L'obiettivo degli attacchi di phishing è quello di ottenere da parte tua informazioni sensibili in modo accidentale, di ottenere accesso a una rete o di scaricare malware. Inizialmente, gli attacchi di phishing erano piuttosto semplici e utilizzavano un'email con un link incorporato su cui l'individuo ignaro avrebbe cliccato. Tuttavia, gli attacchi di phishing di oggi possono essere molto più sofisticati: potrebbero persino includere siti web HTTPS. Ad esempio, HTTPS può prevenire il furto di dati e gli attacchi man-in-the-middle. Ma può anche consentire al traffico dannoso di nascondersi dietro alla crittografia. Tuttavia, il gateway sicuro non può ispezionare i dati crittografati e potrebbe lasciar passare tutto, inclusi codici dannosi. I rapporti dell'FBI sugli attacchi HTTPS risalgono al 2019.
Un esempio di un attacco di phishing sofisticato dei giorni nostri è l'uso di nomi di dominio con errori di battitura. Anche se suona molto tecnico, in realtà è piuttosto semplice. I criminali creano un sito web che finge di essere Adobe, ma il loro indirizzo web utilizza il carattere latino "ḅ" invece del normale "b", quindi avrai "adoḅe.com" - nota il punto sotto la b.
Da lì, l'hacker può rendere "adoḅe.com" un sito HTTPS e creare numerosi altri sottositi. Un sito come "get.adoḅe.com" potrebbe essere creato ed inviato via email agli account target come collegamento. E naturalmente, gli hyperlink hanno una sottolineatura che maschera il carattere falso, rendendo il collegamento apparentemente legittimo al 100%. Come nell'esempio successivo, il punto sotto alla "b" non è visibile perché la sottolineatura dell'hyperlink lo ha coperto:
Questo è solo un esempio e ci sono molti modi in cui possono avvenire gli attacchi di phishing. Tuttavia, ci sono passi pratici da compiere per combattere gli attacchi di phishing e mitigare il rischio:
- Addestra i tuoi dipendenti su come identificare le email malevole e su cosa fare con esse. Esegui campagne di phishing simulate e test anti-phishing.
- Assicurati che i dipendenti utilizzino password sicure e uniche per i loro account di lavoro e comunica loro che le password per gli account aziendali devono essere diverse dalle password dei loro account di posta elettronica personali.
- Utilizza l'autenticazione a due fattori (MFA) per ridurre il rischio di takeover non autorizzati degli account.
- Educa il personale sui rischi dell'ingegneria sociale. Invitali a non pubblicare informazioni legate al lavoro su piattaforme di social media pubbliche che potrebbero essere utilizzate per identificare il datore di lavoro, il loro ruolo e le loro responsabilità, e quindi essere utilizzate per un attacco di phishing mirato.
- Installa un gateway di posta elettronica sicuro con anti-spam, anti-malware e filtri basati su regole. Questo potrebbe includere anche SPF (Sender Policy Framework), DMARC (Domain-Based Message Authentication, Reporting & Conformance) e DKIM (Domain Keys Identified Mail), oltre a una rilevazione delle anomalie per le email in entrata ed in uscita.
- Se hai dubbi su una email o sospetti dei collegamenti web, segnalalo immediatamente al tuo team di sicurezza. Possono verificare l'email e aprire eventuali collegamenti o siti sospetti in un ambiente sandbox. Ti diranno quindi se l'email è autentica.
- Rivedi le misure di mitigazione e assicurati che gli aggiornamenti di sistema avvengano periodicamente.
Gli attacchi di phishing possono avvenire tramite email, messaggi di testo, social media o telefonate. Con gli attacchi di phishing che diventano sempre più sofisticati e difficili da rilevare, è fondamentale rimanere vigili e informati per prevenirli. Il team di Ebury è qui per aiutare i nostri clienti ad adottare le migliori pratiche per proteggere le loro informazioni sensibili.
📩 Se hai bisogno di consigli su qualsiasi problema legato alle frodi, contattaci all'indirizzo fraud@ebury.com.
