Phishing cos’è e come proteggersi dagli attacchi informatici
Phishing cos’è? Perché dovremmo prestare attenzione a email e contenuti malevoli? Come possiamo prevenire questi tipi di attacchi informatici?
Sono molte le domande che ognuno di noi si pone quando si tratta di sicurezza informatica e di mettere al sicuro i propri dati personali. Nell’era della digitalizzazione tutte le informazioni e soprattutto quelle private viaggiano in rete e sono raccolte in database, app, siti web e dispositivi personali come PC, tablet e smartphone.
Queste informazioni per alcuni criminali sono delle vere e proprie fonti di guadagno, in quanto, attraverso di esse possono risalire e/o ottenere l’accesso a conti bancari e postali della vittima o addirittura utilizzarle a proprio favore per compiere atti criminali.
Uno dei metodi più utilizzati dai cyber-criminali per acquisire informazioni riservate da utenti privati e/o aziende, è il phishing. Questo tipo di attacco informatico è il più semplice ed efficace sistema per rubare informazioni dagli internauti, in quanto, i phisher non cercano di penetrare tra i sistemi di sicurezza dei dispositivi o delle reti informatiche ma mirano semplicemente ad ingannare gli utenti, facendosi consegnare direttamente da loro informazioni utili per accedere a conti correnti, account privati, ecc.
Phishing cos’è?
Il phishing è una pratica attraverso la quale gli hacker, con approcci ingannevoli, utilizzando le tecniche del Social Engineering effettuano l’invio di email massive contenenti link ed allegati malevoli fingendosi soggetti affidabili. In questo modo si impadroniscono di informazioni riservate, come password, dati di carte di credito e accessi bancari della vittima.
Il termine phishing deriva dall’inglese “fishing” (letteralmente “pescare”) e allude all’utilizzo di tecniche ingannevoli e sempre più sofisticate che hanno l’obiettivo di far “abboccare all’amo” un determinato numero di utenti per sottrarre loro dei dati sensibili.
Un esempio di attacco di phishing molto diffuso è quello in cui la vittima riceve una email di una organizzazione, di un’azienda o di una persona di cui si fida, nel quale vi è al suo interno un messaggio persuasivo che invita l’utente a cliccare su un link o a scaricare ed aprire un allegato.
Nel primo caso l’utente che “abbocca all’amo” facendo clic sul link presente nel messaggio dell’email, viene indirizzato su un sito web apparentemente uguale a quello dell’azienda o organizzazione a cui fa riferimento il messaggio, nel quale gli verrà richiesto di inserire alcuni dati, come ad esempio nome utente e password. Se l’utente è abbastanza ingenuo da eseguire la richiesta, le informazioni inserite saranno inviate al phisher che potrà utilizzarle per rubare identità o intercettare accessi a conti bancari.
Nel secondo caso, viene richiesto all’utente di scaricare un file in allegato (tipo .xlsx, .zip o .rar) nel quale è presente un malware. La vittima pensando di scaricare un documento importante, estrae il file e inconsapevolmente installa, sul suo dispositivo, un virus che potrebbe compromettere la sicurezza dei suo dati personali.
Perché gli attacchi phishing hanno successo?
Oltre il 25% dei destinatari delle email di phishing clicca sul contenuto della email senza pensarci e riflettere. Oltre il 50% di questi compila form online inviando informazioni riservate e sensibili.
Pertanto il successo degli attacchi di phishing è dovuto alla leva che viene fatta sulla mente umana attraverso tecniche di Social Engineering per trarre in inganno gli utenti. Ad esempio, i dipendenti di una azienda sono portati a ritenere fidate ed attendibili le email poiché si tratta dell’applicazione di comunicazione a loro più familiare. In questo modo tendono a cliccare su link e allegati prestando poca attenzione a quei dettagli che dovrebbero invece insospettirli.
Ma a cosa è dovuto il successo di questo tipo di attacco informatico?
