Introducing G2.ai, the future of software buying.Try now
Categoria Email Anti-spam

Che cos'è il phishing? Come riconoscere gli attacchi e prevenirli

Febbraio 18, 2022
Mara Calvello
MC
da Mara Calvello

In questo post

In questo post

Non c'è mai un punto fermo nella lotta contro le frodi online.

Gli hacker malintenzionati cercano costantemente modi per sfruttare le vulnerabilità e condurre attacchi di phishing. Il phishing è un tentativo di ingannare una persona per farle divulgare informazioni sensibili che gli attaccanti usano per il furto d'identità o qualche altro tipo di frode. Si presentano in varie forme e potrebbero ingannarti con email o telefonate false, cercando di rubare i tuoi dati personali o finanziari.

I criminali informatici usano principalmente il phishing per rubare informazioni: dettagli bancari, numeri di carte di credito, accessi agli account, password, ecc. Il pericolo di tali informazioni sfruttate è che può portare al furto d'identità e alla perdita finanziaria.

Molte organizzazioni utilizzano software anti-spam per email per proteggere i loro dipendenti dall'essere vittime di campagne di phishing.

Cos'è il phishing?

Il phishing è un metodo per ottenere informazioni sugli utenti attraverso comunicazioni fraudolente mirate direttamente alle persone. Questo viene solitamente fatto tramite email fraudolente mascherate da legittime che ingannano le persone facendole rivelare informazioni sensibili.

Essenzialmente, l'obiettivo di un criminale informatico che esegue una truffa di phishing è ingannarti, solitamente usando l'email come arma, per farti dare loro le informazioni che vogliono. Gli attaccanti ingannano i destinatari facendoli aprire link dannosi, risultando in infezioni da malware o ransomware .

Gli attacchi di phishing possono far parte di una violazione dei dati più significativa, come una minaccia persistente avanzata (APT). Gli hacker malintenzionati ingannano gli utenti con tentativi di phishing per accedere a una rete chiusa di un'organizzazione e a informazioni sensibili. Le aziende dovrebbero formare periodicamente la loro forza lavoro per garantire che i dipendenti e i collaboratori conoscano le tecniche di phishing moderne.

Ad esempio, un'email di phishing può incoraggiare un destinatario a cliccare su un link dannoso, aprire un allegato immagine o scaricare un file. Di solito ha un elemento di urgenza, paura o a volte avidità. Devi stare attento con email o messaggi di phishing che arrivano tramite un servizio di messaggi brevi (SMS) che stimolano una di queste emozioni in te.

Come funziona il phishing

Tipicamente, gli attacchi di phishing si basano su vari metodi di social networking applicati all'email o ad altri metodi di comunicazione, come messaggi di testo o piattaforme di messaggistica istantanea. I phisher possono anche usare l'ingegneria sociale per scoprire informazioni sulla vittima, incluso dove lavora, il suo titolo di lavoro, hobby, interessi, attività, e così via.

Gli attaccanti usano queste informazioni per comporre un messaggio email credibile. Queste email dannose tipicamente iniziano con un link o un allegato per l'apertura o il clic. Inoltre, il contenuto è solitamente scritto male con grammatica scorretta.

Funziona così: ti viene inviato un messaggio che sembra provenire da una persona che conosci o da un'organizzazione che riconosci. Gli attaccanti armano questo messaggio con un allegato di file dannoso o un link che ospita software di phishing. 

Ti invita a installare malware sul tuo dispositivo o a reindirizzarti a un sito web falso che ti inganna facendoti inserire le tue informazioni personali, come password o informazioni della carta di credito.

Oppure, riceverai un'email dal CEO della tua azienda, con l'indirizzo email leggermente sbagliato. Il messaggio dice: "Dammi il tuo numero, ho bisogno che tu completi un compito per me." Poiché questo è il CEO della tua azienda (o così pensi), rispondi con il tuo numero di telefono, solo per ricevere un messaggio che ti chiede di completare un compito che non ha senso, come ordinare un sacco di carte regalo Amazon. Non parlo per esperienza personale o altro.

Vuoi saperne di più su Software Anti-spam per Email? Esplora i prodotti Email Anti-spam.

Tipi di attacchi di phishing

Proprio come ci sono molti pesci nel mare, ci sono diversi tipi di tentativi di phishing di cui potresti essere vittima.

