Phishing: Un rischio per te e per la tua azienda. Come affrontarlo?
Indice dei contenuti
"HAI VINTO!" Chi di noi non ha mai ricevuto nella propria casella e-mail - personale, ma anche di lavoro - un messaggio che inizia con queste parole? Che cosa avremmo vinto e, soprattutto, in che modo non si sa ma intanto "CLICCA QUI" e "SCOPRI DI PIÚ". Queste particolari mail di spam rientrano nelle truffe phishing, una diffusa truffa informatica.
Innanzitutto: che cos'è il phishing?
L'obiettivo del phishing è banale: spillarci informazioni e/o soldi. Tramite mail o altre tipologie di comunicazioni (ad esempio, via SMS), chi utilizza tecniche di phishing induce l'utente a cliccare su URL maligne. Queste URL spesso rappresentano delle repliche di siti affidabili (Enti bancari, Poste, Amazon, ecc.) che, dietro la facciata apparentemente affidabile, nascondono una struttura maligna, volta ad imbrogliarci.
Ma come agiscono i phisher?
Una tipica mail di un "pescatore" informatico
Questo truffatore informatico può essere visto come una sorta di "pescatore". In inglese, il termine phisher allude proprio al fatto che questi individui provano a lanciare numerose esche, in attesa che l'utente "abbocchi" (bait). Ma quale processo mette in atto il phisher?
Il meccanismo è piuttosto semplice, sulla carta. Vediamo un esempio assieme:
Riceviamo una mail o un SMS in cui ci viene detto che il pacco che stavamo aspettando è rimasto bloccato. "Ma io non sto aspettando nulla", sarà il pensiero di molti di noi. E, per capirci qualcosa di più, clicchiamo avventatamente sul link incluso nel messaggio: è iniziata la pesca.
Il link ci fa atterrare su un sito che, apparentemente, replica quello di uno dei servizi di consegna (ad esempio, le Poste o UPS). Se leggiamo la URL del sito, potremmo notare che il sito non riporta il nome del brand o, comunque, che è molto strana. Ad esempio, la URL non riporta il classico "Poste" ma "psote" e non si chiude con ".it" ma con ".xyz", due segnali che ci troviamo su un sito maligno.
Il sito ci richiede di inserire le credenziali di accesso e alcuni codici della, in modo da poter ricevere le indicazioni su come ritirare il pacco. Noi le inseriamo e...ecco che abbiamo letteralmente regalato le nostre informazioni personali ai malintenzionati. In altri casi, potrebbe essere richiesto di pagare pochi euro in modo da sbloccare la situazione e permettere la consegna. Anche in questo caso, non stiamo solo pagando pochi euro ma stiamo offrendo il numero della carta di credito e altri dati delicati: abbiamo abboccato al pescatore/truffatore e non ci resta che bloccare conto e carta.
Come difendersi dal phishing?
Da questa truffa ci si può difendere in modo piuttosto semplice: aprendo gli occhi e restando in campana. Ogniqualvolta riceviamo richieste quali condivisione di codici o di credenziali via mail, possiamo starne certi: quello è phishing e ci stano cercando di fare abboccare.
Enti come banche e Poste non chiederanno mai codici privati via mail e nemmeno via telefono e, in caso di smarrimento, esistono dei sistemi di recupero completamente automatizzati.
Oltre a questo è molto importante controllare con una certa frequenza i movimenti sul nostro conto, in modo da poter intervenire tempestivamente, nel caso qualcosa non ci tornasse.
Cosa è successo nell'ultimo anno?
Il phishing è una tecnica che può toccare vette molto raffinate. Nota Securelist che, nel secondo quadrimestre del 2021, sono aumentati gli attacchi alle mail aziendali in cui si simulano incontri su Teams o condivisione di file. Altro target dell'ultimo periodo sono i negozi online e i portali Internet, ma anche semplici utenti che venivano indotti a credere di aver ricevuto delle compensazioni monetarie per Covid-19.
In questo senso, è utile ricordare che la pandemia sanitaria ha permesso di far proliferare anche i virus e i malware, un altro segnale di come la sicurezza informatica dovrebbe essere al centro delle preoccupazioni degli utenti e delle aziende.
Assicurazione Cyber Risk Professionale: proteggiti dal phishing e da altri attacchi informatici
Come abbiamo sottolineato nel precedente paragrafo, le vittime degli attacchi informatici non sono solo i singoli ma anche le aziende stesse e, se le truffe phishing stile "principe nigeriano" sono sempre più riconosciute come tali, non altrettanto si può dire da situazioni più sottili e insidiose come riunioni false su Teams o su Zoom.
Per far fronte alle minacce sempre più raffinate dei criminali informatici, esiste una soluzione assicurativa pensata appositamente per le aziende e i professionisti: l'Assicurazione Cyber Risk.
Questo particolare prodotto informatico, modulabile secondo le esigenze dell'azienda, rappresenta un importante supporto e compendio alle attività di cybersecurity.
Ecco di seguito alcuni prodotti assicurativi contro il Cyber Risk che puoi valutare per una protezione maggiore della tua azienda. Ne conosci altri? La tua azienda è protetta contro il Cyber Risk? Scrivicelo nei commenti!
Comments