Blog
Ultime novità
bg
Suggerimenti sulla sicurezza

Comprendere il phishing e come proteggerti

LastPassJune 27, 2024
Comprendere il phishing e come proteggerti

Che cos’è il phishing? 

Definizione di phishing 

Il phishing è un tipo di crimine informatico in cui i criminali ottengono denaro, traggono un vantaggio o implementano una modifica desiderata procurandosi l’accesso alle informazioni attraverso una richiesta effettuata tramite email o altre forme di comunicazione. Il phishing è predominante nel mondo attuale ed è ritenuto essere la causa di due terzi delle violazioni della sicurezza ogni anno, il che lo rende un problema rilevante. Le email phishing vengono ricevute ogni giorno in tutti i contesti, incluse le email e le comunicazioni personali, nelle piccole e nelle grandi aziende. 

Metodi comuni usati negli attacchi phishing 

I criminali informatici spesso inviano email, messaggi o SMS pensati per indurre persone ignare a condividere dati finanziari o informazioni personali. Il destinatario potrebbe credere che la comunicazione provenga da una fonte affidabile, un’autorità o qualcuno nei guai oppure potrebbe semplicemente essere curioso di rispondere. 

Spesso, i tentativi di phishing sfruttano l’ingenuità, le reazioni emotive o la mancata consapevolezza di tali attacchi. Approfittano inoltre della disattenzione ai dettagli. 

Esempi di truffe phishing 

Molti incidenti di sicurezza informatica di rilievo sono iniziati con attacchi phishing. 

  • Durante l’Operazione Phish Phry dell’FBI nel 2009, 100 persone sono state accusate di crimini informatici. L’FBI è stata informata quando i clienti hanno ricevuto delle email dall’aspetto ufficiale da quelli che sembravano essere i loro istituti. In risposta alle richieste via email, i clienti hanno inserito le informazioni e le password dei propri account in un sito web rivelatosi poi fraudolento. Ciò ha portato a un disastro finanziario sia per i clienti che per i loro istituti finanziari. 
  • Nel 2013, la truffa Target/FMS è stata una truffa phishing che ha consentito agli hacker di accedere ai dati delle carte di credito di 40 milioni di clienti di Target, compromettendo i registri di 70 milioni di clienti. L’email phishing che ha permesso ai criminali di distribuire il malware nei terminali di cassa è stata inviata ai dipendenti di un’azienda del settore HVAC incaricata da Target, dove probabilmente il malware è stato scaricato da un dipendente ignaro con accesso ai server di Target dall’email phishing. 
  • Nel 2016, un produttore di componenti aerospaziali austriaco, FACC, con clienti rinomati come Boeing ed Airbus, è stato vittima di un attacco email phishing in cui gli hacker impersonavano il CEO dell’azienda, un uomo canadese di nome Walter Stephen. Nella truffa, gli hacker che impersonavano Stephen richiedevano a un dipendente di trasferire 61 milioni di dollari sul conto bancario del criminale in Cina. Dopo la scoperta, l’azienda ha licenziato sia il CEO che il CFO ed è stata citata per danni per non aver implementato correttamente i controlli di sicurezza e per non aver fornito una supervisione adeguata. Le conseguenze sono state notevoli.

Tipi di attacchi phishing 

Panoramica dei diversi tipi di attacchi phishing

Ci sono diversi tipi e stili di attacchi phishing, che possono anche avvenire tramite messaggi di testo, messaggistica sui social media e telefonate, sebbene abbiano nomi diversi. La maggior parte delle truffe phishing è progettata per truffare più persone possibile ed è solitamente a basso rendimento. Tuttavia, alcuni attacchi phishing sono più tecnici e possono creare problemi di ampia portata per soggetti e organizzazioni specifici e mirati. Alcuni esempi di questi tipi di attacchi includono lo spear phishing, il clone phishing e il whaling. Il phishing via email è il tipo di attacco phishing più diffuso. 

Spear phishing e relative caratteristiche

Gli attacchi di spear phishing prendono di mira soggetti specifici invece di gettare un’ampia rete. Questo tipo di attacco inizia quando un criminale ottiene l’accesso all’email interna di un’organizzazione, spesso attraverso il comune phishing o vulnerabilità di sistema. Gli hacker cercano e selezionano un bersaglio, creano un piano e quindi impersonano qualcuno all’interno dell’organizzazione. Determinati impiegati potrebbero ricevere email dall’aspetto realistico da un collega o da un’autorità, oppure istruzioni che sfruttano le reazioni emotive per portarli a eseguire un compito. Queste email possono contenere piccole discrepanze che l’utente potrebbe non notare a causa della reazione emotiva o della curiosità. È fondamentale verificare in modo indipendente qualsiasi richiesta insolita che appare fuori luogo. 

Clone phishing e relativo funzionamento

Il clone phishing utilizza le tecniche del comune phishing per ottenere l’accesso a email originali con allegati, creando copie di email autentiche dell’organizzazione. Ciò consente ai criminali di inviare allegati che appaiono come l’originale ma contengono malware utilizzato per rubare dati sensibili. Queste email riutilizzate vengono spesso inviate come allegati “aggiornati” urgenti, sfruttando questa urgenza per far sì che la vittima risponda. Diversamente dallo spear phishing, che prendere appositamente di mira un’organizzazione o una persona, il clone phishing solitamente impersona o duplica le email in maniera credibile. 

