L’aumento delle piattaforme social, dei portali di beni e servizi e di qualsiasi altra funzionalità che soddisfi le nostre esigenze, da una parte ha semplificato la vita a persone e aziende, ma dall’altra ha moltiplicato le modalità di esposizione dei nostri dati online facendo aumentare esponenzialmente le possibilità che questi vengano rubati.
Durante la pandemia ad esempio, con l’aumentare della necessità di comunicare ed accedere a risorse da remoto, il furto di dati è cresciuto vertiginosamente
I cyber attacchi nelle aziende sono la preoccupazione quoidiana dei Cybersecurity Manager, vere e proprie trappole in cui chiunque può cadere e che sono tese allo scopo di carpire dati, distruggerli o modificarli, spesso con l’intento ultimo di trarre un vantaggio economico ai danni della vittima.
Per questo è necessario conoscere le insidie delle tipologie più comuni di cyber attacchi. Qui tratteremo i più diffusi, come il phishing e le sue varianti, ovvero lo smishing e il vishing.
Phishing
Il phishing – traducibile dall’inglese come una derivazione di fishing ovvero pescare, andare a pesca – è una delle tecniche più diffuse di truffa via email.
Spesso il phishing si confonde con lo spam ma in realtà le comunicazioni che contengono un tentativo di truffa simile, non hanno come scopo la pubblicità molesta, ma mirano a ottenere dati sensibili, come ad esempio le credenziali di accesso e i numeri di carta di credito.
In sostanza, all’indirizzo email del malcapitato arriva una email contraffatta molto simile per logo e design all’immagine dell’originale, inviata magari dalla banca, dalla compagnia di assicurazione, dal nostro fornitore di energia elettrica per esempio, con la richiesta di aggiornare i nostri dati personali contenuti nei loro archivi a causa di un fantomatico problema tecnico non ben precisato.
I malintenzionati pertanto, possono agire replicando un sito web affidabile o inviandoti un messaggio apparentemente proveniente da una fonte attendibile. I messaggi di phishing possono provenire da account falsi o hackerati.
Un messaggio di phishing potrebbe richiederti di svolgere le seguenti attività:
- visitare un link;
- scaricare un file;
- aprire un allegato;
- fornire dati personali o i codici di autenticazione in due passaggi.
Se effettui una di queste azioni, un malware, ovvero un software malevolo come worm, trojan, bot e virus, potrebbe infettare il tuo computer o dispositivo mobile. Una volta infettato il tuo dispositivo, l’utente malintenzionato può accedere ai tuoi dati personali.
Gli esperti che studiano le frodi creditizie affermano che le tecniche di phishing si stanno evolvendo sempre di più, così come le sue varianti lo smishing e il vishing. Vediamole più in dettaglio.
Smishing
A differenza delle campagne di spam via e-mail, lo smishing (dall’unione di «SMS» e «phishing») utilizza i messaggi di testo e gli SMS sui telefonini al fine di attirare le vittime nella trappola ed estorcere, come nel caso del phishing, giacché l’obiettivo è il medesimo, informazioni personali, numeri di carte di credito a altri dati riservati.
La sempre maggiore diffusione degli smartphone ha spinto i criminali informatici a individuarli come possibili target dei loro attacchi. I dispositivi mobile, infatti, vengono sempre più spesso utilizzati per memorizzare dati personali sensibili e riservati, come ad esempio i codici di accesso all’home banking e via dicendo.
Analogamente all’email ricevuta nel caso di attacco phishing, la vittima collegandosi al link indicato nell’SMS malevolo si trova di fronte ad un sito web che richiama in tutto e per tutto la grafica di famosi portali commerciali, di operatori telefonici o di istituti di credito o assicurativi. Al link di riferimento è associato spesso un form on-line da compilare il cui scopo resta, ancora una volta, carpire quante più informazioni personali possibili.
Vishing
Come il phishing classico, il voice phishing (dall’unione di «voice» e «phishing») è sempre finalizzato a rubare i dati sensibili, ma avviene attraverso una telefonata anziché tramite posta elettronica.
Nel vishing le vittime vengono indotte verbalmente, di solito per telefono, a compiere azioni che ritengono essere nel loro interesse.
I tentativi di vishing sono spesso difficili da individuare. Chi chiama può, ad esempio, falsificare a piacimento il numero di telefono visualizzato («spoofing»). Ciò rende difficile identificare l’interlocutore se, ad esempio, il numero è conosciuto o attendibile. Le vittime spesso si rendono conto che la persona all’altro capo del filo è un truffatore solo dopo aver rivelato i propri dati di accesso.
Nel voice phishing i criminali si spacciano per qualcuno in cui si suppone che la vittima designata riponga fiducia (per esempio un dipendente bancario o assicurativo) e si comportano come se sapessero molte cose dell’azienda oggetto di vishing, colpendo i trigger emotivi di chi ha risposto alla chiamata e spesso scatenando in questa persona sensazioni negative.
