In qualità di persone per le quali la creazione di e-mail di phishing costituisce un impiego legittimo (siamo nel team di prodotto dietro il servizio di simulazione del phishing Sophos Phish Threat), sappiamo di essere una minoranza.
Come le nostre controparti non così legali, passiamo le nostre giornate a utilizzare tecniche di ingegneria sociale per indurre le persone ad aprire messaggi dannosi e fare clic su collegamenti che dovrebbero rimanere dove sono.
Comprendere l’approccio degli aggressori ti aiuta a individuare un’e-mail di phishing quando arriva nella tua casella di posta.
Avendo scritto e monitorato le prestazioni di centinaia di email di phishing simulate, vorremmo condividere il nostro approccio in modo da poter alzare rapidamente la bandiera rossa.
In generale, ci sono quattro passaggi principali che i phisher eseguono quando creano email di phishing convincenti e la comprensione di questi passaggi ti aiuta a individuarli e fermarli.
Passaggio n° 1: scegli il tuo obiettivo
Persone diverse si innamorano di trucchi diversi, quindi più informazioni hai sul tuo obiettivo più facile è creare un’esca di phishing convincente.
Il pubblico può essere ampio, ad esempio gli utenti di una banca particolare o le persone che devono presentare una dichiarazione dei redditi, oppure può essere molto specifico, come un ruolo particolare all’interno di un’organizzazione o anche un individuo specifico.
In ogni caso, noi, come i nostri avversari, abbiamo sempre in mente un pubblico per ogni attacco.
Passaggio 2: scegli i trigger emotivi (seleziona la tua esca)
Gli aggressori giocano sulle nostre emozioni per farci cadere nei loro tranelli. Ecco tre inneschi emotivi che i phisher sfruttano comunemente per intrappolarti, a volte usandoli in combinazione tra loro per aumentare le loro possibilità di successo:
Curiosità. Gli esseri umani sono naturalmente curiosi e i phisher ne abusano facendoti desiderare di saperne di più. “Vuoi sapere cosa è successo dopo?” Tutto quello che devi fare è fare clic sul collegamento o aprire l’allegato …
Speranza. L’utilizzo del tema della speranza da parte dei phisher può variare da messaggi generali su vincite inaspettate di premi e opportunità di appuntamenti a email specifiche che fanno riferimento a offerte di lavoro, aumenti salariali e altro ancora.
Necessità. I phisher spesso usano un’esca legata alla sicurezza informatica – fingendo di aver subito una violazione della sicurezza – per far sembrare che tu debba agire nell’immediato.
Passaggio 3: crea l’email (lancia l’amo)
Il passo successivo è creare l’email. Come le nostre controparti criminali, spesso tenteremo di offuscare il tuo giudizio utilizzando uno o più dei trigger emotivi che abbiamo elencato sopra per indurti a eseguire un’azione specifica senza pensarci su.
Tale azione può essere semplice come fare clic su un collegamento o complicata come impostare un bonifico bancario.
Un trucco intelligente per scrivere un’e-mail di phishing efficace è rendere inevitabile, ma non necessariamente ovvia, l’azione che si desidera venga intrapresa dall’obiettivo.
Ad esempio, un utente malintenzionato potrebbe inviarti un’e-mail che sembra contenere collegamenti cliccabili a prodotti per la perdita di peso. Nella parte inferiore della stessa e-mail, l’aggressore include anche un collegamento cliccabile per annullare l’iscrizione. Ecco il trucco però: facendo clic sul link “annulla iscrizione” ti porta esattamente nello stesso punto in cui fai clic su qualsiasi altro link nell’email.
In questo modo, l’aggressore ti presenta l’illusione di una scelta assicurandoti di farti fare clic sul collegamento desiderato, indipendentemente da dove lo fai nell’email.
Passaggio 4: invia l’email (hai gettato l’esca)
Infine, l’e-mail di phishing deve essere consegnata agli obiettivi. Ci sono diversi modi in cui un utente malintenzionato può farlo. Può semplicemente creare un nuovo account di posta elettronica su un servizio generico come Gmail e inviare il messaggio utilizzando quell’indirizzo di posta elettronica, oppure potrebbe ricorrere a metodi un po’ più complicati .
