Connessi sempre e ovunque, è questa la quotidianità in cui ci viviamo e in cui operano molte organizzazioni. Tuttavia, questa connessione può anche renderci vulnerabili ad attacchi informatici. Uno di quelli più comuni e pericolosi è il phishing.
Ma cosa si intende per phishing? Il phishing è forma di truffa informatica basata sull’ingegneria sociale che utilizza l’e-mail per spingere l’utente a compiere un’azione e condividere informazioni sensibili o scaricare malware. Generalmente, il cyber criminale finge di essere una persona o un’organizzazione legittima generando nell’utente un senso di fiducia (un collega, la propria banca, gestore utenze, etc.) per adescare la vittima.
ALCUNE TIPOLOGIE DI ATTACCO
Tra le tipologie di attacco più comune c’è quello che viene definito “spray phishing” che consiste nell’invio massivo della stessa e-mail al maggior numero di utenti. Per avere successo, il mittente impersonato deve essere molto popolare poiché essendo un attacco basato sui numeri più è alta la popolarità maggiore sarà la probabilità che i destinatari siano clienti, abbonati o membri.
Un’altra tipologia di attacco che si focalizza, invece, su un pubblico specifico è lo “spear phishing”. In questo caso il criminale utilizza informazioni personali, raccolte attraverso ricerche online o social engineering, per creare e-mail personalizzate e convincenti in modo da convincere l’utente a inserire le proprie credenziali, dati sensibili, inviare un pagamento o scaricare malware.
Simile allo spear phishing ma decisamente più complesso è il “Business e-mail compromise” (BEC). Il suo obiettivo principale è quello di spingere le vittime a trasferire fondi dai loro conti bancari ai criminali o di ottenere informazioni commerciali rilevanti.
AUMENTARE LA PROPRIA CONSAPEVOLEZZA PER RIDURRE IL RISCHIO
Ma come fare per riconoscerlo? Per prevenire gli attacchi di phishing occorre innanzitutto aumentare consapevolezza e attenzione ad alcuni segnali che possono rivelarsi utili per ridurre il rischio di cadere nelle trappole dei criminali informatici.
Primo punto campanello di allarme è nel senso di pressione e urgenza che caratterizza questa tipologia e-mail. L’utente, infatti, viene spinto ad agire immediatamente per evitare una situazione spiacevole.
Inoltre, sono solitamente richieste insolite o comunicazioni inaspettate che utilizzano formule di apertura e chiusura generiche o che non sono proprie del mittente impersonato con presenza, la maggior parte delle volte, di errori grammaticali.
Occorre prestare attenzione anche al mittente – l’indirizzo, infatti, nella parte dopo la chiocciola presenta spesso delle incongruenze rispetto alla reale provenienza della e-mail – o alla presenza di link malevoli che rimandano a pagine fake o ad allegati che una volta scaricati possono infettare con malware il nostro sistema.
Prestare attenzione a questi segnali e adottare cautela e attenzione sono le migliori difese contro gli attacchi di phishing che, con l’ausilio dell’intelligenza artificiale, risultano sempre più realistiche e pericolose.
SUGGERIMENTI PRATICI PER EVITARE GLI ATTACCHI PHISHING
Ecco alcuni consigli per proteggerti da questi attacchi:
- Formazione – È fondamentale partecipare a corsi di formazione e aggiornamento sulla sicurezza informatica per rimanere aggiornato sulle ultime tattiche di phishing e identificarle.
- Vigilanza e Cautela – Bisogna mettere sempre in dubbio la legittimità di e-mail, SMS o telefonata che ricevi che risulti essere inaspettata o crei un senso di dubbio. Dove possibile è meglio verificare direttamente col mittente la veridicità della richiesta o utilizzare i canali ufficiali del mittente, come siti internet o app ufficiali.
- Password forti e autenticazione a due fattori – Utilizza password uniche e forti e, quando possibile, l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza ai tuoi account.
- Aggiornamenti software – Aggiornare regolarmente sistemi operativi, antivirus, firewall e software antimalware può risolvere possibili vulnerabilità note.
- Mai cliccare su link o allegati sospetti – Prima di cliccare su qualsiasi link o scaricare allegati di dubbia provenienza, è importante prendersi un momento per riflettere.
- Attenzione alle informazioni personali – Occorre prestare la massima attenzione a tutte le richieste di condivisione di dati sensibili. Le aziende legittime difficilmente chiedono informazioni personali o dati finanziari via e-mail.
- Segnalare sempre attività sospette – Qualora si sospettasse di una e-mail sospetta è bene segnalalo immediatamente alle autorità competenti. La segnalazione potrà aiutare a identificare le potenziali minacce di phishing e prevenire ulteriori attacchi in futuro.
