Vai direttamente ai contenuti
Anche se non sei molto interessato alla sicurezza informatica e non sei particolarmente esperto di tecnologia, probabilmente hai sentito parlare del termine phishingMa sai come funziona e quali sono le forme più comuni di phishing?
Si stima che ogni giorno vengano inviate circa 15 miliardi di email di spamPiù preoccupante, in media, un'e-mail su 99 è un attacco di phishing, il che significa che il tasso di attacco complessivo è di poco superiore all'1%
Inoltre, circa il 90% di tutte le violazioni si verifica a causa del phishingTutti questi numeri parlano di quanto sia importante sapere come funziona il phishing e quali sono le migliori pratiche di protezione contro di esso
In questa pagina dettagliata, esamineremo varie forme di phishing, le differenze tra loro e condivideremo con te esempi di e-mail di phishing per aiutarti a capire tutto ciò che devi sapere su questa minaccia alla sicurezza informatica
Contenuto
Che cos'è il phishing tramite posta elettronica?
Whaling vs Spear Phishing vs Phishing
Esempi di attacchi di phishing
Come fermare un attacco di phishing?
Proteggerti dal phishing senza indugio
Cosa significa phishing?
Il primo passo per proteggersi dal phishing è capire cos'è e come funzionaQuindi, qual è il significato di phishing e come si ottiene il phishing? In termini semplici, il phishing è una forma di attacco di ingegneria sociale che gli aggressori utilizzano per rubare i tuoi dati personali
Nella sua essenza, il phishing è una forma di attacco molto semplicisticaRiguarda l'inganno della vittima bersaglio impersonando una fonte affidabileFidandosi del mittente, la vittima inconsapevolmente infetta il proprio dispositivo con malware, blocca il proprio sistema o condivide informazioni sensibili che non rivelerebbe a estranei
A seconda della gravità dell'attacco di phishing, potrebbero esserci conseguenze molto gravi per la vittimaL'obiettivo potrebbe subire un furto di identità o perdere tutti i propri soldiQuando si tratta di chi sono gli obiettivi, chiunque può cadere vittima di un simile attaccoInoltre, il phishing non colpisce solo le personeÈ anche un evento comune nel mondo degli affari
Che cos'è il phishing via e-mail?
La maggior parte degli attacchi di phishing viene effettuata tramite e-mail, quindi è fondamentale evidenziare questo metodo per aiutarti a riconoscerloIl processo è abbastanza sempliceLe tecniche di phishing via e-mail coinvolgono gli aggressori che registrano domini falsi e creano credenziali false che assomigliano a quelle provenienti da fonti legittime
Ad esempio, potresti ricevere un'e-mail che impersona l'addetto all'assistenza della tua banca o un rappresentante che ti invita a cambiare la tua password, fare clic su un collegamento per compilare alcune informazioni o semplicemente scaricare alcuni allegati con gli ultimi aggiornamenti
Molte persone ignare presumono che, solo perché l'email sembra provenire da un indirizzo riconoscibile, sia sicuro interagire conTuttavia, per evitare di essere oggetto di phishing tramite un collegamento o un allegato e-mail, assicurati sempre di ricontrollare l'indirizzo e-mail del mittente e accertarti che l'e-mail sia autentica
Esempio di attacco di phishing
Sebbene questo esempio di phishing sia il più comune che colpisce gli utenti online, esistono molti altri tipi di phishing di cui dovresti essere a conoscenzaPer aiutarti a riconoscere altri tipi prevalenti di phishing, evidenziamoli rapidamente:
- Smishing: questa forma di phishing sostituisce la comunicazione via e-mail con gli SMSCoinvolge gli aggressori informatici che inviano alla vittima un messaggio simile con un collegamento o un allegato, esortandoli a fare clic sul contenuto dell'SMS
- Vishing: come la precedente forma di phishing, include il targeting del telefono della vittima, ma questa volta tramite un messaggio vocaleGli aggressori lasciano messaggi vocali cercando di indurre la vittima a rivelare preziose informazioni personali o finanziarie
- Angler Phishing - L'angler phishing è diventato sempre più diffuso nell'era odierna dei social mediaGli aggressori si travestono da rappresentanti dell'azienda o agenti del servizio clienti per ottenere informazioni personali, credenziali dell'account o altri dati di altri utenti di social media
Cos'è lo Spear Phishing?