Prima di rispondere a questa domanda, bisogna fare un importante premessa. Questo tipo di pratica malevola si sta evolvendo e mira sempre di più a colpire le medie e grandi aziende e la vulnerabilità dei loro dipendenti. Sono questi ultimi ad essere presi di mira e a garantire, in un certo senso, il successo degli attacchi di phishing. Le cause di questo possono essere riconducibili:
- alla mancata formazione sulla sicurezza informatica dei dipendenti. La maggior parte di essi non è sufficientemente preparata a riconoscere e smascherare i tentativi di phishing.
- alla mancanza di utilizzo dell’autenticazione a più fattori per proteggere i dati aziendali più sensibili. Questo può essere fatto con un sistema di identificazione biometrica o una One-Time-Password (OTP) inviata al telefono del dipendente.
- al mancato aggiornamento dei software e delle applicazioni aziendali
- al non utilizzo dei servizi di intelligence sulle minacce informatiche. Questi servizi permettono al reparto IT di una azienda di essere sempre informati sulle minacce emergenti nel settore e nella regione di riferimento.
- alla mancata creazione di un team di risposta agli incidenti (incident response team). Questi esperti possono aiutare l’azienda a riprendere più velocemente l’operatività quotidiana in caso di un attacco informatico, riducendo l’impatto sui costi e sulla reputazione del brand.
Quale perdita economica comporta per un’azienda un attacco di phishing?
Il mercato del phishing globale ha assunto dimensioni considerevoli, destinate ad aumentare nel medio e lungo periodo, causando ingenti danni in termini economici e di continuità aziendale per le organizzazioni colpite.
Secondo una ricerca del Ponemon Institute il costo per arginare le truffe di phishing è aumentato in modo esponenziale negli ultimi anni. Ad esempio, nel 2021 per un azienda con 9600 dipendenti il costo medio annuo di un phishing è di 14.8 milioni di dollari, più del triplo dell’importo rispetto al 2015, che era di 3.8 milioni di dollari.
I fattori che hanno determinato questo aumento possono essere riconducibili soprattutto alle soluzioni che vengono implementate per poter arginare le perdite causate dall’esfiltrazione dei dati aziendali e le perdite causate dalla inattività dell’infrastruttura IT e dal mancato guadagno. A questo si aggiunge anche l’incapacità di arginare alcuni tipi di malware.
Oltre alle perdite economiche dirette che un azienda può subire, bisogna considerare anche la perdita della reputazione e della fiducia dalla clientela, dai collaboratori e da tutta la rete relazionale dell’azienda colpita.
La nota positiva è che tali perdite economiche, reputazionali e di immagine possono essere evitate attraverso programmi di formazione e sensibilizzazione di dipendenti e manager e l’implementazione di sistemi di sicurezza anti-phishing.
Phishing Simulator: analisi del livello di vulnerabilità di una azienda
Il phishing simulation è uno strumento sviluppato per analizzare il livello di vulnerabilità delle aziende nei confronti degli attacchi phishing capace di identificare i dipendenti più a rischio e tracciare i loro progressi nel tempo, al fine di sviluppare una vera security consciousness.
INSIDE offre un phishing simulation semplice ed intuitivo ed include template dei più recenti e moderni esempi di attacco phishing. Attraverso questo strumento, le organizzazioni possono testare i loro dipendenti con email e landing page realistiche.
Caratteristiche:
- Report in tempo reale sulle statistiche delle campagne di phishing e sui dipendenti ad alto rischio
- Pianificazione delle campagne distribuita nel tempo
- Disponibilità di campagne per specifici vertical di mercato
- Integrazione completa con Microsoft 365®, Google Workspace e altri server LDAP
- Licensing flessibile (per numero di mailbox o invii di campagne eseguibili)
- Disponibile in modo sicuro nel cloud (SaaS)
- Supporto multi-tenant per MSP
Grazie al phishing simulation è possibile quindi, testare il livello di sicurezza aziendale, rilevando le vulnerabilità dei sistemi informatici e proteggendoli da eventuali attacchi e minacce esterne.