Il pericolo di essere infettati da un virus tramite posta elettronica dipende sempre più dalla tua capacità di riconoscere i virus ed evitare le truffe dei pirati informatici.
Oggi, l’indirizzo di posta elettronica è estremamente importante poiché funge da identità online: consente di accedere ai social media e di ottenere informazioni importanti dal tuo posto di lavoro, azienda o scuola.
Se il tuo account di posta elettronica venisse violato, rubato o spiato, potresti dover affrontare una serie di gravi conseguenze nel mondo reale.
La fonte più comune di infiltrazione nella casella di posta elettronica è la negligenza o ignoranza del proprietario, che lo porta ad essere una vittima dei truffatori.
I problemi di sicurezza della posta elettronica stanno crescendo a un ritmo allarmante.
Il phishing, il ransomware e altri pericoli informatici sono diventati oggetto di grande attenzione da parte dei vertici aziendali: la loro sicurezza è un aspetto chiave. Di conseguenza, sia grandi che piccole imprese devono escogitare misure per contrastare i crescenti rischi per la sicurezza della posta elettronica.
Infatti, la posta elettronica viene utilizzata per lanciare oltre il 90% degli attacchi informatici, è l’anello più debole della catena di sicurezza.
Inoltre, una violazione della sicurezza può avere un impatto negativo sulla reputazione dell’azienda.
Pertanto, la sicurezza della posta elettronica deve diventare una necessità indispensabile sia per le organizzazioni che per i privati. A tal proposito Onorato Informatica intende condividere con i suoi lettori alcuni suggerimenti importanti per prevenire gli attacchi tramite posta elettronica.
Sommario dell’articolo
Uno dei motivi per cui i criminali informatici perseguono gli account di posta elettronica è dovuto al modo in cui funzionano i servizi e-mail.
Infatti, l’e-mail è una delle forme di comunicazione meno sicure, anche quando non è oggetto di violazione.
Le comunicazioni via e-mail vengono instradate attraverso una serie di server, inclusi quelli dei vari provider di servizi Internet (ISP) e client di posta.
Inoltre, ogni server conserva diverse copie di ogni comunicazione, con copie extra salvate sui dispositivi del mittente e del destinatario. Di conseguenza, anche se eliminiamo l’e-mail originale, non cancellerete certo tutte le altre copie esistenti.
L’e-mail è collegata a tutto ciò che è online.
Ogni volta che ci iscriviamo ad un servizio online, dobbiamo fornire il tuo indirizzo e-mail.
Una volta che registrati, il servizio invierà normalmente un’e-mail con la tua password e i termini del servizio.
Pertanto, gli hacker che acquisiscono l’accesso alla casella di posta elettronica hanno accesso ai tuoi account su tutti questi siti Web.
Ciò è particolarmente pericoloso se gli hacker accedono ai conti finanziari o al sito Web dell’azienda, dove memorizzate informazioni sensibili su clienti e personale.
Ricordate che se qualcuno ha il vostro nome utente e password e-mail, può vedere tutto ciò che hai inviato via e-mail:
- fotografie,
- documenti fiscali,
- contratti
- comunicazioni personali.
Il phishing si verifica quando i truffatori tentano di imitare organizzazioni o persone per ottenere dati e informazioni private, sensibili e importanti.
Il phishing può assumere varie forme (e-mail, SMS, dirottamento di pagine). Tuttavia, se parliamo di phishing via e-mail è il tipo di phishing più diffuso nel mondo degli affari.
Esistono diversi approcci nella pratica di attacchi di phishing,
ma uno degli schemi più diffusi è:
alla vittima viene ricapitata un’e-mail, contenente un messaggio di testo, che impersonifica ad esempio un collega, una banca o un ente governativo.
L’e-mail contiene materiale progettato per spaventare il lettore, nonché una richiesta di visitare un sito Web e agire rapidamente per evitare spiacevoli ripercussioni.
Se l’utente clicca sul collegamento nel messaggio, viene reindirizzato a un sito Web fasullo. All’utente viene ora richiesto di effettuare il login fornendo le proprie credenziali: username e password. Se l’utente è abbastanza fiducioso da portare a termine la richiesta, le informazioni inviate verranno inviate al truffatore, che potrà utilizzarle per rubare identità, intercettare l’accesso a conti bancari e vendere le informazioni personali sul dark web.
A differenza di altri tipi di pericoli online, il phishing non richiede un elevata competenza tecnologica.
Gli schemi di phishing non tentano di attaccare i difetti tecnici nei sistemi operativi dei dispositivi, ma si basano invece sull’ingegneria sociale. Indipendentemente dalla qualità del sistema di sicurezza, tutti i sistemi operativi, da Windows a iPhone, da Mac ad Android, possono essere vulnerabili ai tentativi di phishing.
In realtà, i truffatori utilizzano spesso il phishing poiché non sono in grado di identificare eventuali difetti tecnologici. Perché perdere tempo a tentare di entrare in un sistema con diversi gradi di protezione quando la chiave d’ingresso può essere fornita direttamente alla vittima?
