Le tre fasi di un attacco di phishing
Lo spear phishing è la forma più pericolosa di phishing. A differenza degli attacchi generici, basati su template, lo spear phishing comporta la ricerca di informazioni sulla vittima al fine di personalizzare il messaggio di phishing per renderne più probabile il successo.
Un attacco di spear phishing inizia con il cyber criminale che trova informazioni su una vittima, poi usa quella vittima per costruire una connessione, e in terzo luogo usa quella connessione per far compiere un'azione alla vittima. Continuate a leggere per saperne di più sulle tre fasi di un attacco di spear phishing.
Fase 1: Le informazioni
La prima delle tre fasi di un attacco di phishing è la ricerca delle informazioni. Questo implica scoprire dettagli sulla vittima, che può essere semplice come sapere che utilizza un particolare servizio o lavora in una particolare azienda. Questo è uno dei motivi per cui le violazioni dei dati in cui non vengono compromesse informazioni "sensibili" possono essere così pericolose: se un servizio fa trapelare una lista di soli indirizzi email dei suoi utenti, i criminali saranno in grado di sapere che tutti i proprietari degli indirizzi email usano quel servizio e possono prenderli di mira con email che fingono di essere di tale servizio.
Negli attacchi di spear phishing più sofisticati, i cyber criminali possono raccogliere informazioni dai tuoi profili social per costruire un messaggio di spear phishing altamente personalizzato che ha molte probabilità di convincerti della sua autenticità.
Prossima pagina: La guida completa alle email di phishing
Fase 2: La promessa
Una volta che il criminale informatico ha acquisito le informazioni necessarie da usare come esca, ha bisogno di gettare l'amo. Per far sì che la vittima compia effettivamente un'azione, occorre che l'hacker prometta qualcosa o che la spaventi.
In molte truffe la 'fase 2' consiste nel far credere alla vittima che uno dei suoi conti sia stato compromesso, creando un senso di urgenza e facendo agire quest'ultima velocemente - forse senza pensare. Il criminale può quindi reindirizzare la vittima a seguire un link ad una pagina dove può raccogliere i suoi dati.
Fase 3: L'attacco
La terza fase del phishing è l'attacco vero e proprio. Il criminale informatico invia l'e-mail e si prepara a far abboccare la sua preda all'esca.
Quale sarà la prossima azione del criminale dipenderà dalla natura della truffa. Per esempio, se hanno usato una landing page per ottenere la password dell'email della vittima, possono poi accedere all'account email della parte interessata per raccogliere ulteriori informazioni e iniziare a inviare ulteriori email di phishing ai contatti della vittima.
Come posso difendere la mia azienda dagli attacchi di phishing?
Per proteggere la tua azienda dal phishing, è essenziale capire la minaccia. Perché qualcuno dovrebbe prendere di mira la vostra azienda? Quali dati di valore possedete? Quali transazioni finanziarie eseguite che un criminale informatico potrebbe volere?
1. Autenticazione a 2 fattori
L'autenticazione a più fattori è assolutamente essenziale per proteggere i tuoi account dal phishing. Aggiunge una seconda linea di difesa, il che significa che anche se cadi in un attacco di phishing e dai via la tua password e-mail, sarai ancora in grado di impedire al criminale di accedere al tuo account.
2. Formazione sulla sicurezza
Poiché il phishing può essere effettuato in tanti modi diversi, non c'è una soluzione semplice che sia in grado di fermarlo. Gli esseri umani saranno sempre un pericolo quando si tratta di phishing. Questo è il motivo per cui la formazione è assolutamente essenziale.
Ai tuoi dipendenti dovrebbe essere insegnato come stare attenti ai segni del phishing, e che dovrebbero sempre prestare molta attenzione quando seguono link da email inaspettate. Iscrivere i tuoi utenti a corsi di formazione sulla sensibilizzazione alla sicurezza, aiuterà a ridurre la minaccia delle e-mail di phishing.
3. Phishing Simulato
Mentre la formazione dei dipendenti è essenziale, la simulazione di phishing ti permette di vedere come i tuoi dipendenti si comportano di fronte a uno scenario reale. La simulazione permette ai tuoi dipendenti di vedere quanto sia facile diventare vittima di un'email di phishing, ed è molto efficace per aumentare la consapevolezza, in quanto i dipendenti sono molto più propensi a ricordare di essere stati vittima di un'email di phishing simulata piuttosto che di un semplice corso di formazione.