Email

7 consigli per prevenire gli attacchi di phishing

29 Settembre 2022

Nel 2022, con il crescere delle informazioni sensibili in rete, anche gli attacchi di phishing sono aumentati.  Secondo ZDNet, ogni giorno vengono inviati circa tre miliardi di messaggi phishing. Comprendere quali sono questi tipi di email e come combatterle, è essenziale per evitare danni finanziari e reputazionali.

Ma che cos’è il phishing?

Partiamo dal principio, come fai a spiegare ai tuoi clienti cosa è il phishing? Potresti inviargli un documento o un’email contenente un testo simile a quello che trovi qui sotto.

Hai mai ricevuto una strana e-mail che ti invita a inserire i tuoi dati sensibili? Un individuo o un’entità che tenta di convincerti a fornire informazioni importanti su di te o sulla tua azienda, sta mettendo in atto un tentativo di phishing.

Generalmente, il phishing inizia con qualcuno che finge di essere una persona o un’organizzazione di cui ti fidi. Una volta che avrà ottenuto la tua fiducia, cercherà di estorcerti informazioni o fornirti dei link/ file per infettarti i dispositivi con dei malware.

I primissimi esempi di phishing risalgono alle famose truffe nigeriane dei primi anni 2000. Una persona ti contattava comportandosi in modo colloquiale per stabilire un rapporto. Una volta che la vittima abboccava, tentavano di ottenere denaro o informazioni sul tuo conto in banca. Uno dei gruppi di phisher nigeriani più famosi venne chiamato “Yahoo Boys”, come il motore di ricerca anni 90.

Naturalmente il phishing si è evoluto, sia in termini di complessità che di targeting. Oggi, però, invece di “costruire un rapporto” ti mandano un’email contenente link o box testi dove inserire informazioni sensibili.

Inoltre, i phisher non si rivolgono più solo al singolo individuo, ma mirano anche alle aziende, cercando di accedere ai dati sensibili o provando a infettare i tuoi sistemi con i virus più disparati.

Quali sono i tipi di attacchi?

I tentativi di phishing più moderni tentano di colpire più soggetti, come le aziende e i loro clienti o, più comunemente, la popolazione in generale. Diamo uno sguardo ad alcuni tipi di phishing:

  1. Contatto da parte di un finto fornitore. Questo è probabilmente il metodo più comune in circolazione. Il phisher cerca di immedesimarsi in un’azienda con cui sei in contatto inviandoti email simili a quelle che sei abituato a ricevere. Queste “fake email” sono una spina nel fianco. Un esempio? Se un tuo fornitore utilizza indirizzi email come: “Name@Company.com”, una email sospetta potrebbe presentarsi così: “Name@Company-support”.
  2. Phishing telefonico. Questo tipo di attacco utilizza il Voice over Internet Protocol (VoIP), una tecnologia in grado di impersonare una società o un business. Il phisher, cercherà di utilizzare i dati personali di un membro della leadership aziendale per cercare di convincere l’obiettivo a fornire volontariamente informazioni sensibili.
  3. “Spear” phishing. Nel metodo dello Spear phishing, il malintenzionato cercherà di ottenere la tua fiducia fingendo di conoscerti bene. Come? Ottenendo le tue informazioni dal tuo sito o dai tuoi social media (Facebook, Instagram, LinkedIn, etc.).
  4. Attacchi interni. Il phisher, utilizzando questo metodo, cerca di ottenere le informazioni di accesso di un account email della tua azienda per prenderne il possesso. Una volta riuscito, è possibile che il malintenzionato lo utilizzi per ottenere informazioni sensibili dei tuoi clienti e colleghi.

Come fare a individuare un attacco?

Anche se gli attacchi di phishing diventano sempre più sofisticati, esiste ancora la possibilità di educare il proprio team sul monitoraggio e la prevenzione. Ecco alcuni consigli da seguire quando si identifica un tentativo di phishing:

  1. Urgenza. Una email ti chiede di compiere un’azione e di agire subito? Questo potrebbe essere il primo campanello di allarme. La maggior parte delle aziende e delle agenzie governative non incoraggiano a compiere azioni in fretta. Quindi, potresti trovarti di fronte a un tentativo di phishing.
  2. Cerca le incongruenze. Molte di queste imitano l’azienda o l’agenzia che stanno impersonando, ma non sono in grado di farlo perfettamente. Ricontrolla ciò che ti sembra incoerente e chiediti sempre se quella azienda potrebbe mai scrivere un’email simile.
  3. Controlla l’ortografia. Le email di phishing sono spesso scritte da persone che non si preoccupano di fare verifiche, la grammatica e gli errori di sintassi sono spesso il loro tallone d’Achille.
  4. Grafica e risoluzione. Non ci sono grafiche? Bassa risoluzione? Alcuni criminali “catturano” un logo dal sito che stanno cercando di simulare, ma non hanno l’accesso ai file immagini interni e ufficiali. Di conseguenza, la qualità dell’immagine è inferiore.
  5. Saluti generici. Il messaggio inizia con “Caro Cliente”? Rivolgersi a clienti o prospetti con il loro nome è un principio fondamentale. Anche se invii migliaia di email contemporaneamente, ci sono strumenti che ti aiutano a nominare personalmente ogni destinatario. Un phisher potrebbe non avere accesso a tali strumenti e opterà per saluti “generici”.
  6. Contatti di cui puoi fidarti. Se il testo non presenta indizi evidenti, ma sei sicuro che si tratta di un messaggio pericoloso, contatta il mittente tramite un indirizzo email che conosci e di cui ti fidi. In questo modo, agirai in completa sicurezza.
  7. Usa i filtri. Alcuni programmi di posta elettronica e siti web utilizzano una tecnologia che filtra potenziali email di spam e phishing in una cartella separata.

