search
Il media che reinventa l'impresa
Registrare un software

Come posso proteggermi dal phishing? Consigli e buone pratiche

Come posso proteggermi dal phishing? Consigli e buone pratiche

Da Jennifer Montérémal

Il 29 ottobre 2024

Come ci si può proteggere efficacemente dal phishing?

Poiché questo tipo di attacco può avere gravi conseguenze per le aziende, come la fuga di dati sensibili, ogni organizzazione deve fare il possibile per proteggersi.

Sebbene siano stati sviluppati software specifici a questo scopo, vedremo che il fattore umano, e quindi la consapevolezza, rimangono le armi migliori per proteggersi da questi attacchi malevoli.

Ecco perché è necessario essere particolarmente vigili, porsi le domande giuste quando si riceve un'e-mail e adottare buone pratiche.

Diamo un'occhiata più da vicino.

Che cos'è il phishing?

Definizione di phishing

Il phishing è uno degli attacchi informatici più comuni. Per descrivere questa tecnica si usano anche i termini francesi "hameçonnage" o "filoutage".

Cosa comporta esattamente?

L'hacker si appropria di un'identità, come quella di un ente pubblico o di una grande azienda, per inviare un'e-mail a suo nome e ottenere azioni specifiche dal destinatario.

Per ingannare il destinatario, il truffatore cerca di spacciarsi per un mittente affidabile (utilizzando, ad esempio, i loghi e la grafica del mittente). In questo modo, la vittima viene incoraggiata a :

  • cliccare su un link che rimanda a un falso sito ufficiale, un sito mirror ;
  • scaricare un allegato
  • rispondere direttamente all'e-mail, ecc.

Attraverso queste azioni, gli hacker hanno molteplici obiettivi:

  • ottenere dati personali, come coordinate bancarie o password;
  • estrarre denaro;
  • introdurre software dannoso nel sistema del destinatario dell'e-mail.

☝️ Questa tecnica di frode è senza dubbio una delle più diffuse sul web, poiché richiede pochissime abilità da parte del criminale informatico. Tutto ciò che deve fare è raccogliere i dati delle sue future vittime (operazione resa più semplice dalla crescente quantità di informazioni personali disponibili su Internet, sui social network, ecc.

Inoltre, il successo della truffa si basa molto sulla mancanza di vigilanza da parte degli utenti che, come vedremo, rimane il punto debole delle organizzazioni in termini di sicurezza informatica.

Impatto sulle aziende

La metà delle aziende francesi è stata vittima di attacchi di phishing negli ultimi due anni.

Enquête Sophos de 2019

Il phishing, come tutti gli attacchi informatici, è in aumento. Può colpire qualsiasi tipo di azienda, indipendentemente dalle dimensioni o dal settore di attività.

Inoltre, i tentativi di phishing sono sempre più mirati. Infatti, alcuni hacker si prendono il tempo necessario per conoscere meglio le loro future vittime, con l'obiettivo di inviare il messaggio più credibile possibile.

Le principali conseguenze per le organizzazioni sono

  • infiltrazione nella rete informatica
  • fuga di dati sensibili, come file di clienti, brevetti e informazioni bancarie
  • furto di identità, ecc.

Le ripercussioni del phishing possono essere disastrose, sia dal punto di vista finanziario che dell'immagine dell'azienda, che viene gravemente danneggiata.

Come si può prevenire il phishing?

Sensibilizzare e formare i dipendenti

Nell'80% dei casi, la causa degli attacchi informatici è l'azione di un utente sulla propria postazione di lavoro, spesso compiuta involontariamente.

AvantdeCliquer.com

La prevenzione rimane il modo migliore per proteggersi efficacemente dal phishing, perché un tentativo di phishing è spesso individuabile. Ma in un mondo in cui siamo sempre più sommersi dalle informazioni, a volte perdiamo di vista alcuni dettagli.

Ecco perché le aziende devono affrontare questo problema e comunicare attivamente con i propri dipendenti. Perché, ad esempio, non organizzare sessioni di formazione ?

Alcune organizzazioni hanno deciso di mettere alla prova i propri dipendenti . Inviando finte e-mail di phishing, identificano chi "abbocca", in modo da poter reagire di conseguenza e instillare pratiche migliori.

Farsi le domande giuste quando si riceve un'e-mail

Ponendosi le domande giuste e rimanendo attenti quando si riceve un'e-mail, si aumentano le possibilità di proteggersi dai tentativi di phishing .

Ecco i punti principali a cui prestare attenzione:

  • Il mittente : conosco questo mittente? Sono già stato contattato da lui in passato?

  • L'indirizzo di posta elettronica : un indirizzo di posta elettronica sospetto o che non sembra serio è un indizio negativo. In caso di dubbio, cercatelo su Google. Se è fraudolento, potrebbe essere già stato segnalato.

