phishing mantova azienda

Attività di Phishing crescita del 400%:
cosa ci succede?

In un’epoca segnata dall’onniscenza della tecnologia nell’ambiente che ci circonda ci sorge spontaneo porci una domanda: riusciremo mai interagire con essa senza il dubbio di venire truffati?

Quando parliamo di comunicazione one-to-one attraverso la tecnologia, pensiamo immediatamente alle e-mail. E se pensiamo alle e-mail non possiamo che pensare al phishing informatico.

Ebbene è per questo motivo che oggi parleremo della più grande minaccia e-mail che sia mai esistita

Una delle domande che poniamo più di frequente ai nostri potenziali clienti è: “Ricevi molte e-mail spam?”

Alcuni ci rispondono di no, ma la maggior parte ammette di cestinare ogni giorno decine di messaggi indesiderati. Le e-mail sono forse lo strumento più prezioso all’interno di un’azienda ma possono rivelarsi dei vasi di Pandora.

Questo motivo, unito al fatto che stiamo attraversando un epoca storica nella quale le tecnologie sembrano essere divenute le estensione dei nostri arti, ci spingono ancora una volta a parlarvi di cosa sta realmente accadendo.

In questo articolo, vi promettiamo, non useremo termini tecnici. Parleremo di phishing e campagne phishing come se ci fossimo incontrati per caso in una tavola calda e stessimo parlando del più e del meno.

Google indicizza oltre 34 milioni di risultato per la parola phishing, in realtà sono molti di più.

Chi lo chiama piscing, spear phishing, fishing e chi ancora email finte. Stanno tutti cercando la stessa cosa: la truffa e-mail per antonomasia.

Insieme, scopriamo di cosa si tratta: continua a leggere.

Phishing, cos è

phishing attenzione

Il phishing è una forma di truffa online che utilizza le email come vettore per colpire gli utenti. Non si tratta di virus informatici.

Non immaginatelo nella vostra testa come un software cattivo che rompe il computer: nemmeno per un istante.

Come immaginare il phishing?

Immaginate il phishing come un distinto signore, vestito in giacca e cravatta. Un bel paio di scarpe eleganti e i capelli sistemati. Pensate a questo signore mentre suona il campanello di casa vostra:

“Buongiorno, mi scusi se la disturbo, sono il suo consulente per l’energia elettrica. Lavoro per la società che ha in carico la sua utenza, mi hanno mandato per verificare lo stato del suo contatore. Sia gentile, ho bisogno solo di qualche dato della sua bolletta e in pochi minuti dovremmo concludere.”

Ed è proprio così che accade.

Dopo avergli fornito nome, cognome, email e perché no: numero di carta di credito sul quale addebitare il costo delle prossime bollette, senza l’ingombro di doversi recare il posta. Il distinto signore se ne va: il guaio lo scoprirete solo dopo pochi minuti.

Phishing, kit fai-da-te

Di per sé il phishing non richiede alcuna attitudine di hacking. Ciò nonostante, viene considerato il metodo hacking più efficace e utilizzato per rubare dati e informazioni informazioni agli utenti.

Se ci pensate, quando riceviamo un’e-mail compiamo, come in una catena di produzione, sempre le stesse azioni:

  • riceviamo la notifica dell’email
  • leggiamo l’ogetto dell’e-mail
  • controlliamo l’indirizzo del mittente
  • quindi finalmente la apriamo

Sbam!
L’hacker ha già vinto, il phishing ha già vinto.

Sai perché? Sono riusciti a fare qualcosa che persino i migliori marketer al mondo faticano a fare: farti compiere un’azione.

Questo è Phishing.

piscing

Naturalmente questi cyber-criminal sono stati i più furbi, dal principio.

Proprio loro hanno capito che esiste un’unica cosa che accomuna tutte le aziende del mondo e ancor meglio, tutte le persone su questo pianeta: l’indirizzo e-mail.
Ce l’abbiamo tutti, anche la vecchietta dell’appartamento sotto casa vostra. Persino il cane di Chiara Ferragni possiede probabilmente uno se non più indirizzi e-mail (anche se probabilmente non li gestisce in autonomia).

Considerato quanto la posta elettronica sia uno strumento diffuso, agli hacker basta solo quel quid in più.

Un hacker esperto di phishing dovrà semplicemente essere in grado di:

  • avere un indirizzo e-mail attendibile
  • inventare un oggetto e-mail credibile

Questi sono i punti principali: lasciatecelo dire è un vero gioco da ragazzi. Chiunque ci riuscirebbe. Se parallelamente, l’hacker riuscisse a scrivere un messaggio credibile e allegare un file o link infetto: il risultato è assicurato: ha messo in piedi un vero e proprio attacco email phishing.

In resto è storia…

Phishing, uno nessuno centomila

Esistono diverse forme di Phishing: molte delle quali vanno a segno il 99,9% delle volte

Ora che ti è chiara la definizione, devi assolutamente sapere che l’astuzia degli hacker ha dato vita a diverse forme di phishing. Sono tutte metodologie che avrai sicuramente incontrato sul tuo cammino perché sono diffusissime.

Ti farò vedere una serie di esempi di campagne phishing, ma ovviamente, tieni presente che in circolazione ci sono decine, migliaia di opzioni ed è per questo che ti preghiamo di fare molta attenzione a tutto il materiale che ti mostreremo d’ora in poi.

Random Phishing

office 365 phishing email

Alias ndo cojo cojo.

Il random phishing consiste nell’invio massivo di e-mail. In altre parole, un hacker si dota di un indirizzo e-mail che a prima vista può sembrare attendibile e diffonde messaggi in riferimento a problemi tecnici, procedure di aggiornamento software o addirittura tentativi di accessi indesiderati.

Il messaggio invita l’utente a cliccare su un link. Ma cosa rende questa tecnica così persuasiva? Indubbiamente il tono del messaggio e magari anche i dettagli grafici: ansia, paura, dubbio, responsabilità. Sono tutte stati d’animo che vengono indotti nell’utente e che lo inducono a cliccare il collegamento. Ovviamente il link sarà malevolo.

Clone Phishing

e-mail clone phishing

Questa particolare versione di phishing attack prevede che l’hacker riutilizzi un’e-mail legittima magari inviata in passato da un’ente e semplicemente corregge il tipo di file o link allegato.

In questo modo l’hacker sfrutta la credibilità di un brand che voi conoscete bene per riuscire ad entrare in casa vostra. Anche in questo caso l’attacco è random, cioè indirizzato a chiunque

Smishing

banca MPS sms phishing smish

Smishing, SMS phishing, smish phishing

Lo potete chiamare in diversi modi ma sono tutti riferiti ad uno specifico fenomeno phishing. Dalla definizione smishing riuscite già a percepire le caratteristiche di questa versione della truffa online. Lo smishing da manuale non ricorre all’utilizzo delle e-mail quali vettori per invitare l’utente a cliccare su un link bensì, utilizzano i cari e obsoleti SMS. Tecnica obsoleta direte voi, e invece ancora in auge.

Questa tecnica phishing solitamente sfrutta la credibilità di enti pubblici, istituti finanziari e banche per riuscire ad attrarre l’attenzione dell’utente. Quindi… fate attenzione agli SMS (ormai pochi) che ricevete.

Ps.: se siete interessati ad assistere ad un vero attacco informatico Smishing leggete il nostro articolo: Banca MPS: truffa Smishing in corso

Vishing 

vishing o phone phishing

Quando si dice che il phishing si può non solo vedere anche sentire, questo è il caso.

Squilla il vostro telefono. Alzate la cornetta e dall’altro lato vi risponde una voce autorevole e professionale:

“Buonasera Sig. XXX,

sono di Unicredit banca, abbiamo rilevato un ingresso sospetto al suo portale dell’home banking. Gentilmente se volesse fornirmi i suoi dati facciamo una verifica interna e le riabilitiamo tutte le funzioni del conto.”

Detta così non fa una piega. Peccato che la telefonata arrivi da un centralino VoIP non di proprietà di Unicredit. In questo caso la centralinista rientra tra gli elementi dell’attacco vishing.

Search engine phishing

search engine phishing

Esattamente il punto dove desideriamo soffermarci. Sì perché di recente questa tecnica ha generato qualche problema alla Pubblica Amministrazione.

Una piccola premessa.

In questo caso parliamo di truffe online basate sui motori di ricerca ovvero: viene creata una pagina web, l’hacker la cura nella scelta dei testi, delle immagini e tutto questo lavoro SEO ha un tornaconto: Google la indicizza. 

La pagina sale tra i risultati fino a raggiungere l’attenzione degli utenti. Un utente che cade nella trappola ed esegue una qualsiasi transazione su pagine simili rimane truffato.

Questo è quello che è accaduto agli utenti NoiPA

Insomma: qualsiasi forma di attacco phishing ti colpisca, porterà con sé in pezzettino della tua identità: nome, cognome, password, numeri di carte di credito. Tutte le informazioni raccolte, vengono rivendute a caro prezzo.

Dunque è chiaro: adesso sei cosciente di che cos’è il Phishing e in quale veste può bussare alla porta della tua azienda.

Anti Phishing, i migliori consigli gratuiti

Eccola qui, la panacea made in Italy o meglio made in Onorato Informatica per difendersi dagli attacchi di phishing.

Ala luce della forte crescita degli attacchi e-mail (sono cresciuti del 400%) ecco i nostri 5 migliori consigli per difendere voi stessi e le informazioni che vi appartengono.

  • Non cliccare link o allegati nelle e-mail se sei in dubbio
  • Diffida delle catene di Sant’Antonio o delle iniziative “Troppo belle per essere vere”. Eccoti un’esempio proprio qui
  • Per la tua azienda, utilizza servizi e-mail professionali e affidabili
  • Attenzione alle raccolte di beneficenza online
  • Controlla gli URL dei link contenuti nelle e-mail

E solo per oggi un consiglio extra ai fortunati che arriveranno fino alla fine del nostro articolo:

sviluppate un sano e onnisciente senso critico verso ciò che arriva nella vostra casella di posta elettronica

Phishing, Update Aprile 2020

Nel bel mezzo della quarantena da Covid-19, riceviamo ogni giorno decine di segnalazioni circa nuove campagne phishing in atto. Soprattutto in questo momento, nel quale i lavoratori sono in telelavoro da casa ti suggeriamo di non sottovalutare il problema phishing a casa.

Contattaci, siamo un’azienda di sicurezza informatica di Mantova. Siamo specializzati nella protezione e-mail e vogliamo proteggerti.

CONTATTACI ORA

Hai già avuto esperienze con di phishing? Com’è andata?

Per proteggerti sono necessari due elementi imprescindibili: un po’ di cultura del pericoli web e servizi cyber-security. Onorato Informatica può fornirli entrambi. Se la tua azienda sta lavorando senza protezione anti phishing potrebbe essere un problema.

Onorato Informatica è un’azienda specializzata in cyber security dal 2006. Siamo certificati ISO 27001 e ISO 9001.