Il Phishing costituisce la macro-area di tattiche molto più sofisticate che sempre più hacker stanno mettendo in campo per riuscire a trafugare dati e informazioni personali di ogni genere. Si definiscono social engineering (ingegneria sociale) e sono a metà tra psicologia e ingegneria.

La social engineering è una manipolazione psicologica che induce chi ne è vittima a comportarsi in una determinata maniera o rivelare informazioni personali senza rendersene realmente conto. Si tratta di attività molto più articolate dei normali malware ma può portare a risultati molto più fruttuosi, in termini di acquisizione di notizie personali

Il phishing è un tipo di attacco molto subdolo che sta rivendicando sempre più vittime nell'ultimo periodo, infatti, si tratta di una frode con un obiettivo specifico, rubare informazioni come:

  • Password;
  • Informazioni bancarie;
  • ...

Le soluzioni di phishing Simulation Attack che offriamo consentono di affrontare questo fenomeno di phishing con un test del fattore umano che garantisce un'efficace attività di formazione e consapevolezza.

Qui riassumiamo il processo di phishing:

  1. Il Criminal Hacker invia una e-mail  alla potenziale vittima. La maggior parte delle volte, l'utente trova questa comunicazione molto attraente. Al fine di convincere la vittima a prendere l'esca, il phisher spesso introduce nel messaggio loghi aziendali e rappresenta situazioni fattibili,... C'è una possibilità piuttosto alta di trovare modelli comuni e schemi in e-mail di phishing, sono suscettibili di immaginare alcune delle seguenti situazioni: rinnovo e scadenza delle carte di credito, la mancanza di informazioni sufficienti per registrarsi su un sito web ben noto, problemi relativi alle password e molto altro ancora,...
  2. L'utente, facendo clic su un collegamento o scaricando un allegato, viene reindirizzato a un sito Web infetto. Questo sito web infetto è probabile che sia un'imitazione a buon mercato del sito web legit. Questo "trucco" ha un obiettivo specifico: incoraggiare l'utente a inserire le sue credenziali di accesso.
  3. L'utente che prende l'esca è appena passato attraverso un furto di dati, questi dati sono ora in possesso di phisher. Il Cyber Attacker può ora utilizzare questi dati come gli piace e una delle cose più frequenti che accadono è la vendita di queste informazioni nel grande bazar di Dark Web.

 

Simulazione di phishing: come difendersi

A prescindere comunque dalla tecnica utilizzata dai malintenzionati di turno, per difendersi dal phishing e/o da altri attacchi non va fatto altro che seguire pochi ma semplici consigli:

  • innanzitutto, verificare la provenienza del messaggio e leggere attentamente poiché potrebbero anche esserci degli errori grammaticali, di formattazione o di traduzione che dovrebbero quindi già insospettire in qualche modo;
  • non cliccare mai sui collegamenti contenuti nel messaggio fraudolento e non scaricare/aprire mai eventuali allegati in esso presenti. Inoltre, se per contattare o raggiungere la presunta fonte del messaggio, va fatto direttamente e mai attraverso il messaggio fraudolento che è stato inviato;
  • controllare sempre l’URL del sito che compare nella barra degli indirizzi del browser preferito e non lasciare mai troppe tab aperte in quest’ultimo, per evitare di essere vittima della tecnica conosciuta come tabnabbing;
  • verificare periodicamente i movimenti del conto corrente e, se è possibile, attivare il servizio di SMS alert che informerà non appena avverranno dei movimenti di denaro sul conto;
  • bloccare subito eventuali pagamenti sospetti e non riscuotere mai per nessun motivo degli accrediti.
  • infine, se si nota la presenza di e-mail sospette, segnalare al proprietario del servizio di posta elettronica contrassegnando, semplicemente, il messaggio come spam. Se invece si nota presenza di siti sospetti sarebbe il caso di fare una denuncia alle autorità competenti, o quanto meno informare la vera fonte in questione.

Tuttavia, come detto in precedenza, il punto cruciale è la formazione.

Come può un'azienda formare il suo personale in modo efficiente?

Al fine di generare consapevolezza in questo senso ed evitare future minacce di phishing, un attacco di simulazione di phishing è fondamentale.