La cosa più importante da fare una volta stanato un tentativo di phishing è segnalarlo al tuo fornitore. Non rispondere, non cliccare i link e, se hai accidentalmente dato le tue password, non farti prendere dal panico, ma reimpostale il prima possibile.

Bene, questo dovrebbe aiutare i tuoi clienti a limitare i danni. Ora vediamo cosa può fare un MSP come te.

Come prevenire il phishing

In qualità di MSP, prevenire questo tipo di attacchi comporta molto di più di un semplice controllo delle email. Il phishing è in continua evoluzione, bisogna adattarsi per affrontare in modo proattivo ogni minaccia e disporre di piani di mitigazione nel caso si verifichino incidenti. Ecco sette pratiche comuni che puoi seguire:

1. Tieni d’occhio il panorama della sicurezza

Mantenere te stesso e la tua azienda aggiornati è fondamentale per aiutare i tuoi clienti contro le minacce. Leggi le pubblicazioni di settore più affidabili e seguile regolarmente per restare aggiornato sulle tendenze del phishing e sui nuovi metodi preventivi. Consulta le comunità del settore (come IT Nation) che riuniscono leader di pensiero, esperti e colleghi. Attraverso eventi e sessioni di formazione approfondite, puoi imparare ad affrontare il phishing e molto altro ancora. Rimanere aggiornati e fornire informazioni ai propri clienti è una parte fondamentale dei doveri di un MSP.

2. Aggiornamento dei software

Gli aggiornamenti rappresentano un passo semplice, ma essenziale! I vendor rilasciano spesso aggiornamenti che includono correzioni di bug e patch per problemi di sicurezza. Tuttavia, i tuoi clienti non possono eseguire gli aggiornamenti subito, quindi è importante che un MSP intervenga. Una corretta gestione delle patch è molto importante, poiché tali aggiornamenti potrebbero fornire filtri di sicurezza e di prevenzione.

3. Incoraggiare i clienti a ridurre l’accesso alle informazioni sensibili da parte dei team

“Loose lips sink ships” è uno slogan della Seconda guerra mondiale pensato per fermare la diffusione di informazioni sensibili. Si applica ancora oggi. Man mano che i team dei clienti si espandono c’è la tentazione di fornirgli livelli più elevati di accesso e più dati sensibili. Ma più informazioni conoscono, più aumenta il rischio di lasciarsele sfuggire. Infatti, IBM ha riferito che il 95% dei cyber attack sono stati causati da errori umani.

Assicurati che i tuoi clienti limitino l’accesso alle informazioni sensibili, soprattutto se le informazioni non fanno parte della loro funzione lavorativa.

4. Condurre regolari audit di sicurezza informatica e test per i clienti

Quando il phishing raggiunge i tuoi clienti, la quantità dei danni che il malintenzionato può fare dipende anche dalle procedure e dai protocolli di sicurezza informatica attivi. L’unico modo per confermare la sicurezza del client è attraverso controlli regolari e test di sistema. Ci sono diversi modi per farlo, uno è il penetration testing (o pen testing): consiste nello scoprire quanto sia facile per un hacker penetrare i tuoi sistemi o quelli dei tuoi clienti e puoi metterlo in atto con gli stessi metodi che un hacker utilizzerebbe per attaccare. Il Pen test è un’ottima soluzione per scoprire exploit e la reale facilità di penetrazione dei sistemi.

5. Addestrare i team dei clienti

Insieme alle misure di sicurezza, anche educare i clienti sul phishing e come gestirlo è importante. Ad esempio, potresti provare a inviare una fake email di phishing ai tuoi clienti e vedere la loro reazione.  

Se qualcuno abbocca, puoi sempre illustragli nuovamente le politiche di sicurezza corrette. Meglio prevenire che curare, no?

6. Crea un criterio di sicurezza e un programma per i tuoi clienti

Se i vostri clienti non hanno ancora una policy di sicurezza in atto, creane una adesso. Questo vi aiuterà a decidere assieme cosa fare nel caso si verificassero dei pericoli.

Tale policy dovrebbe includere informazioni su:

  • Uso accettabile del dispositivo di lavoro;
  • Protezione utilizzata per l’email;
  • Processo di risposta agli incidenti;
  • Uso del cellulare;
  • Sicurezza della rete;
  • Protocolli di password e quali applicazioni per la gestione delle password si utilizzano;
  • Materiale di formazione sulla sicurezza per loro per aggiornarsi sulle migliori pratiche.

7. Mantenimento di un monitoraggio costante

Una volta che hai educato i tuoi clienti e testato le politiche di sicurezza, potresti pensare che tutto vada per il meglio. Ma gli aggiornamenti sulla prevenzione del phishing e sulla sicurezza informatica non finiscono mai. Assicurati di avere protocolli di monitoraggio costanti, tieni traccia delle minacce e informa i tuoi clienti in modo che restino informati.

In conclusione, sappiamo bene che le email sono il vettore principale di minacce informatica e, di conseguenza, vanno gestite a dovere. Ma questa non è una battaglia che si combatte da soli, MSP e clienti devono ciascuno fare il proprio per ridurre al minimo il rischio di cyber attacchi. Assicurati che questo sia chiaro sia ai tuoi clienti che al tuo team, sono convinto che alla fine ne trarrete beneficio tutti.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti