando, ma non sono in grado di farlo perfettamente. Ricontrolla ciò che ti sembra incoerente e chiediti sempre se quella azienda potrebbe mai scrivere un’email simile.
- Controlla l’ortografia. Le email di phishing sono spesso scritte da persone che non si preoccupano di fare verifiche, la grammatica e gli errori di sintassi sono spesso il loro tallone d’Achille.
- Grafica e risoluzione. Non ci sono grafiche? Bassa risoluzione? Alcuni criminali “catturano” un logo dal sito che stanno cercando di simulare, ma non hanno l’accesso ai file immagini interni e ufficiali. Di conseguenza, la qualità dell’immagine è inferiore.
- Saluti generici. Il messaggio inizia con “Caro Cliente”? Rivolgersi a clienti o prospetti con il loro nome è un principio fondamentale. Anche se invii migliaia di email contemporaneamente, ci sono strumenti che ti aiutano a nominare personalmente ogni destinatario. Un phisher potrebbe non avere accesso a tali strumenti e opterà per saluti “generici”.
- Contatti di cui puoi fidarti. Se il testo non presenta indizi evidenti, ma sei sicuro che si tratta di un messaggio pericoloso, contatta il mittente tramite un indirizzo email che conosci e di cui ti fidi. In questo modo, agirai in completa sicurezza.
- Usa i filtri. Alcuni programmi di posta elettronica e siti web utilizzano una tecnologia che filtra potenziali email di spam e phishing in una cartella separata.
La cosa più importante da fare una volta stanato un tentativo di phishing è segnalarlo al tuo fornitore di servizi IT.
Non rispondere, non cliccare i link e, se hai accidentalmente dato le tue password, non farti prendere dal panico, ma reimpostale il prima possibile.
Come prevenire il phishing ulteriori 7 consigli per prevenire gli attacchi di phishing
Prevenire questo tipo di attacchi comporta molto di più di un semplice controllo delle email. Il phishing è in continua evoluzione, bisogna adattarsi per affrontare in modo proattivo ogni minaccia e disporre di piani di mitigazione nel caso si verifichino incidenti. Ecco sette pratiche comuni che puoi seguire attraverso l’aiuto del tuo fornitore di servizi di sicurezza IT:
1. Tieni d’occhio il panorama della sicurezza
Mantenere te stesso e la tua azienda aggiornati è fondamentale contro le minacce. Leggi le nostre news per restare aggiornato sulle tendenze del phishing e sui nuovi metodi preventivi.
2. Aggiornamento dei software
Gli aggiornamenti rappresentano un passo semplice, ma essenziale! Una corretta gestione delle patch è molto importante, poiché tali aggiornamenti potrebbero fornire filtri di sicurezza e di prevenzione.
3. Riduci l’accesso alle informazioni sensibili da parte dei team
“Loose lips sink ships” è uno slogan della Seconda guerra mondiale pensato per fermare la diffusione di informazioni sensibili. Si applica ancora oggi. Man mano che l’azienda cresce e i reparti interni si espandono c’è la tentazione di fornire livelli più elevati di accesso e più dati sensibili. Ma più informazioni conoscono, più aumenta il rischio di lasciarsele sfuggire. Infatti, IBM ha riferito che il 95% dei cyber attack sono stati causati da errori umani.
Assicurarsi che si limiti ai dipendenti l’accesso alle informazioni sensibili, soprattutto se le informazioni non fanno parte della loro funzione lavorativa.
4. Condurre regolari audit di sicurezza informatica e test per i clienti
Quando il phishing raggiunge i tuoi dipendenti o collaboratori, la quantità dei danni che il malintenzionato può fare dipende anche dalle procedure e dai protocolli di sicurezza informatica attivi. L’unico modo per confermare la sicurezza è attraverso controlli regolari e test di sistema. Ci sono diversi modi per farlo, uno è il penetration testing (o pen testing): consiste nello scoprire quanto sia facile per un hacker penetrare i tuoi sistemi o quelli dei tuoi clienti e puoi metterlo in atto con gli stessi metodi che un hacker utilizzerebbe per attaccare. Il Pen test è un’ottima soluzione per scoprire exploit e la reale facilità di penetrazione dei sistemi.
5. Addestrare i team dei clienti
Insieme alle misure di sicurezza, anche educare il personale sul phishing e come gestirlo è importante. Ad esempio, si può organizzare di inviare una fake email di phishing al personale aziendale e vedere la loro reazione. (Si tratta di operazioni da organizzare con il proprio Fornitore di Servizi IT)
Se qualcuno abbocca, puoi sempre illustragli nuovamente le politiche di sicurezza corrette. Meglio prevenire che curare, no?
6. Crea un criterio di sicurezza e un programma per i tuoi clienti
Se non avete ancora una policy di sicurezza in atto, creane una subito. Questo aiuterà chi vi gestisce la sicurezza IT a decidere insieme cosa fare nel caso si verificassero dei pericoli.
Tale policy dovrebbe includere informazioni su:
- Uso accettabile del dispositivo di lavoro;
- Protezione utilizzata per l’email;
- Processo di risposta agli incidenti;
- Uso del cellulare;
- Sicurezza della rete;
- Protocolli di password e quali applicazioni per la gestione delle password si utilizzano;
- Materiale di formazione sulla sicurezza per loro per aggiornarsi sulle migliori pratiche.
7. Mantenimento di un monitoraggio costante
Una volta che avete educato il personale e testato le politiche di sicurezza, potreste pensare che tutto vada per il meglio. Ma gli aggiornamenti sulla prevenzione del phishing e sulla sicurezza informatica non finiscono mai. Assicuratevi di avere protocolli di monitoraggio costanti, tenere traccia delle minacce e mantenete aggiornati i dipendenti in modo che restino informati.
In conclusione, sappiamo bene che le email sono il vettore principale delle minacce informatiche e, di conseguenza, vanno gestite a dovere. Ma questa non è una battaglia che si combatte da soli.
E’ necessario essere seguiti da un Managed Service Provider specializzato in campo di Cybersecurity. Un fornitore che ti guidi e ti attrezzi degli strumenti necessari per affrontare ogni giorno minacce sempre più pericolose.
Lo Studio Griffanti si occupa con attenzione dei clienti fornendo un servizio ed un supporto efficace e professionale. Un controllo periodico della situazione, Vulnerability assessment, Penetration testing, campagne mail, formazione del personale, strumenti di protezione avanzati contro il phishing, spear-fishing, cripto locker e darkweb. Ci occuperemo di farti seguire i 7 consigli per prevenire gli attacchi di phishing e fare in modo che i tuoi utenti siano consapevoli e pronti in caso di attacco.