11 ottobre 2022 - Rischi informatici
Phishing è una forma di frode digitale in cui i criminali informatici si spacciano per qualcun altro. Pensate a un'autorità importante o a una persona nota. Tramite un'e-mail, un WhatsApp o un SMS dal tono urgente, vi viene richiesto di fornire informazioni, ad esempio dati personali o bancari. In qualità di imprenditori, naturalmente non volete che la vostra azienda diventi vittima di phishing. Ecco perché di seguito vi spieghiamo 10 tipi di attacchi phishing e alcuni consigli su come prevenirli.
10 tipi di attacchi phishing
1. Spruzzare phishing
Con spray phishing, i criminali informatici inviano messaggi a un gran numero di persone nell'ambito di una campagna spray phishing per impostazione predefinita. A volte si tratta di diecimila e-mail o messaggi di testo contemporaneamente. Si tratta di un'ampia rete, per così dire, nella speranza che alcune persone cadano nella trappola dell'e-mail. Di solito si tratta di un'e-mail di un'azienda esistente che chiede di aggiornare una password o di rinnovare i dati della carta di credito.
2. E-mail phishing
L'invio di e-mail è una delle forme più comuni di phishing. Queste e-mail sono progettate per sembrare provenienti da una fonte affidabile. Di solito, in questi messaggi di posta elettronica, viene chiesto di compilare un modulo o di rispondere all'e-mail. In questo modo i criminali informatici ottengono informazioni personali.
Una forma di e-mail phishing è il clone phishing, in cui un'e-mail legittima viene copiata e i link e i file vengono sostituiti con altri dannosi. Può trattarsi, ad esempio, di un file di fattura, di un link che contiene un virus o di un link che invia a un sito Web per l'inserimento di dati personali.
3. Mobile phishing
Mobile phishing è noto anche come smishing o SMS phishing. Riceverete un messaggio dall'autore del reato con l'urgenza di agire. Pensate di chiamare un numero di telefono o di cliccare su un link di un sito web. Spesso vi verranno chieste informazioni personali, come password o dati della carta di credito.
L'altra forma di phishing mobile è il phishing telefono o vishing. Con questa forma di phishing non si riceve un messaggio, ma si viene chiamati. Gli aggressori si fingono la vostra banca, la polizia o altre aziende o agenzie. Cercano di spaventare l'utente spingendolo ad agire, spesso trasferendo denaro.
4. Inseguimento dell'ambulanza
Con questi tipi di attacchi phishing , i criminali informatici sfruttano gli eventi attuali. Si pensi alla richiesta di donazioni per fondi di soccorso, disastri naturali o guerre. Gli autori possono raccogliere dati personali e sottrarre denaro alle vittime.
5. Account scaduto/modifica della password
Riceverete un messaggio via e-mail o tramite cellulare con la richiesta di reimpostare la password. Questi messaggi sembrano spesso provenire da una fonte affidabile e a volte sono difficili da distinguere dai messaggi reali. Si pensi, ad esempio, a un messaggio proveniente dalla vostra banca. Se avete cambiato la password tramite un link che vi è stato inviato via e-mail, il malintenzionato ha le informazioni necessarie per accedere al vostro conto bancario.
6. La caccia alle balene phishing
In questo attacco phishing , noto anche come compromissione della posta elettronica aziendale, i criminali informatici prendono di mira le grandi balene, ovvero i dipendenti con una posizione elevata all'interno di un'organizzazione. Spesso impersonano un dipendente di alto livello all'interno dell'organizzazione per rendere credibile l'accesso alle informazioni finanziarie o alle piattaforme aziendali.
7. Wifi twin
Un gemello WiFi è una rete WiFi che copia l'indirizzo di un'altra rete. Chiunque si connetta ad essa sarà esposto anche agli hacker. In questo modo possono accedere a password e altre informazioni. Questo tipo di attacco phishing viene spesso effettuato in aree pubbliche come centri commerciali, caffè e aeroporti. Quindi non è sempre una buona idea connettersi a una rete Wi-Fi pubblica.