L’anello più debole di un sistema di sicurezza spesso non è un difetto del codice del computer, ma un utente che non riesce a controllare la veridicità di un’e-mail.
Il fattore comune di tutti gli attacchi phishing è lo sfruttamento di un espediente ingannevole per ottenere informazioni sensibili.
Di seguito, alcune delle forme di phishing più frequenti:
Spear phishing
A differenza della maggior parte delle tattiche di phishing, che si concentrano sull’invio di e-mail al maggior numero possibile di persone, lo spear phishing è diretto a un gruppo specifico di persone.
Lo spear phishing prende di mira una singola persona o organizzazione, spesso con materiale mirato alla vittima.
Questo tipo di phishing richiede un esame preparatorio delle vittime al fine di determinare nomi, titoli di lavoro, indirizzi e-mail e altre informazioni simili.
Gli hacker effettuano numerose ricerche su Internet per collegare i dati delle vittime con altri dati relativi a colleghi, nomi e affiliazioni professionali di personale importante nelle loro aziende. Il truffatore è in grado di comporre un’e-mail credibile grazie a questa tecnica.
Un dipendente il cui lavoro richiede l’approvazione dei pagamenti, ad esempio, potrebbe essere una vittima di spear phishing. L’e-mail sembra provenire da un dirigente dell’azienda che richiede che il dipendente invii una grossa somma di denaro al dirigente o a un fornitore dell’azienda, in realtà, il link di pagamento trasmette invece l’importo al truffatore.
Whaling phishing
Il whaling phishing è una truffa simile allo spear phishing, con l’eccezione che l’obiettivo è un alto profilo piuttosto che un individuo medio o la rete di una piccola azienda. Lo scopo è indurre la vittima a rivelare informazioni in suo possesso o l’ottenimento di autorizzazioni per azioni ai danni dell’azienda ma redditizie per il truffatore, come l’approvazione di operazioni bancarie.
Clone phishing
I truffatori creano una replica, o clone, di e-mail legittime che contengono un collegamento o un allegato per l’attacco.
Di conseguenza, il truffatore sostituisce i collegamenti oi file allegati con controparti dannose che sembrano legittime. Gli utenti consentono involontariamente l’intrusione nei propri sistemi cliccando sul collegamento o aprendo l’allegato. Il truffatore è in grado di impersonare la vittima e sembrare un mittente affidabile¸ prendendo di mira altre vittime all’interno della stessa attività.
Sono finiti i giorni in cui le e-mail mal formulate promettevano di trasferire milioni di contanti semplicemente fornendo le informazioni sul tuo conto bancario. Le moderne e-mail di phishing possono includere informazioni personalizzate, loghi aziendali o URL che sembrano del tutto veri.
Pertanto, individuare un tentativo di phishing non è sempre semplice, ma alcuni accorgimenti e il tuo senso di responsabilità possono fare molto. Dunque, devi fare attenzione a tutti gli elementi dell’e-mail.
Analizza gli elementi universali dell’e-mail
A volte un’e-mail di phishing può essere identificata dalla sua introduzione generica (“Gentile signore” o “Gentile signora”) piuttosto che dal tuo nome. Se l’e-mail proviene da un’azienda con la quale non hai un account, molto probabilmente fa parte di una campagna di massa.
Ignoralo e, se necessario, segnalalo.
Esamina la struttura e il ‘tono’ dell’e-mail
Quando ricevi e-mail che richiedono un’azione, considera la seguente domanda:
“Questa persona mi contatta regolarmente via e-mail per richieste simili?”
Presta attenzione alla lingua e al tono del messaggio, nonché a eventuali errori minori.
C’è qualcosa che si distingue in particolare? Chi è il mittente? e, se hai qualche preoccupazione, contatta il mittente tramite altri canali social.
Evita i siti Web reindirizzati
I siti Web reindirizzati (in cui l’URL cambia e vieni trasportato in una pagina diversa) dovrebbero essere sempre evitati.
Se non sei sicuro di un link e vuoi essere sicuro, apri una nuova finestra e vai direttamente al sito web.
Ad esempio, se ricevi un’e-mail da PayPal con un link per accedere con il tuo account, collegati direttamente al sito, senza cliccare sul link presente nella mail.
Se l’e-mail è autentica, puoi ritrovare le stesse richieste direttamente sul sito.
Poiché gli attacchi di phishing stanno diventando sempre più complessi, potresti comunque caderne vittima, nonostante i tuoi migliori sforzi per evitarli.
Se ciò accade, procedi a segnalarlo in questo modo:
- Chiama l’azienda i cui dati sono stati falsificati e informarla del problema.
- Se le tue informazioni personali sono state rubate, contatta l’unità per la criminalità informatica del dipartimento di polizia locale.
Onorato Informatica aiuta le aziende a respingere le e-mail infette.
Da sempre il nostro lavoro consiste nel prevenire le infezioni da e-mail pericolose.
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni. Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