Riconoscimento delle email phishing

Caratteristiche comuni delle email phishing

Le email phishing spesso hanno caratteristiche comuni come errori grammaticali, indirizzi email o collegamenti ipertestuali insoliti e download sospetti, oppure possono provenire da un indirizzo email sconosciuto. Le aziende spesso richiedono una formazione specifica sulla sicurezza informatica per aiutare i dipendenti a riconoscere le email phishing. 

Come identificare contenuti sospetti

Se un’email richiede direttamente dati sensibili, utilizza solo canali approvati e protetti per condividere tali dati e fallo solo se raccomandabile e sicuro. Ricontrolla qualsiasi richiesta insolita e se un’email ti indirizza a un sito web, leggi l’URL nella barra degli indirizzi per assicurarti che sia corretto prima di immettere dati personali. Le email da organizzazioni o persone note che contengono caratteristiche insolite, come differenze inaspettate in termini di contenuto, linguaggio o tono, devono essere trattate come sospette. Lo stesso vale per le email con richieste urgenti, forti dichiarazioni emotive o minacce. Le comunicazioni non richieste o improvvise vanno anch’esse considerate immediatamente sospette. 

Suggerimenti per evitare di cadere in una truffa phishing

Ci sono delle semplici misure da adottare per evitare di cadere in una truffa phishing. 

  • Informati cercando come funzionano le truffe phishing. 
  • Segui un corso o consulta il team IT o di sicurezza informatica al lavoro. 
  • Rimani al corrente leggendo in merito a famose truffe phishing o notizie in materia di sicurezza informatica. Ciò può fornire un bagaglio di informazioni utili per identificare gli attacchi phishing. 
  • Segui i principi di sicurezza e rispetta i protocolli e controlli di sicurezza aziendale. 

Presta molta attenzione a email, SMS, messaggi sui social media, nonché telefonate per determinarne l’origine, la sicurezza di una risposta a eventuali richieste e altre informazioni che potrebbero aiutare l’identificazione. 

Verifica sempre le comunicazioni. Hai iniziato tu la conversazione o è stata l’altra persona? Qual è lo scopo della comunicazione? Cerca con attenzione eventuali stranezze, dichiarazioni di urgenza, suppliche emotive, cadenze inusuali, errori grammaticali e link o istruzioni sospetti. Ognuno di questi elementi può essere un indicatore di un attacco phishing. 

L’utilizzo di un gestore di password come LastPass è un altro semplice passaggio per impedire agli hacker di accedere alle comunicazioni via email e agli utenti di compilare moduli fraudolenti. 

Protezione dal phishing

Best practice per prevenire gli attacchi phishing

Ci sono delle semplici best practice da seguire per prevenire gli attacchi phishing. Prima di tutto, rallenta. Leggi accuratamente l’email, controlla se il mittente e l’indirizzo corrispondono prima di rispondere e cerca segnali di attività sospetta. 

Utilizzo di password complesse e univoche

L’utilizzo dell’autenticazione a più fattori (MFA) e di password complesse impedisce le intrusioni e protegge i dati. Cambiare le password regolarmente o utilizzare un gestore di password può rendere più difficile per gli hacker mantenere l’accesso, proteggendo così i tuoi dati. 

Il ruolo dei gestori di password come LastPass nella protezione dal phishing

I gestori di password come LastPass contribuiscono a proteggere gli utenti dallo stress legato alle password e facilitano comunicazioni attente e sicure. LastPass individua i siti web fasulli, impedendo la compilazione di moduli con dati personali su siti fraudolenti. 

Segnalazione e risposta al phishing

Cosa fare se ricevi un’email phishing

Se ricevi un’email phishing, reagisci con cautela e attenzione ed effettua una segnalazione. 

Non fare clic sui link e non scaricare gli allegati. Verifica con il mittente prima di agire in alcun modo e segui la procedura di segnalazione della tua azienda. 

Come segnalare truffe phishing

Segnalare il phishing aiuta a prevenire future truffe e identificare i truffatori noti. Segui le procedure della tua organizzazione per la segnalazione e consulta il team IT o di sicurezza informatica per ricevere consigli. Puoi segnalare i tentativi di phishing anche alla Polizia Postale, che offre un modulo apposito sul sito Commissariato di Pubblica Sicurezza online.

Azioni da intraprendere se ritieni di aver subito un attacco phishing

Se ritieni di aver subito un attacco phishing, disconnetti immediatamente il tuo dispositivo da Internet, scansionalo con un software antivirus e monitora le email e gli account online per verificare la presenza di transazioni sospette. Se l’evento si è verificato su una rete o un dispositivo professionale, segnalalo e segui le procedure standard di sicurezza.

Il phishing è una minaccia seria che richiede attenzione e conoscenza del phishing per contrastarla. Conoscendo le tecniche di phishing più comuni, riconoscendo le email sospette e seguendo le best practice, singoli individui e organizzazioni possono proteggersi da questi attacchi. 

Uno dei primi passaggi più semplici? Utilizzare un gestore di password. Inizia subito la prova gratuita di LastPass per rafforzare la tua organizzazione contro gli attacchi phishing.