Gli attacchi di phishing stanno diventando sempre più comuni e al tempo stesso sofisticati. Gli attori delle minacce sviluppano costantemente nuove tecniche per indurre le persone a rivelare informazioni sensibili. Che gli aggressori utilizzino e-mail false, messaggi sui social o addirittura telefonate, il successo di queste truffe può comportare perdite finanziarie significative e gravi danni alla reputazione. Ecco alcune indicazioni concrete sulle principali tipologie di phishing e soprattutto sul come comportarsi per ridurre i rischi al minimo nel caso in cui si abbia già risposto a un’email sospetta.
Tipologie di attacchi di phishing
Gli attacchi di phishing si presentano sotto diverse forme, ma tutti hanno un obiettivo comune: indurre gli utenti a divulgare informazioni confidenziali, come credenziali di accesso, informazioni sull’account o file e dati reali.
Comprendere i diversi tipi di attacchi di phishing comunemente utilizzati può aiutare a individuarli:
- Phishing via e-mail. È il tipo di attacco più diffuso. Comporta l’invio di un’e-mail che sembra provenire da una fonte attendibile e che in genere contiene un link che indirizza la vittima a un sito web falso, sul quale viene chiesto, all’utente di inserire credenziali di accesso, dati della carta di credito o altre informazioni sensibili.
- Spear phishing. Si tratta di una forma di attacco più mirata. Lo spear phishing prevede che il criminale ricerchi gli interessi e le informazioni della vittima per creare un’e-mail più convincente e personalizzata. Questo tipo di attacco è spesso utilizzato per colpire dirigenti o persone di alto profilo.
- Whaling. Come lo spear phishing, il whaling (o frode dell’amministratore delegato) prende di mira dirigenti di alto livello o individui in posizioni di potere all’interno di un’organizzazione. Questi attacchi spesso sfruttano un senso di urgenza o di paura per spingere la vittima a compiere un’azione immediata, come trasferire denaro o inviare informazioni sensibili.
- Vishing. Abbreviazione di “voice phishing”, prevede che l’aggressore chiami la vittima e si spacci per un rappresentante di un’organizzazione fidata, come una banca. Il malintenzionato può utilizzare tecniche di social engineering per indurre la vittima a rivelare informazioni sensibili al telefono.
- Smishing. Come il vishing, lo smishing prevede che l’attaccante invii un messaggio di testo, invece di una telefonata, che può contenere un link che indirizza la vittima a un sito web fasullo, oppure chiederle di rispondere con informazioni riservate.
- TOAD. Gli attacchi TOAD (Telephone-oriented attack delivery) utilizzano le telefonate per indurre le vittime a rivelare dati sensibili o compiere azioni dannose. L’aggressore si finge una persona o un’entità fidata, sfruttando “punti deboli” umani come fiducia e urgenza.
Come comportarsi in caso di risposta a un’e-mail di phishing
Se c’è il sospetto di aver risposto a un’e-mail di phishing, è necessario agire rapidamente per limitare i danni. Ecco alcune misure da adottare:
- Cambiare le password. Innanzitutto, cambiare immediatamente le password. Sarebbe opportuno farlo regolarmente e seguire le migliori pratiche in materia, anche se non si è stati presi di mira da un attacco di phishing. Le password devono essere complesse, uniche e difficili da indovinare. Evitare di usare la stessa password per più account e non condividerle con nessuno.
- Segnalare l’incidente: Informare il reparto IT o il provider di posta elettronica dell’e-mail di phishing il prima possibile. La segnalazione tempestiva di un incidente aiuta i team di sicurezza a identificare la fonte dell’e-mail e prendere le misure necessarie per prevenire ulteriori attacchi.
- Attivare l’autenticazione a due fattori (2FA). È un altro passo fondamentale per proteggersi dagli attacchi di phishing. La 2FA aggiunge un ulteriore livello di sicurezza, richiedendo una seconda forma di autenticazione, come un’impronta digitale o una password unica, oltre a nome utente e password, rendendo più difficile per i criminali accedere agli account, anche se sono in possesso delle credenziali di accesso.
- Monitorate i propri account. Dopo aver risposto a un’e-mail di phishing, è necessario verificare la presenza di malware, spesso distribuito tramite questo tipo di messaggi. Per questo motivo è fondamentale eseguire una scansione del dispositivo per verificare la presenza di virus o altri software dannosi.
- Contattare l’azienda. Se si è risposto a un’e-mail di phishing che sembrava provenire da una fonte affidabile, contattare l’organizzazione per avvisarla. Potrebbero prendere provvedimenti per evitare che altri clienti o dipendenti siano vittime della stessa truffa.
- Sui diversi tipi di attacchi di phishing e su come individuarli. Fare attenzione a segni rivelatori come errori grammaticali, link sospetti e richieste di informazioni sensibili. Conoscere le tattiche di phishing comunemente utilizzate dagli aggressori aiuterà a evitare di essere ingannati in futuro.
Gli attacchi di phishing possono minacciare organizzazioni di ogni dimensione e settore, e colpire chiunque. Un’azione tempestiva e appropriata può contribuire a mitigare l’impatto e la probabilità di successo e contribuirà a migliorare la postura complessiva della cybersecurity.
È fondamentale che le aziende stabiliscano linee guida chiare, in modo che gli utenti sappiano esattamente cosa fare se sono vittima di phishing. Queste linee guida dovrebbero includere senza dubbio la modifica delle password, la notifica all’IT, l’attivazione della 2FA, la verifica della presenza di malware e la vigilanza futura.
Ferdinando Mancini, Director, Southern Europe Sales Engineering di Proofpoint
