Definizione e attuazione della pratica
Il termine ‘Phishing’ deriva dal verbo inglese ‘To fish’ (Pescare), si tratta di una pratica illegale appartenente al mondo informatico con il solo scopo di trafugare dati sensibili della vittima in questione.
La modalità può variare ma il metodo dell’email fasulla resta quello più semplice e, allo stesso tempo, il più efficace, per i black hat: il malcapitato riceve una comunicazione sulla propria casella di posta elettronica apparentemente reale da parte di una persona vicina alla propria cerchia familiare o lavorativa; il messaggio veicola informazioni spesso contenenti delle richieste e delle azioni da svolgere in tempi brevi.
Qualora l’utente dovesse cliccare sul link in allegato, inserendo le proprie credenziali, le informazioni da lui immesse finirebbero nelle mani degli hacker che potrebbero di conseguenza rivenderle a terzi, accedere a conti bancari della persona truffata o rubarne l’identità digitale.
Riconoscere la truffa e combatterla
Fortunatamente, si può ricorrere a degli accorgimenti che possono permettere ad un utente di riconoscere e successivamente sventare un attacco di phishing: quando ci si trova difronte ad una email sospetta bisogna analizzare il lessico del contenuto, nella maggior parte dei casi ci saranno errori grammaticali; molto spesso il messaggio di testo fa leva su delle presunte urgenze, si chiede, infatti, all’utente di verificare il proprio conto online o il proprio indirizzo email inserendo i dati richiesti.
Il fattore di maggiore rilievo per distinguere un attacco di phishing da una vera email si basa sul confronto dell’URL: questi attacchi utilizzano link simili a quelli dei siti originali, gli hacker tendono semplicemente a replicare il sito principale ma non possono nascondere la stringa di testo del link che cambia per ogni indirizzo web, in questo modo l’utente riuscirebbe a sventare la possibile truffa.
Il Phishing nel mondo automobilistico
Anche le aziende automobilistiche non sono esenti da questi tipi di attacchi che stanno diventando sempre più frequenti. Recentemente è stato diffuso un attacco secondo cui si chiede agli utenti di effettuare la visura della propria automobile a pagamento, tramite un link presente nella mail di phishing che indirizza al sito controllato dai truffatori che andrebbero successivamente a rubare i dati della carta di credito inserita.
Sono da cestinare anche quelle mail in cui il mittente promette di regalare senza un motivo apparente un automobile in cambio dei dati del destinatario, utilizzando la procedura già ampiamente spiegata nei paragrafi precedenti, con il solo obiettivo di lucro.
Educare i dipendenti: simulare un attacco phishing
A causa dell’espansione a macchia d’olio di questa pratica le aziende sono corse ai ripari ed hanno dato il via ad alcune simulazioni per educare i propri dipendenti.
In primis si pianifica il test, affinché sia efficace: ci sono ovviamente degli step da seguire per arrivare ad ottenere dei risultati.
- La prima azione da compiere prevede la creazione di una campagna con la costruzione di una serie di siti web e delle email di default da inviare ai dipendenti
- Gli utenti devono essere, obbligatoriamente, divisi in base al ruolo svolto nell’azienda di riferimento
- Successivamente, dopo averli inclusi nella campagna, gli organizzatori impostano i parametri di valutazione per verificare l’eventuale riuscita della simulazione: quali il numero di dipendenti che cliccheranno sull’email in questione e quelli che la riconosceranno segnalandola.
- Analizzando, infine, i risultati ottenuti tramite appositi software sarà possibile riconoscere i reparti da educare al fine di azzerare l’esposizione aziendale alla pratica del phishing.
Omegatech è specializzata nella realizzazione di soluzioni tecniche e strategiche per la cyber sicurezza. Non rischiare, richiedi il modulo di servizio ICT Disaster Recovery Support Specialist.
Per approfondire l’argomento, scoprire la nostra filosofia operativa e metterci in contatto, puoi compilare il seguente form.