Come evitare le truffe di phishing e smishing
Per quanto riguarda gli attacchi di phishing e smishing, quando riceviamo una email o un SMS, la comunicazione ricevuta può sembrarci reale e affidabile, ma è sempre buona norma:
- esaminare attentamente i messaggi ricevuti su tutti i canali di comunicazione;
- controllare il numero di telefono: se ricevi un SMS sospetto da un numero di poche cifre, significa che il messaggio è stato inviato da un’email automatica e potrebbe trattarsi di una truffa. Presta attenzione quando ricevi un SMS con link che potrebbero essere di phishing, poiché rischiano di infettare il tuo dispositivo mobile;
- controllare il nome del dominio: spesso i criminali informatici sono in grado di imitare un indirizzo email e fare in modo che a prima vista sembri praticamente identico a quello di un mittente legittimo. Controlla che il nome di dominio corrisponda a quello che ti aspetteresti di vedere per quel mittente;
- diffidare comunque dei link in essa contenuti: ipotizziamo che il mittente della comunicazione sembri essere l’istituto bancario della tua azienda. Anziché cliccare sul link inserito nel testo dell’email sospetta e invece di copiarlo e incollarlo in una nuova finestra di navigazione, usa Google digitando l’indirizzo web della banca, già noto, senza URL ombrosi;
- verificare che il sito in cui inserisci i dati li trasmetta con protocollo cifrato;
- non inviare il tuo numero di telefono in risposta a email, sms o direct sibillini sui social;
- non accettare richieste di autenticazione (MFA) a più fattori senza controllarle: se ricevi una richiesta MFA senza aver cercato di accedere a un’applicazione o sito web che prevede questa verifica, ti consigliamo di ignorarla o rifiutare la richiesta e modificare immediatamente la tua password per prevenire ulteriori tentativi di accesso illecito al tuo account;
- cambiare le password con regolarità: meglio utilizzare un gestore di password per generare e memorizzare password univoche e complesse;
- dotare la tua azienda della tecnologia adeguata a garantire un grado di protezione sufficiente.
Come evitare le truffe di vishing
Per quanto riguarda il vishing, esistono alcune semplici accortezze che possono aiutare a riconoscere il reale intento di chi si trova dall’altra parte della cornetta ed evitare grossi problemi al tuo business come ai tuoi clienti, che ne pagherebbero come te le conseguenze:
- interrompi immediatamente le telefonate sospette;
- non fornire mai per telefono informazioni sensibili come dati della carta di credito o password;
- non aprire nessun sito web e non installare nessun programma nemmeno se il tuo interlocutore è insistente;
- non aprire nessun allegato o link contenuto in e-mail ricevute da chi chiama (né prima, né durante e nemmeno dopo la telefonata);
- non dare mai l’accesso al vostro computer da remoto, meno che tu non conosca personalmente l’interlocutore;
- non rispondere a telefonate da parte di numeri sconosciuti o anonimi;
- richiama l’interlocutore, facendoti quindi fornire un numero di telefono identificabile. Ad esempio difficilmente un collega chiamerebbe da un numero di telefono ubicato in una nazione estera o con un prefisso sospetto;
- segui un approccio zero trust: nessun nome, autorità, o posizione gerarchica può essere considerata attendibile previa adeguata verifica; Purtroppo infatti molte volte il successo dell’attacco scaturisce da un desiderio reale di cortesia o di subordinazione da parte della vittima.
Cosa fare se vittima di una truffa?
Riconoscere di essere stati vittima di un attacco non è sempre immediato, ad esempio potrebbe volerci un po’ prima di capire che il link contenuto in un messaggio abbia scaricato ed inserito un malware, oppure che la pagina per il reset password in realtà non si aggiorna.
In base alla tipologia di phishing subìto ci si può comportare di conseguenza, ecco alcune azioni consigliate da mettere in pratica:
- cambia tutte le password compromesse. Se la password compromessa dovesse essere stata riutilizzata anche per altri account, procedere con il reset anche di account non direttamente connessi con l’attacco;
- disconnetti il dispositivo dalla rete aziendale, di casa e da internet, qualora l’attacco abbia eseguito programmi non previsti che, nella peggiore delle ipotesi, iniziano a cifrare tutti i file presenti sul dispositivo;
- esegui scansioni anti-malware;
- verifica le movimentazioni di denaro qualora l’account compromesso sia di tipo bancario e chiama il numero verde per bloccare carte e movimentazioni di denaro se sono presenti transazioni non autorizzate;
- se l’attacco è stato distribuito all’interno di un’azienda, verifica eventuali tracciamenti dei sistemi antispam al fine di capire per quale motivo la mail di phishing è passata.
Conclusioni
I cyber attacchi sono sempre più frequenti e subdoli. Essi sono pericolosi per le persone fisiche, ma ancora di più lo sono per le aziende, poiché in gioco ci sono spesso anche i dati dei clienti oltre ai propri.
Gli attacchi phishing non sono da sottovalutare data la semplicità di realizzazione e l’elevata quantità di danni che possono realizzare. Per questo, è fondamentale informarsi costantemente sulle metodologie di phishing – consultando siti governativi e di informazione pubblica che si aggiornano costantemente – ed effettuare attività di awareness verso gli utenti in contesti aziendali.
Va tenuto a mente che in un’azienda il rischio di un attacco di questo genere aumenta in maniera direttamente proporzionale al numero di dipendenti e di device connessi alla rete: ognuno di loro può potenzialmente ricevere una delle comunicazioni indicate in questo articolo e aprire inavvertitamente la porta ai criminali informatici.
Gli attacchi di phishing, con con le sue varianti, rappresentano solo una parte degli attacchi informatici ai quali aziende e cittadini privati sono esposti, è importante quindi essere sempre aggiornati e preparati, affidandosi a esperti di cyber security che possano svolgere un assessment dei rischi che corre la tua azienda e consigliarti soluzioni per prevenire intrusioni nella rete e mantenere il controllo sulla tua infrastruttura.