  • Spear phishing: Spear phishing è una truffa via email mirata verso un individuo, un'azienda o un'organizzazione per rubare dati personali come informazioni finanziarie o credenziali di account per ingannare la persona facendole credere di avere una connessione reale con il mittente.
  • Attacco whaling: Il whaling è simile allo spear phishing, ma su una scala molto più grande. Queste email di solito hanno un oggetto riguardante una questione "critica" aziendale e sono inviate a qualcuno in alto nella catena alimentare all'interno di un'azienda o organizzazione specifica. L'obiettivo degli attacchi whaling è infettare un computer con malware e ottenere le credenziali email aziendali degli esecutivi per effettuare trasferimenti bancari fraudolenti.
  • Frode del CEO: Quando un attacco whaling ha successo, si verifica la frode del CEO. Gli attaccanti impersonano con successo e abusano dell'email del CEO per approvare trasferimenti bancari a un'istituzione finanziaria di loro scelta.
  • Pharming: Questo metodo deriva dalla manipolazione della cache del sistema dei nomi di dominio (DNS). Internet utilizza i server DNS per convertire i nomi dei siti web in indirizzi IP numerici. L'attaccante quindi prende di mira il server DNS e cambia l'indirizzo IP, permettendo all'attaccante di reindirizzare gli utenti a un sito web dannoso, anche se digitano l'URL corretto.
  • Phishing vocale: Conosciuto anche come vishing, è una forma di phishing tramite media di comunicazione vocale. Utilizzando software di sintesi vocale, un attaccante lascerà un messaggio vocale notificando alla vittima un'attività sospetta sul loro conto bancario o di credito e la esorta a rispondere per verificare la propria identità. Questo porta al furto d'identità, dopo di che i truffatori usano i numeri di carta di credito compromessi per i loro scopi dannosi.

Come riconoscere un tentativo di phishing

Può essere più difficile di quanto pensi riconoscere un'email di phishing poiché sono tipicamente inviate da un'azienda ben nota o da qualcuno (che pensi) di conoscere. Soprattutto se include il logo corretto dell'azienda, facendola sembrare legittima. Gli attaccanti strutturano i link per sembrare il più genuini possibile, con solo uno o due caratteri sbagliati. Questi sono i segnali di avvertimento che dovresti tenere d'occhio per non cadere vittima di un attacco di phishing.

  • Il link include un sottodominio o un URL scritto male.
  • È inviato da un account Gmail invece di un account email aziendale o commerciale.
  • Il messaggio possiede un senso di urgenza o paura.
  • Il messaggio chiede di verificare informazioni personali, come una password.
  • È scritto male con errori di ortografia e grammatica.
  • Il messaggio non è indirizzato a te personalmente e invece legge "Caro Cliente".
  • Il contenuto è troppo bello per essere vero, come dire che hai vinto un iPhone o un premio sontuoso.
  • Il messaggio contiene minacce, implicando che si verificheranno circostanze gravi se non segui le istruzioni.

Oltre a sapere quali segnali di allarme tenere d'occhio, puoi anche fare un passo ulteriore utilizzando filtri anti-spam per scansionare i messaggi email, il contenuto e gli allegati per potenziali minacce.

Di seguito sono riportati i principali software anti-spam per email che le organizzazioni possono utilizzare per proteggersi dagli attacchi di phishing via email. 

 

  1. Proofpoint Email Security and Protection

  2. Avanan Cloud Email Security

  3. SaneBox

  4. SpamTitan Email Security

  5. Everest (precedentemente 250ok e Return Path)

*Questi sono cinque dei principali software anti-spam per email dal G2 Winter 2022 Grid Report.

Esempi di attacchi di phishing

Gli attaccanti moderni comprendono come le organizzazioni proteggono i loro beni. Gli hacker escogitano nuovi modi per accedere ai sistemi ingannando queste difese, e forse il modo più semplice è ingannare gli esseri umani. Gli esseri umani sono l'anello più debole della sicurezza informatica di qualsiasi organizzazione. 

Di seguito sono riportati alcuni esempi di attacchi di phishing che gli hacker malintenzionati eseguono per accedere a informazioni sensibili.

  • Gli attaccanti si mascherano da CEO di un'azienda o da un team di leadership senior richiedendo attenzione urgente a un rapporto o a un allegato. I dipendenti reagiscono rapidamente alle email sospette per paura o senso di responsabilità verso l'azienda e la sua leadership.
  • Email di reset della password piombano nella tua casella di posta per ricordarti una password in scadenza. 
  • Gli hacker malintenzionati si spacciano per un tuo collega e inviano email su un documento sensibile con il tuo nome che giace nel vassoio della stampante. Potrebbero allegare una foto fittizia che può distribuire malware se scaricata.
  • A volte, gli attaccanti possono reindirizzarti a una pagina dannosa che sembra esattamente come quella genuina e costringerti a inserire le credenziali utente. D'altra parte, gli attaccanti possono sfruttare le vulnerabilità e dirottare i cookie di sessione tramite script dannosi attivati, risultando in un attacco di cross-site scripting (XSS) riflesso.

