Phishing: cos’è?

Gli attacchi di phishing iniziano con una e-mail o un’altra comunicazione apparentemente normale ma fraudolenta: lo scopo è attirare l’attenzione della vittima perché il messaggio sembra provenire da un mittente affidabile, un brand conosciuto o un reale partner commerciale o fornitore. Se il messaggio non desta preoccupazioni, la vittima viene persuasa a fornire informazioni riservate o a cliccare su un link ad un sito web falso. Qualche volta, nel computer della vittima viene anche scaricato un malware.

Quali sono i pericoli degli attacchi di phishing?

Gli obiettivi degli hacker possono essere diversi: a volte mirano alle informazioni sulla carta di credito della vittima o altri dati personali a scopo di lucro. Altre volte, le e-mail di phishing vengono inviate al fine di ottenere le credenziali di accesso dei dipendenti o altre informazioni utili a finalizzare un attacco successivo contro l’azienda in cui la vittima lavora. Attacchi informatici quali minacce avanzate persistenti (APT) e ransomware spesso iniziano con il phishing.

Quali sono le tecnologie per evitare gli attacchi di phishing?

Non esiste un’unica tecnologia che può evitare un attacco di phishing. L’attacco si basa sull’errore umano e sarà attuabile soltanto se c’è un umano che cade nella trappola. Nonostante l’aiuto dell’intelligenza artificiale la miglior difesa oggi rimane sensibilizzare le persone a non cliccare link sospetti e di non fornire dati sensibili online. Ricordiamoci sempre che i cybercriminali sono persone che mirano all’essere umano e non alla tecnologia.

Quanto è grande il rischio phishing? Quali sono i numeri?

Il 54% degli attacchi phishing riusciti si conclude con la violazione dei dati dei clienti. Secondo lo State of the Phish Report 2022 di Proofpoint, l’83% delle organizzazioni ha dichiarato di aver subito attacchi phishing riusciti lo scorso anno, risultati nel 54% dei casi in violazione di dati sensibili del cliente o in data breach. Inoltre, l’incidenza degli attacchi di phishing è aumentato di quasi del 30% rispetto agli anni precedenti e non smetterà di crescere.

Come identificare le e-mail fraudolenti?

I criminali cercano di “copiare” le e-mail e i messaggi di testo che ricevi abitualmente da aziende legittime per indurti a fornire le tue informazioni personali e le tue password. Queste caratteristiche possono aiutarti a riconoscere le e-mail a scopo di phishing: 

• L’indirizzo e-mail o il numero di telefono del mittente non corrisponde al nome dell’azienda da cui sembrano provenire.
• L’indirizzo e-mail o il numero di telefono usato per contattarti è diverso da quello che ha fornito all’azienda in questione.
• Un link in un messaggio sembra corretto, ma l’URL non corrisponde a quello del sito web dell’azienda legittima.
• Il messaggio sembra molto diverso dagli altri che hai ricevuto dalla stessa azienda.
• Il messaggio richiede informazioni personali, come il numero della carta di credito o la password di un account.
• Il messaggio non è stato richiesto e contiene un allegato, come un pdf o un excel, oppure contiene un link.
• Il messaggio fa leva su un varietà di emozioni umane. Utilizza la paura  (urgenza di rispondere o diventare attivo per non incorrere in qualcosa di negativo), la stanchezza o distrazione (devo finire più cose il prima possibile), la fiducia (ho tutto sotto controllo) e la ricerca della ricompensa immediata (clicca, hai vinto!).

Cosa puoi fare per alzare un muro di protezione contro il phishing nella tua azienda?

La strategia di cybersecurity della tua azienda è fondamentale. Se hai una strategia di protezione della tua infrastruttura, degli endpoint e dei programmi già attivi potresti considerare di abbinare una formazione del personale sul rischio del phishing.

Esiste un metodo semplice, efficace ed economico per azzerare il rischio phishing.

Anylink Group ti offre il servizio AnyPhish. Con l’aiuto della nostra piattforma il servizio pianifica ed invia periodicamente mail di phishing “formativi”  ai tuoi dipendenti o gruppi precisi. Se l’utente ci casca riceve immediatamente un avviso e una spiegazione su come evitare l’errore in futuro. Contemporaneamente l’IT Manager viene informato di tutte le “compromissioni” e ogni mese viene elaborato un report. Questo servizio ti permette di valutare l’”awareness” dei tuoi dipendenti in ambito phishing e di individuare utenti che hanno più necessità di formazione rispetto ad altri. Tutte le e-mail saranno divise per grado di difficoltà e personalizzati per la tua azienda.

Vuoi sapere di più su questo tipo di soluzione? Prendi subito contatto con noi per partire con la tua campagna AnyPhish.