google 4.9 (34 recensioni)
Cyber security servizio per voi
Programmare una dimostrazione
Torna al Centro risorse

10 tipi di attacchi phishing

11 ottobre 2022 - Rischi informatici

Condividi

Che cosa è phishing

Phishing è una forma di frode digitale in cui i criminali informatici si spacciano per qualcun altro. Pensate a un'autorità importante o a una persona nota. Tramite un'e-mail, un WhatsApp o un SMS dal tono urgente, vi viene richiesto di fornire informazioni, ad esempio dati personali o bancari. In qualità di imprenditori, naturalmente non volete che la vostra azienda diventi vittima di phishing. Ecco perché di seguito vi spieghiamo 10 tipi di attacchi phishing e alcuni consigli su come prevenirli.

10 tipi di attacchi phishing

1. Spruzzare phishing

Con spray phishing, i criminali informatici inviano messaggi a un gran numero di persone nell'ambito di una campagna spray phishing per impostazione predefinita. A volte si tratta di diecimila e-mail o messaggi di testo contemporaneamente. Si tratta di un'ampia rete, per così dire, nella speranza che alcune persone cadano nella trappola dell'e-mail. Di solito si tratta di un'e-mail di un'azienda esistente che chiede di aggiornare una password o di rinnovare i dati della carta di credito.

2. E-mail phishing

L'invio di e-mail è una delle forme più comuni di phishing. Queste e-mail sono progettate per sembrare provenienti da una fonte affidabile. Di solito, in questi messaggi di posta elettronica, viene chiesto di compilare un modulo o di rispondere all'e-mail. In questo modo i criminali informatici ottengono informazioni personali.

Una forma di e-mail phishing è il clone phishing, in cui un'e-mail legittima viene copiata e i link e i file vengono sostituiti con altri dannosi. Può trattarsi, ad esempio, di un file di fattura, di un link che contiene un virus o di un link che invia a un sito Web per l'inserimento di dati personali.

3. Mobile phishing

Mobile phishing è noto anche come smishing o SMS phishing. Riceverete un messaggio dall'autore del reato con l'urgenza di agire. Pensate di chiamare un numero di telefono o di cliccare su un link di un sito web. Spesso vi verranno chieste informazioni personali, come password o dati della carta di credito.

L'altra forma di phishing mobile è il phishing telefono o vishing. Con questa forma di phishing non si riceve un messaggio, ma si viene chiamati. Gli aggressori si fingono la vostra banca, la polizia o altre aziende o agenzie. Cercano di spaventare l'utente spingendolo ad agire, spesso trasferendo denaro.

4. Inseguimento dell'ambulanza

Con questi tipi di attacchi phishing , i criminali informatici sfruttano gli eventi attuali. Si pensi alla richiesta di donazioni per fondi di soccorso, disastri naturali o guerre. Gli autori possono raccogliere dati personali e sottrarre denaro alle vittime.

5. Account scaduto/modifica della password

Riceverete un messaggio via e-mail o tramite cellulare con la richiesta di reimpostare la password. Questi messaggi sembrano spesso provenire da una fonte affidabile e a volte sono difficili da distinguere dai messaggi reali. Si pensi, ad esempio, a un messaggio proveniente dalla vostra banca. Se avete cambiato la password tramite un link che vi è stato inviato via e-mail, il malintenzionato ha le informazioni necessarie per accedere al vostro conto bancario.

6. La caccia alle balene phishing

In questo attacco phishing , noto anche come compromissione della posta elettronica aziendale, i criminali informatici prendono di mira le grandi balene, ovvero i dipendenti con una posizione elevata all'interno di un'organizzazione. Spesso impersonano un dipendente di alto livello all'interno dell'organizzazione per rendere credibile l'accesso alle informazioni finanziarie o alle piattaforme aziendali.

