5 consigli per evitare attacchi di spear-phishing

Per gli utentiPhish ThreatPhishing

La parola “Burisma” al momento è ovunque: si tratta di una compagnia energetica ucraina che, a quanto sembra, è stata violata da hacker russi in cerca di dati sensibili da rubare.

Come si può immaginare, il modo in cui gli hacker si sono intrufolati nell’azienda sembra essere stata una serie di attacchi di phishing.

Il phishing, definito in modo molto breve, è il modo in cui un criminale informatico ti induce a rivelare via email qualcosa che avresti dovuto tenere per te.

La buona notizia è che ormai la maggior parte di noi ha imparato a individuare evidenti attacchi di phishing.

La cattiva notizia è che non si può pensare di individuare in modo affidabile gli attacchi di phishing solo facendo attenzione agli errori evidenti o affidandosi a truffatori che dicono “Gentile cliente” anziché utilizzare il tuo nome.

Bisogna fare attenzione al phishing mirato, spesso più precisamente chiamato spear-phishing, in cui i cyber criminali fanno uno sforzo maggiore per personalizzare ogni e-mail di phishing, ad esempio personalizzando ogni messaggio sia per te che per la tua azienda.

Lo spear-phishing, in cui le e-mail false sono davvero credibili, non è solo un problema per le vittime di alto profilo come le Burisma del mondo.

L’acquisizione dei dati specifici necessari per elaborare e-mail di phishing personalizzate è più semplice di quanto si pensi, e gran parte della raccolta dei dati può essere automatizzata.

Consigli per te

Quindi, ecco i nostri 5 consigli per gestire gli attacchi di phishing, soprattutto se stai affrontando un hacker che è disposto a dedicare tempo e sforzi per guadagnare la tua fiducia invece di limitarsi a martellarti con una serie di email che iniziano con “Gentile cliente”:

1. NON TENTENNARE SOLO PERCHÉ IL MITTENTE SEMBRA SAPERE MOLTO SU DI TE

Qualcuno che non ti ha mai incontrato, e mai lo farà, può comunque facilmente proiettarsi come un “insider” – un amico di un amico, forse, o un collega con cui hai lavorato virtualmente, ma non hai mai incontrato faccia a faccia .

Con una miscela di informazioni raccolte da violazioni dei dati già pubbliche, profili di social media ed e-mail storiche che hai inviato o ricevuto, anche un truffatore con pochi mezzi e senza molta esperienza tecnica può sembrare molto più convincente di un “Gentile cliente”.

2.NON AFFRETTARTI A INVIARE I DATI SOLO PERCHÉ L’ALTRA PERSONA TI DICE CHE E’ URGENTE

Molte truffe via e-mail funzionano perché il truffatore conquista la tua fiducia o ti fa pensare di essere qualcuno in cima all’organigramma della tua azienda, quindi sottolinea quanto sia urgente il compito che ti ha appena assegnato.

Spesso ricorrono anche all’adulazione, spiegando perché stanno chiedendo a te e non a chiunque altro, e ti impressionano sul fatto che il compito è riservato e quindi non deve essere discusso con nessun altro.

Non considerare mai prudente che l’altra persona richieda la segretezza totale, invece trattala come sospetta.

3.NON FARE AFFIDAMENTO AI DETTAGLI FORNITI DAL MITTENTE QUANDO LI VERIFICHI

Si potrebbe pensare che i truffatori si sforzino di scoraggiarti dal controllarli, ma a volte non solo accolgono la cosa con favore, ma ti esortano attivamente a richiamare o a inviare messaggi o a visitare il loro sito Web, come parte della truffa.

Se li richiami sul numero di telefono che ti hanno dato o mandi un messaggio tramite il sito Web che hanno fornito, stai semplicemente offrendo loro l’opportunità di raccontarti le bugie che vogliono farti sentire.

(Ecco perché gli istituti finanziari stampano i loro numeri di contatto di emergenza sul retro della carta di credito e li inseriscono nelle schermate di benvenuto dei loro sportelli automatici: tali fonti sono molto più difficili da manomettere per i criminali.)