Mentre il phishing accade alle persone comuni, ci sono stati alcuni attacchi che hanno fatto scalpore nei media mainstream.

Ad esempio, il Federal Bureau of Investigation (FBI) ha rilasciato un avviso il 16 febbraio 2022 riguardo alle reti di appaltatori statunitensi prese di mira per accedere a dati sensibili sulla difesa. La Cybersecurity and Infrastructure Security Agency (CISA) ha osservato che gli attori delle minacce hanno utilizzato spear phishing, raccolta di credenziali e attacchi di forza bruta contro reti e account deboli. L'FBI ha aggiunto: "i malintenzionati approfittano in modo non etico di dipendenti ignari, sistemi non aggiornati e password semplici per ottenere l'accesso iniziale prima di muoversi lateralmente attraverso la rete per stabilire la persistenza ed esfiltrare dati."

Come prevenire gli attacchi di phishing

Negli ultimi anni, il phishing è diventato un problema significativo per le aziende. Poiché le email di phishing diventano più difficili da identificare, è probabile che passino inosservate quando vengono inviate alle caselle di posta dei dipendenti. 

Mentre i tentativi di spam e phishing possono essere difficili da identificare, alcune differenze chiave possono aiutarti a separare il reale dal falso. Le email di spam possono sembrare email aziendali legittime con loghi ufficiali o formulazioni che le fanno sembrare affidabili, ma spesso avranno errori di ortografia nelle intestazioni o nelle righe dell'oggetto. Le email di phishing sono più formali nel loro linguaggio ma includono irregolarità che sembrano sospette.

Ad esempio, un'email che chiede un trasferimento bancario urgente sarebbe piuttosto insolita se inviata dal dipartimento finanziario di un'azienda. L'indirizzo email utilizzato potrebbe anche essere molto diverso.

È un malinteso che il phishing di solito accada a persone che usano troppo internet. Non è così. Chiunque può cadere vittima del phishing, anche se usi internet solo in rare occasioni. Il modo migliore per proteggerti dalle frodi online è mantenere il tuo computer sicuro e seguire alcuni passaggi di base quando sei online.

Fai attenzione a quali link clicchi

Assicurati che il link su cui stai per cliccare vada direttamente al sito web che afferma di andare. Fai attenzione ai link che sembrano altri, ma hanno un nome di dominio strano nell'URL (il nome di dominio è l'indirizzo del sito web). Questo può indicare una truffa di phishing.

Evita di fornire dettagli personali

Se qualcuno ti chiama o ti invia un'email e chiede informazioni personali, assicurati che provi la sua identità. È facile per un impostore o un hacker fingere di essere qualcun altro, quindi non fidarti mai di qualcuno a meno che tu non lo conosca personalmente o non ti sia assicurato che sia legittimo.

Usa siti web sicuri

Quando fai acquisti online, assicurati di utilizzare un sito web con funzionalità di sicurezza come una barra verde nella parte inferiore dello schermo o https:// davanti. HTTPS si riferisce a Hypertext Transfer Protocol Secure che facilita la comunicazione sicura su una rete informatica. 

Nessuno vuole essere l'esca

Soprattutto quando si tratta di un attacco di phishing, può capitare a chiunque, quindi assicurati di essere particolarmente cauto prima di aprire un'email misteriosa e cliccare su un link. Con la quantità di informazioni personali a cui puoi accedere online, è più importante che mai che tu faccia il passo in più per assicurarti di non diventare l'esca di un attacco informatico.

Scopri di più sui diversi tipi di attacchi informatici e su come proteggere la tua azienda da essi.

Mara Calvello
MC

Mara Calvello

Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.

Esplora altri articoli di G2

Software di gestione delle relazioni con i clienti più votato per aziende di medie dimensioni
Quale software di fatturazione legale è il migliore per il monitoraggio del tempo in uno studio legale?
Strumenti principali per le valutazioni dei candidati pre-assunzione
Qual è la migliore piattaforma di intelligenza artificiale generativa per lo sviluppo di app?