Un’email o un SMS di phishing (nel caso di messaggi di testo, ci si riferisce a SMiShing) è un messaggio fraudolento creato per sembrare autentico, che richiede di fornire informazioni personali sensibili in vari modi. Se non esaminati attentamente, tuttavia, non è facile distinguere gli email o i messaggi di testo di phishing dai messaggi autentici. Come riconoscere questo tipo di minaccia e proteggersi? 

Gli truffatori si sforzano di fare in modo che i messaggi di phishing assomiglino il più possibile alle email e ai messaggi di SMS inviati da aziende considerate affidabili, per questo è necessario essere cauti nell’aprire questi messaggi e cliccare sui link che contengono. 

Attraverso nuove campagne di phishing, i criminali informatici stanno sempre lavorando per organizzare truffe altamente evolute in grado di ingannare anche gli utenti più esperti. 

Tendenze di phishing del 2022 

Le tendenze del 2022 per le campagne di phishing rilevate mettono nel mirino sia gli utenti consumer che quelli professionali. Quale modalità d’attacco di phishing è stata più efficace l’anno passato? 

Criptovalute 

L’interesse per questo tipo di asset non ha lasciato indifferenti i malintenzionati che lo sfruttano per tendere trappole a chi cerca un’opportunità redditizia. 

Vishing 

Con il Vishing, la truffa inizia con il contatto vocale e non con l’email, cercando di rubare informazioni private mediante inganno. Sfortunatamente, in diversi casi vengono presi di mira anziani o persone poco familiari con la tecnologia. 

Whaling 

Utilizzando la tecnica del social engineering, il truffatore cerca di ottenere accesso a informazioni riservate di significativo valore economico e commerciale. Il bersaglio in questi casi sono dirigenti aziendali e personalità di alto profilo nel mondo della finanza o dell’industria. 

Spear phishing 

Spear phishing, Un attacco mirato a un singolo individuo o a un gruppo molto ristretto, l’attaccante utilizza informazioni precise che riguardano esclusivamente la potenziale vittima e quindi ha maggiori possibilità di successo. 

Uno dei canali di attacco preferiti per il phishing è l’email 

In generale, i dipendenti tendono spesso a ignorare le insidie nascoste nelle email dedicate alle questioni commerciali o alle notifiche sui problemi di consegna. Quasi uno su cinque dipendenti (dal 16% al 18%), infatti, ha cliccato sui link contenuti nei modelli di email che simulano attacchi di phishing. 

Stime indicano che il 91% di tutti gli attacchi informatici inizia con un’email di phishing, le tecniche delle quali sono implicate nel 32% di tutte le violazioni dei dati di successo. 

Secondo gli studi scenari di phishing più recenti, le cinque email di phishing più efficaci sono: 

  • Oggetto: Tentativo di consegna fallito – Sfortunatamente, il nostro corriere non è riuscito a consegnare il tuo articolo. Mittente: Servizio di consegna postale. Tasso di conversione dei clic: 18,5%.
  • Oggetto: Email non consegnate a causa del sovraccarico del server di posta. Mittente: Team di supporto Google. Tasso di conversione dei clic: 18%.
  • Oggetto: Sondaggio online per dipendenti: cosa miglioreresti del lavoro in azienda. Mittente: Dipartimento Risorse Umane. Tasso di conversione dei clic: 18%.
  • Oggetto: Promemoria: nuovo codice di abbigliamento aziendale. Mittente: Risorse Umane. Tasso di conversione dei clic: 17,5%.
  • Oggetto: Attenzione a tutti i dipendenti: nuovo piano di evacuazione dell’edificio. Mittente: Dipartimento Sicurezza. Tasso di conversione dei clic: 16%.
  • Inoltre, altre email di phishing che hanno ottenuto un numero significativo di clic includono: conferme di prenotazione da un servizio di prenotazione (11%), notifiche di un ordine (11%) e l’annuncio di un concorso IKEA (10%).

I benefici immediati sono sospetti.

Email di phishing

Al contrario, le email che minacciano il destinatario o offrono benefici immediati sembrano essere meno “efficaci”. Ad esempio, un modello con la riga dell’oggetto “Ho hackerato il tuo computer e conosco la tua cronologia di ricerca” ha ottenuto il 2% dei clic, mentre offerte come quelle di una sottoscrizione Netflix gratuita o una vincita di $1.000 hanno ingannato solo l’1% dei dipendenti.

Come prevenire i rischi

Per prevenire violazioni dei dati e le relative perdite finanziarie e di reputazione causate dagli attacchi di phishing, si consiglia alle aziende di adottare le seguenti misure:

  • Ricorda ai dipendenti i segnali base delle email di phishing: oggetto drammatico, errori e refusi, indirizzi mittente incoerenti e link sospetti;
  • In caso di dubbio sull’email ricevuta, è importante verificare il formato degli allegati prima di aprirli e l’accuratezza del link prima di cliccarlo. Per fare ciò, è importante assicurarsi che l’indirizzo sia autentico e che i file allegati non siano in formato eseguibile;
  • Segnalare sempre gli attacchi di phishing. Nel caso di un attacco, è importante segnalarlo al dipartimento di sicurezza informatica e, se possibile, evitare di aprire l’email malintenzionata. Questo permetterà al team di sicurezza informatica di riconfigurare le politiche anti-spam e prevenire un incidente;
  • Fornire ai dipendenti una conoscenza di base della sicurezza informatica. La formazione dovrebbe mirare a cambiare il comportamento dei dipendenti e insegnare loro come gestire le minacce;
  • Poiché i tentativi di phishing possono essere confusi e non c’è garanzia di evitare tutti i clic accidentali, è importante proteggere i dispositivi di lavoro con una soluzione di sicurezza affidabile che offra capacità anti-spam, monitori comportamenti sospetti e crei una copia di backup dei file in caso di attacchi ransomware. La protezione anti-phishing è inclusa in alcune soluzioni di sicurezza, anche per le piccole imprese.