Il phishing esiste da decenni ma è ancora oggi una delle minacce informatiche più temibili e in più rapida crescita. Sebbene fosse una minaccia crescente già prima della pandemia di COVID-19, la situazione ha continuato a peggiorare. Secondo il report 2021 sui crimini di Internet dell’Internet Crime Complaint Center (IC3) dell’FBI, il numero di denunce presentate per attacchi di phishing e denunce correlate è aumentato del 182% tra il 2019 e il 2021. Queste cifre riflettono solo gli attacchi di phishing segnalati; i numeri reali sono probabilmente più alti.
Da qualsiasi punto di vista,gli sforzi de i criminali informatici per sfruttare le vulnerabilità umane stanno chiaramente dando i loro frutti. Eppure, le ricerche condotte da Proofpoint per il report “State of the Phish 2022” rivelano che solo il 53% dei lavoratori adulti sa cosa sia il phishing.
Il messaggio è chiaro: le aziende devono considerare il phishing un punto focale del loro programma di sensibilizzazione alla sicurezza informatica. Se pensi che solo la metà dei tuoi utenti sa cosa sia il phishing, prendi in considerazione l'idea di concentrare la tua formazione su questo argomento cruciale fornendo una spiegazione del termine.
Nota su questa serie di articoli del blog
Le minacce informatiche attuali cercano di sfruttare la natura umana, non solo le vulnerabilità tecniche. Infatti, secondo il report investigativo 2022 sulle violazioni dei dati di Verizon (2022 Data Breach Investigation Report) l’82% delle violazioni ha coinvolto un intervento umano. Come si legge nel report, questa realtà “pone le persone al centro della sicurezza”. I criminali informatici utilizzano il social engineering per indurre gli utenti a cliccare su URL pericolosi, aprire allegati dannosi, divulgare le credenziali d’accesso, inviare dati sensibili, trasferire fondi e altro ancora.
Questa è la seconda puntata della nostra serie di blog in sei parti che mette in evidenza gli argomenti da trattare nella formazione di sensibilizzazione alla sicurezza informatica in vista del mese della sensibilizzazione alla sicurezza informatica a ottobre. Ecco gli argomenti trattati:
- Social engineering
- Phishing
- Violazione dell’email aziendale (BEC, Business Email Compromise)
- Social media
- Ransomware
- Rischi interni
Cos’è il phishing?
Il phishing è un esempio di tecnica di social engineering, un insieme di metodi (come falsificazione, inganno e menzogna) utilizzati dai criminali informatici per manipolare la psicologia umana.
Le email di phishing usano il social engineering per incoraggiare gli utenti ad agire rapidamente, senza prima riflettere. E quando i criminali informatici riescono a ingannare gli utenti con messaggi di phishing, possono accedere a dati sensibili, sistemi critici, account cloud e reti aziendali e spesso denaro.
La maggior parte dei messaggi di phishing viene trasmessa via email. Tuttavia, alcuni criminali informatici utilizzano altri metodi, tra cui lo SMiShing e il Vishing (l’utilizzo di messaggi di testo e software per la simulazione vocale per inviare SMS a gli utenti o prenderli di mira con telefonate automatiche).
Le tre minacce principali associate ai messaggi di phishing
Una volta che i tuoi utenti hanno compreso meglio cosa è il phishing, delinea alcune delle strategie più comuni che i criminali informatici utilizzano per violare i destinatari dei messaggi di phishing:
Link dannosi
I criminali informatici spesso utilizzano URL dannosi all’interno dei loro messaggi di phishing. Quando gli utenti fanno clic su un link dannoso, possono essere indirizzati su un sito web fraudolento o un sito infettato con malware. Spesso, i criminali informatici camuffano accuratamente questi link nei messaggi di phishing in modo che sembrino provenire da fonti attendibili. Per farlo, possono utilizzare loghi aziendali o registrare domini email simili a quelli di un marchio o di un'azienda affidabile al fine di generare confusione.
Troppo spesso, purtroppo, i criminali informatici hanno successo. Le ricerche che abbiamo condotto per il report “2022 State of the Phish” mostrano che un utente su dieci fa clic su un link dannoso nelle simulazioni di attacchi di phishing.
Allegati infetti
Gli allegati che contengono malware - che spesso appaiono come allegati legittimi - possono compromettere computer e file. Nelle simulazioni di attacchi di phishing che effettuiamo per i nostri clienti, abbiamo constatato che un utente su cinque apre gli allegati email senza riflettere.
È importante spiegare agli utenti le conseguenze disastrose che può avere il phishing. Le infezioni di malware e i ransomware distribuiti tramite un attacco di phishing possono diffondersi facilmente tra i dispositivi collegati in rete e anche ai sistemi cloud.
Richieste fraudolente
Queste richieste sono studiate per convincere il destinatario dell’email a fornire informazioni sensibili, come le credenziali di accesso, le informazioni relative alle carte di credito e altro ancora. Spesso vengono presentate come un modulo (per esempio, di un ente fiscale che promette un rimborso) per spingere l'utente a fornire informazioni sensibili.
Una volta che l’utente ha compilato e inviato il modulo, i criminali informatici possono utilizzare i dati per il proprio tornaconto personale.
Tutti gli attacchi di phishing utilizzano il social engineering
Come discusso in precedenza, gli attacchi di phishing sono una forma di social engineering. Nelle attività di formazione di sensibilizzazione alla sicurezza informatica, dovrai richiamare l'attenzione su alcune delle tecniche utilizzate dai criminali informatici per sfruttare la psicologia umana al fine di manipolare gli utenti, come ad esempio:
- Usurpare l’identità di una persona o un’entità che l'utente probabilmente conosce e di cui è probabili si fidi
- Sfruttare emozioni come la paura (o anche solo il timore di perdere l’occasione) per indurre gli utenti ad agire rapidamente.