7. Wifi twin

Un gemello WiFi è una rete WiFi che copia l'indirizzo di un'altra rete. Chiunque si connetta ad essa sarà esposto anche agli hacker. In questo modo possono accedere a password e altre informazioni. Questo tipo di attacco phishing viene spesso effettuato in aree pubbliche come centri commerciali, caffè e aeroporti. Quindi non è sempre una buona idea connettersi a una rete Wi-Fi pubblica.

8. Lancia phishing

Spear phishing è un attacco phishing molto personale. Questo perché l'attaccante finge di essere una persona che conosce bene l'obiettivo. L'obiettivo è ben studiato, quindi l'attacco è molto personale. Lo scopo è ottenere l'accesso a informazioni sensibili per sfruttare l'obiettivo.

9. Pretestuosità

Questo tipo di attacco phishing è molto efficace perché dà un senso di legittimità. Inizialmente le vittime ricevono un messaggio tramite un canale diverso dalla posta elettronica per comunicare loro che riceveranno a breve un'e-mail. Ad esempio, si finge di essere un fornitore e indica che la vittima riceverà presto un preventivo via e-mail. Il contatto telefonico viene quindi menzionato nell'e-mail finale, il che lo fa apparire più affidabile.

10. Uomo nel mezzo

Infine, discutiamo un modo abbastanza complicato di phishing: il man-in-the-middle. Il criminale informatico intercetta le e-mail tra due persone. Il criminale invia poi queste e-mail a queste due persone, che pensano che le e-mail provengano l'una dall'altra. In questo modo, aumenta la fiducia nelle e-mail, consentendo al criminale di chiedere dettagli privati e altre informazioni.

Suggerimenti per prevenire i tipi di attacchi phishing

1. Formazione del personale

Formando il personale a riconoscere i tipi di phishing e i fattori psicologici che vengono utilizzati, è possibile prevenire molti attacchi. Ad esempio, imparano a controllare i mittenti dei messaggi, a non cliccare mai su un link o un file e a verificare la presenza di un messaggio su phishing. Altre cose da tenere d'occhio da parte del personale includono:

  • Il saluto: le e-mail di phishing spesso non contengono dati personali sufficienti per collegare un nome all'indirizzo. Le e-mail sono quindi spesso impersonali.
  • Link e allegati inaspettati: le e-mail di Phishing contengono solitamente un link o un allegato.
  • Grammatica e ortografia: le e-mail di phishing contengono spesso errori linguistici.
  • Urgenza: sicuramente in combinazione con gli altri punti, questo dà una chiara indicazione di un messaggio phishing .

2. Non cliccate su tutto

Voi e i vostri dipendenti non dovete mai cliccare su tutti i link inoltrati, anche se sembrano provenire da una fonte affidabile. Verificate sempre prima di tutto se l'e-mail proviene effettivamente da quella fonte. Ad esempio, potete navigare manualmente verso il link inserendo l'indirizzo web legittimo nel browser. Se il link non è visibile perché è collegato a una parte del testo del messaggio, potete passarci sopra con il mouse. In questo modo si può vedere se si tratta di un indirizzo web legittimo.

3. Verificare la presenza di HTTPS

Soprattutto quando vi viene chiesto di condividere informazioni sensibili, dovete verificare se l'URL inizia con HTTPS anziché HTTP. La S in più non garantisce che si tratti di un sito web sicuro, ma è più protetto dagli hacker rispetto a un sito HTTP.

4. Utilizzare Guardey

Noi di Guardey facciamo tutto il possibile per garantire che la vostra azienda sia il più protetta possibile dagli attacchi di phishing . Lo facciamo, tra l'altro, fornendo una connessione VPN aziendale tramite la nostra app che viene costantemente monitorata. In caso di minaccia online, riceverete un messaggio diretto. In questo modo, saprete se c'è un comportamento che non appartiene alla vostra rete. Inoltre, noi di Guardey riteniamo che sia fondamentale andare oltre. Ecco perché la nostra app offre anche una formazione sulla cybersicurezza per voi e il vostro team, attraverso un gioco interattivo.

