Il “phishing” è una delle più grandi minacce per gli individui e le organizzazioni: sappiamo cosa sono, che aspetto hanno, e dove cercarli?
Nel senso più ampio, il “phishing” è qualsiasi tentativo di porsi come una fonte affidabile al fine di ottenere dalla gente a consegnare informazioni personali per compiere frodi online. Il phishing di solito assume la forma di messaggi di massa inviati a centinaia o migliaia di persone, oppure i criminali possono utilizzare altre forme di comunicazione o creare attacchi più sfumati.
Abbiamo elencato le forme più comuni di phishing, insieme ad esempi per aiutarvi a individuare questi attacchi.
Email phishing
La maggior parte delle persone sono almeno vagamente consapevoli cosa sono gli attacchi di “email phishing” . Sono i messaggi mal scritti e inattesi che cercano di spaventarvi:forse il vostro conto corrente è stato violato, oppure è necessario confermare un pagamento con carta di credito..
A prescindere dalla forma che i messaggi prendono, contengono sempre una richiesta di informazioni, un allegato da aprire (spesso un file. zip) o un link da cliccare.
Se una e-mail non è indirizzata a voi personalmente, contiene allegati sospetti o link o viene inviata da un indirizzo email fasullo, è probabilmente una truffa di phishing.
Spear phishing
Ci sono altri due, più sofisticati, tipi di phishing che coinvolgono email. Il primo, Spear phishing, descrive le email dannose inviate a una persona specifica. I criminali che fanno questo avranno già alcuni o tutti i seguenti dati : il nome della vittima, il luogo di lavoro, il titolo lavorativo, l’indirizzo email e le informazioni specifiche sul lavoro.
Una delle violazioni dei dati più famosi nella storia recente, l’attacco hacker al Comitato nazionale democratico, è stato fatto con l’aiuto di Spear phishing. Il primo attacco ha inviato e-mail contenenti allegati dannosi a più di 1.000 indirizzi e-mail. Il suo successo ha portato a un’altra campagna che ha imbrogliato i membri del comitato a condividere le loro password.
Whaling (Caccia alla balena)
Il secondo genere di phishing , denominato “caccia alla balena” è ancora più mirato, prendendo a riferimento le figure apicali di un’azienda. Sebbene l’obiettivo finale della caccia alle balene sia lo stesso di qualsiasi altro tipo di attacco di phishing, la tecnica tende ad essere molto più sottile. Trucchi come link falsi e URL dannosi non sono utili in questo caso, poiché i criminali stanno tentando di imitare il CEO o altra figura decisionale.
Le truffe che coinvolgono false dichiarazioni dei redditi sono una varietà sempre più comune di “caccia alle balene”. I moduli fiscali sono molto apprezzati dai criminali perché contengono una serie di informazioni utili: nomi, indirizzi, numeri di previdenza sociale e informazioni sul conto bancario.
Smishing e vishing
Sia con l’emissione di annunci che con il vishing, i telefoni sostituiscono le e-mail come metodo di comunicazione. Lo smishing coinvolge i criminali che inviano messaggi di testo (il cui contenuto è molto simile a quello del phishing di posta elettronica), e il vishing implica una conversazione telefonica.
Una comune truffa di vishing riguarda un criminale che si atteggia a un investigatore di frodi (dalla società di carte di credito o dalla banca) che dice alla vittima che il suo conto è stato violato. Il criminale chiederà quindi alla vittima di fornire i dettagli della carta di pagamento per verificare la propria identità o trasferire denaro in un conto “sicuro” , quello de criminale.
Social media phishing
Un vettore di attacco relativamente nuovo, i social media offrono una serie di modi in cui i criminali possono ingannare le persone. URL falsi; siti web, post e tweet clonati; e l’instant messaging (che è essenzialmente uguale a smishing) può essere utilizzato per convincere le persone a divulgare informazioni sensibili o a scaricare malware.
In alternativa, i criminali possono utilizzare i dati che le persone pubblicano volentieri sui social media per creare attacchi altamente mirati.
Nel 2016, migliaia di utenti di Facebook hanno ricevuto messaggi che dicevano che erano stati menzionati in un post. Il messaggio era stato avviato da criminali e scatenato un attacco a due stadi. Il primo stadio ha scaricato un Trojan contenente un’estensione del browser Chrome dannosa sul computer dell’utente.
Quando l’utente ha effettuato l’accesso a Facebook utilizzando il browser compromesso, il criminale è stato in grado di dirottare l’account dell’utente. Sono stati in grado di modificare le impostazioni sulla privacy, rubare dati e diffondere l’infezione tramite gli amici di Facebook della vittima.
I Vostri dipendenti sono l’ultima linea di difesa
Le aziende possono mitigare il rischio di phishing con mezzi tecnologici, come i filtri antispam, ma questi si sono sempre dimostrati inaffidabili. Le e-mail dannose continueranno a essere trasmesse regolarmente e, quando ciò accadrà, l’unica cosa che impedisce alla Vostra organizzazione di subire una violazione è la capacità dei dipendenti di rilevare la loro natura fraudolenta e di rispondere in modo appropriato.
Fonte : IT Governance
Per conoscere maggiori dettagli sui corsi di formazione per i dipendenti relativi alla protezione privacy come richiesti da Regolamento Europeo sul Trattamento dei Dati GDPR 679/2016 e quali assicurazioni coprono l’azienda dai cyber-risks come il PHISING, GOLINUCCI srl è a vostra disposizione . email dpo@golinucci.it , telefono 0547 22351.
https://www.golinucci.it/prodotti-e-servizi/per-le-aziende/cyber-risk
https://www.golinucci.it/prodotti-e-servizi/sicurezza-e-privacy/gdpr-privacy-e-sicurezza
1 pensiero su “Come individuare un attacco di phishing”