Il Phishing costituisce la macroarea di tattiche molto più sofisticate che sempre più hacker stanno introducendo per riuscire a trafugare dati e informazioni personali di ogni genere. Si definiscono social engineering (ingegneria sociale) e sono a metà tra psicologia e ingegneria.
La social engineering è una manipolazione psicologica che induce chi ne è vittima a comportarsi in una determinata maniera o rivelare informazioni personali senza rendersene realmente conto. Si tratta di attività molto più articolate dei normali malware ma può portare a risultati molto più fruttuosi, in termini di acquisizione di notizie personali
Il phishing e si sta diffondendo sempre di più a macchia d’olio.
Cerchiamo di essere più specifici: la dimensione del mercato globale del phishing nel 2017 era di circa 840 milioni di dollari.
Si tratta di un metodo che viene spesso usato da cybercriminali che, sfruttando i mezzi digitali, si spacciano per soggetti affidabili per indurre altri utenti a divulgare dati confidenziali, personali e/o bancari rilevanti. Solitamente al proprietario dell’indirizzo e-mail viene richiesto l’invio o l’aggiornamento di dati personali specifici, presentando motivazioni di diverso tipo, come per esempio la perdita di alcuni dati o un attacco al sistema informatico che potrebbero compromettere la privacy dell’utente.
Spesso le e-mail fasulle riproducono in maniera molto accurata e verosimile l’impostazione e parte dei contenuti presenti nelle e-mail inviate dai soggetti per cui si spacciano (come per esempio banche ma anche aziende come Amazon, Aruba o Paypal).
Tendenzialmente la pratica di phishing viene associata all’invio di e-mail, ma in realtà questo tipo di frode online può essere effettuata tramite anche altri tipi di comunicazione digitale come per esempio gli SMS (smishing).
Le nostre soluzioni adottano una simulazione di attacco e consentono di affrontare questo fenomeno di phishing con un test del fattore umano che garantisce un'efficace attività di formazione e consapevolezza.
Come difendersi?
Anche se non ci sono delle pratiche anti-phishing totalmente infallibili, è possibile imparare a riconoscere messaggi o e-mail di questo tipo ed effettuare delle segnalazioni. Un potenziale segnale di pericolo potrebbe essere la richiesta di invio di dati sensibili o confidenziali tramite e-mail. Questi dati non vengono di solito chiesti dalle aziende tramite posta elettronica proprio per evitare il loro “furto”: aggiornamenti o cambiamenti di password o di altri dati rilevanti vengono effettuati in maniera (tendenzialmente più) sicura sul sito delle aziende, una volta effettuato il login.
In caso di dubbio, comunque, l’ideale è sempre contattare l’azienda o l’istituzione in questione, per chiarimenti. A questo proposito, è importante ricordare di non rispondere mai ad una e-mail o a un numero di telefono estrapolato dal messaggio potenzialmente fasullo, cercando sempre una e-mail o un contatto già utilizzati in precedenza per comunicare con l’ente in questione.
Tuttavia, come detto in precedenza, il punto cruciale è la formazione.
Come può un'azienda formare il suo personale in modo efficiente?
Al fine di generare consapevolezza in questo senso ed evitare future minacce di phishing, un attacco di simulazione di phishing è fondamentale.