Provate subito Guardey in modo completamente gratuito per 14 giorni. In questo modo sarete i primi a sapere della presenza di malware sul vostro computer e potrete prendere immediatamente le giuste misure.

INDICE DEI CONTENUTI
POSTI COLLEGATI
Prova Guardey

La soluzione di formazione security awareness di Guardey consente ai dipendenti di riconoscere e segnalare le minacce informatiche.

Iniziare la prova gratuita di 14 giorni

Domande frequenti

Che cos'è la gamification?

La gamification consiste nell'aggiungere elementi di gioco in ambienti non di gioco, come la formazione su security awareness , per aumentare la partecipazione e favorire l'apprendimento attivo.

Quali sono i vantaggi della gamification nella formazione su security awareness ?

La formazione tradizionale su security awareness può spesso risultare arida e noiosa. Con la gamification, la complessa materia viene trasformata in un'esperienza coinvolgente e memorabile.

Integrando elementi di gioco come sfide, quiz e ricompense, si incentivano gli utenti ad apprendere attivamente. Ciò rende la formazione più piacevole e favorisce un senso di competizione e di realizzazione. Questa combinazione favorisce una migliore ritenzione e applicazione delle conoscenze di cyber security .

Perché è importante allenare security awareness su base settimanale?

Le ricerche dimostrano che fino al 90% delle nozioni apprese durante una formazione annuale o addirittura trimestrale vengono dimenticate nel giro di poche settimane. Guardey è stato costruito per tenere gli utenti al corrente delle minacce informatiche 365 giorni all'anno. Il gioco prevede sfide brevi e settimanali che aumentano lentamente le conoscenze dell'utente e alla fine portano a un cambiamento duraturo del comportamento.

Quali argomenti sono trattati nel gioco security awareness di Guardey?

Guardey copre un'ampia gamma di argomenti per formare gli utenti su tutte le minacce informatiche attualmente rilevanti, realizzate in collaborazione con hacker etici e pedagoghi. Gli argomenti trattati includono phishing, il lavoro da remoto, la sicurezza delle password, le frodi dei CEO, il ransomware, lo smishing e molto altro ancora.

Quanto tempo richiedono le sfide settimanali?

Ogni sfida richiede fino a tre minuti per essere completata.

Posso utilizzare Guardey per conformarmi alle politiche ISO27001, NIS2 e GDPR security awareness ?

Sì. Le norme ISO27001, NIS2 e GDPR richiedono che tutti i dipendenti ricevano una formazione adeguata su security awareness . Guardey è sempre aggiornata sulle ultime minacce informatiche, sulle politiche e sulle procedure.

La formazione su security awareness è importante per tutti i dipendenti o solo per ruoli specifici?

La formazione sulla consapevolezza della cybersecurity è fondamentale per tutti i dipendenti, non solo per ruoli specifici. Ogni membro del personale può potenzialmente essere un bersaglio o un punto di ingresso inconsapevole per gli attacchi informatici. La formazione contribuisce a creare una cultura incentrata sulla sicurezza e a ridurre al minimo i rischi per l'intera organizzazione.

Mentre alcuni ruoli possono richiedere una formazione specialistica, un livello di formazione di base dovrebbe essere accessibile a tutti.

In quali lingue è disponibile Guardey?

Guardey è disponibile in inglese, olandese, italiano, francese, spagnolo, tedesco, polacco, svedese e danese.

Volete fare altre domande?
Richiedete una demo personale

Ricevete le ultime risorse e notizie direttamente nella vostra casella di posta elettronica.

Risorse che potrebbero interessarvi

Rischi informatici
Come ridurre i rischi informatici con la formazione security awareness
Informazioni su NIS2
Rischi informatici
I rischi della disuguaglianza digitale
Rischi informatici
Rischi informatici sul lavoro
Centro risorse
Sito web di Anouk CTA Guardey
PROVA GRATUITA DI 14 GIORNI

Provate Guardey oggi stesso.

  • Prova completamente gratuita
  • Assistenza 24/7
Iniziare la prova gratuita di 14 giorni