Suggerimenti contro gli attacchi di phishing mirati
Le attuali ondate di phishing lo dimostrano: i criminali informatici sono creativi. Ora, ad esempio, bisogna anche fare attenzione ai messaggi di testo di phishing. Alcune raccomandazioni per l'azione.
Ancora una volta, la definizione breve di phishing: i cybercriminali ingannano la vittima per farle rivelare qualcosa per via elettronica (che in realtà non appartiene a mani estranee). Anche se, dopo un'intensa attività di formazione, molti utenti riconoscono gli attacchi di phishing più evidenti, questo tipo di crimine informatico rimane ancora un fastidioso flagello. Questo perché anche gli attacchi di phishing si sono evoluti. Oggi il phishing mirato, il cosiddetto spear phishing, è considerato lo standard criminale. Gli aggressori si impegnano molto in ogni singola e-mail per farla sembrare il più possibile autentica e credibile.
Sophos ha individuato consigli efficaci per utenti e IT su come affrontare le e-mail di phishing.
Raccomandazioni di intervento per ogni utente
- Non fatevi influenzare: Anche una persona sconosciuta può presentarsi senza sforzo come un "insider". Un amico di un amico, un ex collega, ecc. Con una combinazione di informazioni raccolte (da precedenti furti di dati, profili di social media e vecchie e-mail, sia come destinatario che come mittente), anche un criminale senza grandi risorse finanziarie e conoscenze tecniche riesce a sembrare più credibile di qualsiasi e-mail "Gentile cliente".
- Il termine "urgente" dovrebbe insospettirvi: Gran parte delle truffe via e-mail funzionano perché i criminali ottengono la fiducia della vittima o si presentano come un'autorità (ad esempio, un superiore). Il "compito urgente da svolgere" è spesso combinato con l'adulazione. "Riservato" e "destinato solo al destinatario" isolano ulteriormente la vittima. Tale riservatezza dovrebbe essere classificata come sospetta.
- Non fidatevi dei dettagli del trasmettitore di e-mail: Si potrebbe avere l'impressione errata che i truffatori facciano di tutto per non incoraggiare la vittima a controllarli. A volte, però, è vero il contrario, ovvero che i clienti fanno attivamente pressione per ottenere un richiamo o una risposta, come parte della truffa. Ma questo dà loro esattamente l'opportunità di convincere la vittima con le loro bugie e di farla cadere nella loro trappola.
- Non seguite mai le istruzioni contenute in un'e-mail: Uno stratagemma comune dei truffatori di phishing è quello di nascondere contenuti dannosi. Le macro, software che rubano i dati, ne sono un esempio. L'e-mail, apparentemente innocua, è preceduta da istruzioni su come visualizzarla "correttamente" modificando varie impostazioni. Di norma, queste istruzioni sono abbastanza plausibili, ma i truffatori attirano così abilmente il destinatario da compromettere le stesse funzioni che dovrebbero proteggerlo.
- Chiedete un secondo parere: Il principio dei quattro occhi non è utile solo per l'ortografia e la grammatica, ma anche per valutare le minacciose e-mail di phishing. Ecco perché i truffatori si affidano all'effetto di riservatezza per aggirare questo controllo.
Raccomandazioni per l'IT
Oltre a questi consigli di primo soccorso per ogni utente, Sophos ha riassunto anche tre consigli supplementari per il reparto IT:
- Stabilire un punto di contatto centrale per i casi di sicurezza informatica.
Molti attacchi di spear phishing hanno successo perché i dipendenti cercano disperatamente di fare la cosa giusta, proprio nello spirito del servizio clienti. L'avvio di una segnalazione fissa (ad esempio, un indirizzo e-mail interno come security-report@example.org) offre ai dipendenti un modo semplice per chiedere consigli sulla sicurezza. E piuttosto PRIMA che dopo un'e-mail sospetta!
- La sicurezza informatica non deve essere una strada a senso unico.
Anche i siti web meglio protetti possono essere attaccati e se qualcosa di vistoso attira l'attenzione di un dipendente, deve essere preso sul serio e non rimandato alla sovranità dell'IT. È meglio prendere precauzioni che agire.
- Simulazioni di phishing come campo di addestramento
La formazione sulle e-mail di phishing può supportare i dipendenti dell'azienda. Esistono ora strumenti di formazione espliciti che utilizzano simulazioni di phishing senza conseguenze dannose per la pratica. È importante considerarli come uno strumento di miglioramento e non di controllo. Perché i truffatori non si stancano mai di rendere i nuovi utenti vittime di attacchi di phishing sempre più sofisticati ogni giorno.
Fonte: Sophos / Comunicazioni TC