4.NON SEGUIRE LE ISTRUZIONI SU COME VISUALIZZARE UN’EMAIL CHE APPARE ALL’INTERNO DELL’EMAIL STESSA

Uno stratagemma comune è che i criminali nascondano contenuti dannosi – come software per il furto di dati chiamato macro – all’interno di file di documenti dall’aspetto innocente, e quindi prefigurano il “documento” con le istruzioni su come visualizzarlo “correttamente” modificando varie impostazioni di sicurezza.

Di solito, le istruzioni sembrano abbastanza plausibili, ma i truffatori in realtà ti stanno inducendo a disattivare le stesse funzionalità di sicurezza che ti terranno al sicuro.

5.NON AVERE PAURA DI CHIEDERE UNA SECONDA OPINIONE

Se hai chiesto ai colleghi di correggere i tuoi documenti o le tue e-mail, avrai notato che spesso hanno trovato errori che non avresti mai pensato di aver commesso.

Ecco perché una seconda opinione è di grande aiuto.

In realtà, questo è il motivo principale per cui i cyber criminali ti incoraggiano a non dire a nessuno quello che stai facendo – per impedirti di ottenere una seconda opinione e quindi di smascherarli.

Suggerimenti anche per l’IT

Già che ci siamo ecco 3 suggerimenti bonus anche per il personale IT e gli amministratori di sistema:

1.IMPOSTA UN PUNTO DI CONTATTO UNICO PER IL PERSONALE AFFINCHE’ SEGNALI LE QUESTIONI RELATIVE ALLA CYBERSECURITY

La maggior parte del phishing non funziona perché il personale vuole fare la cosa sbagliata, ma perché è desideroso di fare la cosa giusta e di essere utile allo stesso tempo offrendo un ottimo servizio clienti a tutti.

Nessuno vuole rischiare di essere ricordato come “l’ex collega che è stato licenziato per aver detto al nostro cliente più importante di andare a quel paese”.

Fornendo un indirizzo interno come security-report@example.org, stai rendendo più facile per i tuoi utenti chiedere consigli sulla sicurezza prima che corrano dei rischi.

L’unica cosa peggiore di essere stati truffati da un’e-mail di spear-phishing è scoprire che la persona che ha abboccato all’amo non è stata la prima in azienda ad averlo fatto e che con un sistema di allarme efficace si sarebbe potuto evitare l’attacco del tutto.

2.FAI DELLA TUA CYBER SICUREZZA UNA STRADA A DUE SENSI – ASCOLTA I TUOI UTENTI!

Negli anni ’90 e 2000, la sicurezza informatica si basava spesso sull’idea che “l’IT conoscesse meglio e potesse impostare tutte le regole, senza eccezioni”.

Ma questo approccio tende a creare una cultura in cui tutto ciò che non è bloccato è considerato assolutamente sicuro.

Anche i siti Web legittimi ad alto traffico a volte vengono hackerati e se uno dei tuoi utenti è la prima persona a notarlo, fa sì che te lo dica e non ignorarlo.

3.PRENDI IN CONSIDERAZIONI LE SIMULAZIONI DI PHISHING

Prodotti come Sophos Phish Threat possono esporre i tuoi utenti al tipo di trucchi che usano gli spear-phisher, ma in tutta sicurezza, così anche se cadono in trappola, non viene fatto alcun danno reale.

Se chiarisci fin da subito che i tuoi test di phising sono pensati per aiutare gli utenti ad imparare e non per tenerli d’occhio in modo da coglierli in fallo, allora tutti ne potranno beneficiare.

Dopotutto, alcuni membri del tuo personale probabilmente stanno già ricevendo dozzine di email di phishing e phear phishing nel mondo reale ogni mese, quindi anche se non stai testando i tuoi utenti, i criminali sicuramente lo stanno già facendo!

Per saperne di più su Phish Threat visita la pagina dedicata. Collegati al link:  https://www.sophos.com/it-it/products/phish-threat.aspx

Leave a Reply

Your email address will not be published.