8. Lancia phishing
Spear phishing è un attacco phishing molto personale. Questo perché l'attaccante finge di essere una persona che conosce bene l'obiettivo. L'obiettivo è ben studiato, quindi l'attacco è molto personale. Lo scopo è ottenere l'accesso a informazioni sensibili per sfruttare l'obiettivo.
9. Pretestuosità
Questo tipo di attacco phishing è molto efficace perché dà un senso di legittimità. Inizialmente le vittime ricevono un messaggio tramite un canale diverso dalla posta elettronica per comunicare loro che riceveranno a breve un'e-mail. Ad esempio, si finge di essere un fornitore e indica che la vittima riceverà presto un preventivo via e-mail. Il contatto telefonico viene quindi menzionato nell'e-mail finale, il che lo fa apparire più affidabile.
10. Uomo nel mezzo
Infine, discutiamo un modo abbastanza complicato di phishing: il man-in-the-middle. Il criminale informatico intercetta le e-mail tra due persone. Il criminale invia poi queste e-mail a queste due persone, che pensano che le e-mail provengano l'una dall'altra. In questo modo, aumenta la fiducia nelle e-mail, consentendo al criminale di chiedere dettagli privati e altre informazioni.
Suggerimenti per prevenire i tipi di attacchi phishing
1. Formazione del personale
Formando il personale a riconoscere i tipi di phishing e i fattori psicologici che vengono utilizzati, è possibile prevenire molti attacchi. Ad esempio, imparano a controllare i mittenti dei messaggi, a non cliccare mai su un link o un file e a verificare la presenza di un messaggio su phishing. Altre cose da tenere d'occhio da parte del personale includono:
- Il saluto: le e-mail di phishing spesso non contengono dati personali sufficienti per collegare un nome all'indirizzo. Le e-mail sono quindi spesso impersonali.
- Link e allegati inaspettati: le e-mail di Phishing contengono solitamente un link o un allegato.
- Grammatica e ortografia: le e-mail di phishing contengono spesso errori linguistici.
- Urgenza: sicuramente in combinazione con gli altri punti, questo dà una chiara indicazione di un messaggio phishing .
2. Non cliccate su tutto
Voi e i vostri dipendenti non dovete mai cliccare su tutti i link inoltrati, anche se sembrano provenire da una fonte affidabile. Verificate sempre prima di tutto se l'e-mail proviene effettivamente da quella fonte. Ad esempio, potete navigare manualmente verso il link inserendo l'indirizzo web legittimo nel browser. Se il link non è visibile perché è collegato a una parte del testo del messaggio, potete passarci sopra con il mouse. In questo modo si può vedere se si tratta di un indirizzo web legittimo.
3. Verificare la presenza di HTTPS
Soprattutto quando vi viene chiesto di condividere informazioni sensibili, dovete verificare se l'URL inizia con HTTPS anziché HTTP. La S in più non garantisce che si tratti di un sito web sicuro, ma è più protetto dagli hacker rispetto a un sito HTTP.
4. Utilizzare Guardey
Noi di Guardey facciamo tutto il possibile per garantire che la vostra azienda sia il più protetta possibile dagli attacchi di phishing . Lo facciamo, tra l'altro, fornendo una connessione VPN aziendale tramite la nostra app che viene costantemente monitorata. In caso di minaccia online, riceverete un messaggio diretto. In questo modo, saprete se c'è un comportamento che non appartiene alla vostra rete. Inoltre, noi di Guardey riteniamo che sia fondamentale andare oltre. Ecco perché la nostra app offre anche una formazione sulla cybersicurezza per voi e il vostro team, attraverso un gioco interattivo.
Provate subito Guardey in modo completamente gratuito per 14 giorni. In questo modo sarete i primi a sapere della presenza di malware sul vostro computer e potrete prendere immediatamente le giuste misure.