Gli aggressori a volte acquistano nomi di dominio non registrati che sembrano simili a un dominio legittimo, modificando leggermente l’ortografia in un modo che non sia ovvio, come scrivere c0mpany per azienda (la lettera O è cambiata in zero) o vvebsite per il sito web (due V adiacenti utilizzati per una W).
In seguito inviano l’email di phishing utilizzando questo dominio simile nella speranza che gli utenti, nella fretta, non notino la sottile differenza.
È anche possibile che gli aggressori compromettano un account di posta elettronica che appartiene a una fonte legittima e lo utilizzino per inviare un messaggio truffa. Questo è comunemente noto come Business Email Compromise (BEC) e significa che anche l’indirizzo e-mail di un collega potrebbe essere potenzialmente utilizzato da un utente malintenzionato per fare phishing.
Come fermare gli attacchi di phishing
Anche se un’e-mail di phishing raggiunge la tua casella di posta, è comunque necessario che tu intraprenda un’azione specifica – fare clic su un collegamento o aprire un allegato – prima che abbia successo.
Quindi, sapere cosa cercare e cosa fare se vedi qualcosa di sospetto, ha un’importanza enorme.
Di seguito sono riportati alcuni suggerimenti per ridurre il rischio di phishing. Sebbene siano scritti principalmente pensando alle aziende, molti sono ugualmente rilevanti nella nostra vita personale:
- Educa attraverso l’esposizione sicura. Sul posto di lavoro, l’esposizione periodica degli utenti ad attacchi di phishing simulati offre loro l’opportunità di interagire con una versione realistica, ma innocua di quello che avrebbe potuto essere un vero attacco. Ciò consente alle persone di commettere errori e imparare da essi mentre la posta in gioco è bassa, preparandoli così a gestire le minacce reali quando la posta in gioco è alta. Qui la varietà è importante e consigliamo vivamente che i messaggi varino nei dettagli come la lunghezza, l’argomento, il tono, lo stile e l’ora in cui sono stati inviati.
- Verifica la tua cultura della sicurezza. Se esegui simulazioni di phishing sul posto di lavoro, raccogli quanti più dati possibile, incluso il numero di campioni di ciascun messaggio aperto, se il destinatario ha fatto clic su un collegamento o ha aperto un allegato e che tipo di dispositivo stava utilizzando in quel momento (computer o cellulare). Questo ti darà un’immagine potente della consapevolezza complessiva dei dipendenti e di dove potresti essere particolarmente vulnerabile agli attacchi reali. Grazie a questi dati puoi concentrare le tue risorse sul supporto delle aree e dei dipendenti a maggior rischio.
- Indirizza i tuoi sforzi di formazione. Indirizza i tuoi sforzi di formazione verso i reparti a maggior rischio. Il personale dell’area finanziaria, IT e gestione e coloro che hanno accesso ai dati dei clienti sono obiettivi di alto valore per gli aggressori. Non trascurare le nozioni di base, come ricordare al personale di chiedersi perché un’email chiede loro di fare qualcosa, da chi proviene l’email e così via. I dipendenti distratti, stanchi e impegnati possono essere facilmente scoperti.
- Fornisci indicazioni chiare su come rispondere. Assicurati non solo che il tuo personale sappia come segnalare potenziali email di phishing, ma anche che riceva una risposta tempestiva quando lo fa. Ricorda, se una persona nella tua organizzazione ha ricevuto un phishing, c’è un’alta probabilità che sia successo anche ad altri. Prima indaghi e agisci, meglio è.
- Abilita il cambiamento culturale. Promuovere una cultura aziendale di consapevolezza e supporto è una delle cose più importanti che puoi fare. Offri ai dipendenti l’opportunità di sbagliare in tutta sicurezza e offri loro un percorso chiaro per segnalare e-mail sospette. Riconosci e premia le persone che segnalano e-mail di phishing (la lode è importante) e supporta i dipendenti che inavvertitamente cadono in trappola.
Ricorda, l’obiettivo della formazione sul phishing è rendere le persone più consapevoli delle potenziali minacce e più propense a segnalarle.
Sii di supporto e comprensivo se metti alla prova qualcuno e chiarisci che non stai cercando di cogliere in fallo le persone per metterle nei guai.
Un altro suggerimento
Sophos Phish Threat, il prodotto su cui lavoriamo, semplifica l’esecuzione di programmi di phishing simulato, la misurazione dei risultati e la formazione mirata dove è necessario. Puoi provarlo gratuitamente per 30 giorni.