  • La natura dell'e-mail:
    • L'oggetto o il file menzionato nell'e-mail mi attrae?
    • Il tono del testo sembra appropriato? In generale, diffidate delle e-mail che cercano di farvi preoccupare, di mettervi sotto pressione o di mettervi in una situazione di emergenza.
    • Mi vengono chieste informazioni personali ? Dovete sapere, ad esempio, che una banca non vi chiederà mai di fornire informazioni sensibili via Internet.

  • La qualità del contenuto : il contenuto sembra conforme a quello che un mittente di questo tipo può inviare? In altre parole, verificate la presenza di errori di ortografia, di battitura e di altre formulazioni inappropriate, che sono fin troppo comuni in questo tipo di e-mail.

  • Link e allegati:
    • Verificate che gli URL dei link siano corretti, senza errori di ortografia. È possibile, ad esempio, digitare l'indirizzo nella barra degli indirizzi del browser per verificarne l'affidabilità.
    • Diffidate anche dei link brevi , perché non vi permettono di prevedere dove andrete a finire. 💡 Suggerimento: per verificare a quale pagina conduce un link breve, utilizzate strumenti online come Unshorten.It!
    • Chiedetevi se l'allegato è sospetto. Ad esempio, è diverso da quello visualizzato in chiaro? In breve, pensateci sempre due volte prima di cliccare su qualsiasi cosa contenuta in un'e-mail.

Adottare buone pratiche di sicurezza informatica

Ecco alcuni consigli per combinare la sicurezza informatica e la gestione delle e-mail aziendali:

  • Non inviate mai dati sensibili via e-mail , perché nessuna organizzazione o azienda degna di questo nome vi chiederà di farlo. Lo stesso vale per le richieste di invio di denaro (ad esempio per il pagamento delle spese di spedizione).

  • In caso di dubbio, verificate le informazioni direttamente sul sito web sicuro del mittente o su qualsiasi altro canale ufficiale .

  • Diffidate di offerte troppo allettanti (vincite alla lotteria, regali, ecc.).

  • Controllate sempre la sicurezza dei siti che visitate. Se sono affidabili, nella barra degli indirizzi del sito si trovano le seguenti indicazioni : "https://" e l'icona di un lucchetto.

  • Se non l'avete ancora fatto, attivate le protezioni anti-phishing disponibili nei vari browser.

  • Utilizzate la vostra e-mail di lavoro solo per questo scopo , e lo stesso vale per la vostra e-mail personale.

  • Evitate di utilizzare una rete Wi-Fi pubblica per le vostre operazioni di lavoro.

  • Infine, cancellate tutte le e-mail di phishing che vi arrivano nella casella di posta elettronica e non inoltratele ai vostri dipendenti (tranne che al reparto IT competente per l'intervento).

Utilizzare gli strumenti di protezione dal phishing

Sebbene un comportamento umano adeguato costituisca la migliore protezione contro il phishing, anche l'uso di alcuni software e strumenti è utile.

  • 🛠️ Software anti-phishing : Mailinblack, ad esempio, e la sua soluzione Mailinblack Protect, che rileva le e-mail fraudolente e vi protegge da esse. L'editore offre anche lo strumento educativo Phishing Coach per aiutare le aziende a identificare i comportamenti a rischio dei dipendenti e a implementare misure di sensibilizzazione tra i loro team.

  • 🛠️ Software antivirus . L'uso di un antivirus affidabile e aggiornato offre una migliore protezione contro le azioni dannose che seguono un tentativo di phishing riuscito (se avete inavvertitamente scaricato un allegato fraudolento, ad esempio).

  • 🛠️ Gestori di password . Si consiglia di utilizzare password uniche per accedere ai vari account, per garantire la protezione in caso di furto d'identità. Ma poiché il cervello umano non è in grado di ricordarle tutte, vi suggeriamo di optare per un gestore di password sicuro.

Segnalare i tentativi di phishing

Infine, vi consigliamo di segnalare qualsiasi tentativo di phishing:

  • nella vostra casella di posta elettronica , utilizzando le famose schede "posta indesiderata" e "tentativi di phishing". Questo vi proteggerà da attacchi futuri;
  • su Signal Spam e/o internet-signalement.gouv.fr . In questo modo, aiutate le autorità ad agire e contribuite a rendere Internet più sicuro.

☝️ Al lavoro, mettetevi in contatto con il vostro reparto IT in modo che possa reagire rapidamente per evitare che altri dipendenti meno esperti abbocchino all'amo.

Cosa succede se siete stati vittima di un phishing?

Vi siete accorti troppo tardi di essere stati vittima di phishing? Ecco alcune cose che potete fare rapidamente:

  1. Per prima cosa, segnalate rapidamente la frode al reparto IT della vostra azienda;
  2. Cambiate tutte le vostre password , per evitare che l'hacker possa accedere alle vostre informazioni utilizzando gli identificativi ottenuti;
  3. Contattare le organizzazioni competenti . Se, ad esempio, avete rivelato i vostri dati bancari , contattate immediatamente la vostra banca;
  4. sporgere denuncia alla polizia.

Articolo tradotto dal francese