Gli attacchi di phishing sono diventati molto popolari a partire dagli anni ’90. Sfruttano e-mail e siti web creati ad-hoc per indurre le vittime a rivelare informazioni riservate o a scaricare malware sui loro dispositivi. Le e-mail di phishing possono impersonare brand molto noti o persone che si conoscono, come i colleghi. Il loro obiettivo è quello di indurre la vittima a credere che si tratti di un messaggio autentico e di convincerla a cliccare un link o scaricare un allegato, che solitamente contiene malware o ransomware.
Gli attacchi di phishing stanno diventando sempre più sofisticati e difficili da riconoscere. Nel 2017, il 48,2% delle e-mail di phishing sono state aperte dalle loro ignare vittime, il 12% in più rispetto all’anno precedente.
Un’organizzazione può utilizzare il software di filtraggio della posta elettronica più avanzato disponibile sul mercato, ma ciò non vuol dire che sarà protetta dagli attacchi di phishing al 100%. Ci sarà sempre almeno un’e-mail di phishing così ben fatta da ingannare anche il software più sofisticato, arrivando indisturbata nella casella di posta dei dipendenti.
Come identificare un’e-mail di phishing
Sebbene le e-mail di phishing siano sempre più sofisticate e difficili da riconoscere come tali, non sono mai perfette al 100%. Se presti attenzione e sai dove guardare, sarai in grado di smascherarle con facilità.
Ecco come.
1. Il mittente è un indirizzo di posta elettronica pubblico
Guardare l’indirizzo del mittente ti aiuta a capire se la persona che ti ha inviato l’e-mail è veramente colei che afferma di essere. Spesso, i criminali informatici usano un indirizzo di posta elettronica pubblico, come @gmail.com. Se ricevi un’email che dice di provenire dalla tua banca o da un collega, è poco probabile che il messaggio, per essere autentico, sia stato inviato da un indirizzo diverso da quello solito della tua banca o quello aziendale. Prima di aprirla o cliccare su qualsiasi link contenga, è meglio contattare direttamente il destinatario e chiedere informazioni sull’e-mail ricevuta.
2. Allegati strani
Se ricevi un’e-mail inaspettata o da qualcuno che non conosci e il messaggio ti invita ad aprire l’allegato, non farlo. Mai. Può contenere malware che infetterà il tuo computer, o peggio ancora, ransomware che bloccherà il tuo computer e i tuoi dati, prendendoli in ostaggio.
3. Senso di urgenza
Le e-mail di phishing spesso creano un falso senso di urgenza e pericolo che spinge l’ignara vittima a fare ciò che dicono. Per esempio, fanno credere alla vittima che c’è stato un tentativo di accesso al proprio profilo di home-banking, e la invitano ad accedere subito al profilo personale cliccando sul link fornito dal messaggio. Peccato che il link non vada al sito autentico, ma ad uno creato ad-hoc per la truffa.
4. Errori di ortografia in un dominio conosciuto
Come smascherare un link fasullo? Senza cliccarlo, passa il mouse sopra il link per visualizzare il vero URL nascosto. Spesso, le truffe replicano siti web famosi in tutto e per tutto. Non potendo però duplicare il dominio, cercano di crearne uno il più simile possibile all’originale: se hai ricevuto un’email che ti invita a cliccare un link che cita amason.it o intessasanpaolo.it, dovresti capire che c’è qualcosa che non va. Quindi presta grande attenzione a cosa clicchi.
5. Messaggio sgrammaticato
Spesso è possibile capire che si tratta di un’e-mail di phishing dal modo con cui è scritta. Lo stile potrebbe essere diverso da quello che ci si aspetta di solito dal mittente, oppure il messaggio potrebbe contenere errori grammaticali e ortografici.
Una delle ragioni per cui gli attacchi di phishing sono in aumento è la scarsa informazione: molte persone non sanno cosa siano e nemmeno come difendersi. Pensa cosa accadrebbe se anche solo un dipendente di un’azienda scaricasse un allegato infetto contenuto in un’e-mail di phishing: potrebbe causare danni irreparabili all’intera organizzazione. È quindi fondamentale che il personale sappia come riconoscere tali minacce e come reagire.
Come fare affinché il personale riconosca un attacco di phishing?
Ci sono diversi metodi per sensibilizzare il personale al problema degli attacchi di phishing. Si possono istituire sessioni formative sotto forma di lezione di gruppo, oppure lasciare che il singolo dipendente completi un corso e-learning in totale autonomia. Il Phishing Staff Awareness Course è un corso e-learning per il personale per sensibilizzarlo agli attacchi di phishing. Interattivo, facile da usare, illustra scenari realistici di attacco e come difendersi.
| Maggiori informazioni sul corso >> |