- Fare promesse allettanti, troppo belle per essere vere (come in effetti sono)
Inoltre, i criminali informatici spesso cercano di sferrare i loro attacchi in base al momento in cui l'utente potrebbe abbassare la guardia, ad esempio quando è stanco o distratto. Molti criminali informatici studiano anche il ciclo di fatturazione di un'azienda o scoprano quando si tengono riunioni importanti prima di lanciare un attacco di phishing.
L’impatto finanziario del phishing sulle aziende
Nell'ambito del tuo programma di sensibilizzazione alla sicurezza informatica, prendi in considerazione la possibilità di indicare alcuni incidenti gravi per sottolineare quanto gli attacchi di phishing possano essere costosi per le aziende. Queste informazioni possono essere particolarmente interessanti per i dirigenti. Dato il loro accesso e la loro autorità, sono tra gli utenti più spesso presi di mira o impersonati dai criminali informatici nelle campagne di phishing.
Ecco alcuni esempi concreti:
- Nell’ambito di un accordo transattivo concluso a seguito di una violazione dei dati su larga scala del 2021, una società di telefonia mobile statunitense ha accettato di pagare 350 milioni di dollari di risarcimento ai clienti i cui dati sono stati presumibilmente esposti. L’incidente ha interessato oltre 76 milioni di clienti.
- Un attacco di phishing contro i fornitori di un’importante catena di negozi statunitense ha portato all’esposizione dei dati personali e delle carte di credito di oltre 110 milioni di clienti della catena. Da allora la catena ha pagato quasi 300 milioni di dollari in risarcimenti per cause legali legate alla violazione.
- Un importante studio cinematografico ha perso circa 100 milioni di dollari in seguito a una campagna di attacco che si ritiene provenga dalla Corea del Nord e che ha portato a una significativa violazione dei dati. L’attacco ha utilizzato anche email di spear phishing (attacchi mirati inviati a collaboratori selezionati di un’azienda) che sembravano provenire da account di social media legittimi.
- Due aziende tecnologiche leader negli Stati Uniti (una piattaforma di social media e un motore di ricerca) hanno perso oltre 100 milioni di dollari in un elaborato attacco di phishing. I criminali informatici si sono spinti fino a creare una falsa azienda e a utilizzare email e fatture fasulle.
Temi di cui gli utenti dovrebbero diffidare
Naturalmente, per far sì che la formazione di sensibilizzazione alla sicurezza informatica sia efficace, è necessario che gli utenti comprendano come gli attacchi di phishing possano avere conseguenze anche sui loro risultati finanziari. E con le festività in arrivo, non c’è momento migliore per insegnare agli utenti a diffidare delle tattiche di phishing sui seguenti temi:
- Acquisti online (ad esempio “Clicca qui per ordinare ora e avrai il 60% di sconto! Inoltre, avrai la possibilità di vincere 1.000 euro da spendere sul nostro sito web”).
- Beneficenza (come “Contribuisci a combattere la fame durante queste festività: è estremamente urgente. Utilizza questo modulo per donare subito l’importo che preferisci”).
- Società di trasporti (come “Non siamo riusciti a consegnare il tuo pacco. Ti preghiamo di rivedere le informazioni di spedizioni allegate per confermare i dettagli dell’ordine”).
Inoltre, metti in guardia i tuoi utenti della possibilità di truffe legato allo streaming, in cui i criminali informatici si fingono fornitori legittimi di servizi di streaming diffusi e propongono offerte speciali (ad esempio “Ottieni un mese gratis!”) o cercando di convincere gli utenti a intraprendere azioni sul loro account (ad esempio “Aggiorna i tuoi dati per riattivare il tuo abbonamento”).
Suggerimenti per identificare i tentativi di phishing contro i tuoi utenti
Completa la tua formazione sul tema del phishing con alcuni consigli facili da mettere in pratica che possono aiutare i tuoi utenti a non cadere nella trappola del phishing. Incoraggiali a:
- Non fidarsi subito del mittente, anche se il messaggio sembra provenire da una fonte o un marchio affidabile
- Verificare l’indirizzo del mittente e tutti i link
- Aprire una nuova finestra per verificare il sito web a cui rimanda un link
- Non fare clic su inviti all’azione all’interno dell’email, come “Verifica il tuo account” o “Collegati ora”
- Non dimenticare che i link di condivisione di file non sono sempre sicuri
Infine, incoraggia i tuoi utenti a segnalare tutti i messaggi che considerano sospetti. La segnalazione delle email dovrebbe essere una parte fondamentale della tua strategia di difesa informatica. Strumenti come il tasto per la segnalazione delle email PhishAlarm di Proofpoint aiutano i tuoi utenti a diventare più vigili e proattivi.
Prossimamente: altri argomenti di sensibilizzazione alla sicurezza informatica per gli utenti finali
Il prossimo di questa serie di articoli del blog si concentrerà sulla violazione dell’email aziendale (BEC, Business Email Compromise). Spiegheremo perché le aziende di qualsiasi dimensione e di qualunque settore devono porre attenzione a questa minaccia crescente. Ti forniremo anche suggerimenti per educare i tuoi utenti su questo argomento critico di formazione di sensibilizzazione alla sicurezza informatica.
Ti suggeriamo inoltre di visitare il Centro di sensibilizzazione alla sicurezza informatica di Proofpoint, dove troverai altre risorse che ti aiuteranno a arricchire il programma di formazione alla sensibilizzazione alla sicurezza informatica della tua azienda. La sensibilizzazione alla sicurezza informatica di Proofpoint può anche aiutarti a creare una cultura della sicurezza informatica che incoraggi cambiamenti positivi dei comportamenti.