Lo spear phishing è un tipo di phishing più sofisticatoA differenza del normale phishing, che di solito lancia una rete più ampia nella speranza di catturare una vittima, lo spear phishing è molto più miratoQuindi, nel contesto di spear phishing vs phishing, quest'ultimo si concentra maggiormente sulla quantitàMentre gli attacchi di phishing spesso interagiscono con migliaia di destinatari, gli attacchi di spear phishing non si avvicinano neanche lontanamente a questo numero
Invece, gli attacchi di spear phishing prendono di mira te come individuoPrima di inviarti un'e-mail di spear phishing, gli aggressori si dedicano all'ingegneria sociale, cercando di scovare quante più informazioni possibili su di te per far sembrare che ti conoscano
Con questo in mente, gli attacchi di spear phishing hanno spesso come obiettivo un obiettivo molto specificoMolto spesso, si presentano come qualcuno della tua vita lavorativa o personale, chiedendoti di inviare loro denaro e inoltrandoti istruzioni di cablaggio apparentemente autentiche
Whaling vs Spear Phishing vs Phishing
Oltre allo spear phishing, esiste un tipo di attacco ancora più mirato, chiamato caccia alle baleneQuesta forma di phishing prende di mira solo amministratori delegati e dipendenti ad alti livelli nel mondo aziendaleGli attacchi di caccia alle balene spesso richiedono agli aggressori di effettuare ricerche approfondite e preparazione al fine di personalizzare l'e-mail di phishing per avere le migliori possibilità di successo
In breve, gli attacchi di caccia alle balene funzionano in modo identico a quelli normali di phishing, solo con un pretesto più specificoAd esempio, gli aggressori informatici impersonano il capo o il collega di un dipendente e di solito chiedono un favore o forniscono loro una sorta di opportunità che li indurrà a interagire con l'e-mail dannosa
Esempio di attacco di phishing
Esempi di attacchi di phishing
Poiché il phishing è la minaccia alla sicurezza più comune nel mondo online, esistono innumerevoli esempi di attacchi di phishingTanto che anche alcune delle più grandi aziende del mondo non sono impermeabili a tali minacceCon questo in mente, vogliamo condividere due noti attacchi di phishing che si sono verificati negli ultimi anni
Proprio quest'anno c'è stato un attacco agli account Microsoft 365 basato su tattiche AITM (Adversary-in-the-Middle)L'attacco è stato così ben mirato che ha funzionato anche sugli account di posta elettronica degli utenti con MFA abilitato
Esempio di attacco di phishing
Ma questo non è stato l'unico grande attacco di phishing riuscito nel 2022Anche la rinomata azienda statunitense Cloudflare ha subito un attacco di phishing quando i suoi dipendenti sono stati indotti a inserire le proprie credenziali di lavoro su un sito di phishingIn meno di un minuto, almeno 76 dipendenti di Cloudflare hanno ricevuto un messaggio di phishing, e molti di loro sono rimasti vittime dello stratagemma
Esempio di attacco di phishing
Come fermare un attacco di phishing?
Fermare un attacco di phishing è impegnativo, poiché la maggior parte delle persone nota cosa sta succedendo solo quando è troppo tardiTuttavia, esistono alcuni metodi di prevenzione che puoi utilizzare per assicurarti di non cadere vittima di un attacco di phishingEcco quattro migliori consigli su come prevenire un attacco di phishing:
- Verifica sempre prima di fare clic: questo semplice suggerimento è molto efficace per aiutarti a evitare le truffe di phishingPensa sempre prima di fare clic su un collegamento o un allegato ed evita di fare clic su qualcosa di cui non sei sicuro al 100%.
- Mantieni private le tue informazioni: non rivelare le tue informazioni private a meno che non sia necessarioAnche quando desideri accedere o acquistare qualcosa online, non farlo tramite e-mail o collegamenti SMSVai direttamente al sito di origine
- Mantieni tutto aggiornato - i browser e i programmi antivirus tradizionali pubblicano regolarmente patch per affrontare nuovi rischi per la sicurezza, quindi assicurati di non ritardare gli aggiornamenti quando richiesto
- Usa un token di sicurezza: i token di sicurezza che soddisfano gli standard FIDO U2F/FIDO2 sono forse il modo migliore per proteggersi dal phishingRiconoscono automaticamente il dominio originale ed eliminano la necessità di digitare manualmente le password
Proteggerti dal phishing senza indugio
Nel 2017, Google ha implementato un nuovo requisito che neutralizzava completamente gli attacchi di phishing ai propri dipendentiCon circa 140.000 dipendenti, Google non ha subito attacchi di phishing dal 2017Potrebbe sembrare un miracolo logistico, ma in realtà è stato realizzato con una semplice modifica
Nel 2017, tutti i dipendenti di Google hanno dovuto smettere di utilizzare le password per accedereAnche l'uso di codici monouso era proibitoInvece, ogni dipendente di Google ha dovuto iniziare a utilizzare codici di sicurezza fisica per accedere ai propri account
Un portavoce di Google ha affermato che i token di sicurezza ora costituiscono la base di tutti gli accessi agli account di Google"Non abbiamo avuto alcuna violazione di account segnalata o confermata da quando abbiamo implementato i token di sicurezza in Google", ha affermato il portavoce "Agli utenti potrebbe essere chiesto di autenticarsi utilizzando la loro chiave di sicurezza per molte app/motivi diversiTutto dipende dalla sensibilità dell'app e dal rischio dell'utente in quel momento”
Naturalmente, questi vantaggi e funzionalità di sicurezza non sono riservati solo alle grandi aziende tecnologiche e alle organizzazioni con budget enormiTutti possono ottenere software anti-phishing gratuitamente o a un costo minimo e proteggersi dai pericoli degli attacchi di phishing
In Hideez, abbiamo creato una chiave di sicurezza universale economica che è abbastanza robusta e affidabile da proteggere da una varietà di attacchiIl nostro Hideez Key 4 può proteggerti da attacchi di phishing, attacchi MITM, spoofing e qualsiasi altro tipo di minaccia relativa alle password
La cosa migliore è che non va in bancarotta, quindi è una soluzione accessibile per le piccole imprese e i singoli utentiPer soli $ 49, otterrai una soluzione di sicurezza completa, che combina componenti hardware e softwareCiò include un gestore di password hardware con una funzione di compilazione automatica, un generatore di password complesse, una chiave di sicurezza che supporta gli standard FIDO/U2F e un portachiavi RFID
Conoscendo le numerose minacce alla sicurezza informatica che esistono nel panorama odierno, non dovresti lasciare la tua sicurezza al casoContattaci subito per richiedere una prova gratuita per le aziende!
