Gli attacchi di phishing sono stati una situazione difficile per gli individui e le organizzazioni fin dall’invenzione della posta elettronica. Come di ritardo, questi attacchi sono diventati più sofisticati e difficili da rilevare. Gli attacchi di phishing sono uno dei metodi più comuni che gli hacker usano per infiltrarsi negli account e nelle reti delle vittime. Secondo Symantec, uno su 2.000 e-mail sono attacchi di phishing, il che significa che ci sono 135 milioni di attacchi ogni giorno .
Mentre gli attacchi di phishing sono già un evento frequente, tendiamo a vedere un aumento significativo durante i periodi di crisi. I truffatori approfittano del caos e della confusione causati da questi eventi epocali. Molte persone si aspettano di ricevere e-mail da fonti ufficiali come organizzazioni di esperti, compagnie di assicurazione, enti governativi, ecc., lasciando l’opportunità larga per scammers di sgattaiolare le loro e-mail “abbastanza reali” nella mischia. Queste e-mail apparentemente innocue intendono reindirizzare gli utenti a siti fraudolenti, tentando di ingannare gli utenti nell’inserire informazioni sensibili.
Che cos’è il phishing?
In poche parole, il phishing è una tattica in cui i truffatori inviano e-mail fraudolente e cercano di ingannare i destinatari facendo clic su un link dannoso o scaricando un allegato infetto per rubare le loro informazioni personali. Queste e-mail possono sembrare provenire da organizzazioni, come rivenditori e banche, o da individui e team all’interno dell’organizzazione, come HR, il tuo capo o persino il CEO.
Se i dipendenti non conoscono i segni di una truffa di phishing, l’intera organizzazione è a rischio. Secondo Verizon, il tempo medio impiegato dalla prima vittima di una campagna di phishing su larga scala per fare clic su un’e-mail malevola è stato di 16 minuti. Ci sono voluti il doppio del tempo – 33 minuti-per un utente di segnalare la campagna di phishing ad ESSO .
Dato che il 91% per cento dei crimini informatici sono avviati tramite una campagna di phishing e-mail di successo, questi 17 minuti potrebbe significare disastro per la vostra azienda.
Metodi comuni di attacco di phishing
Come accennato in precedenza, la maggior parte (se non tutte) le truffe di phishing iniziano con un’e-mail fatta per sembrare che sia stata inviata da una fonte legittima, ma i metodi di attacco e infiltrazione possono differire da lì. Alcune di queste tecniche di phishing possono essere semplice come ingannare qualcuno a cliccare su un link per inserire informazioni sensibili o complicato come l’esecuzione di un file eseguibile che falsifica un processo legittimo che ottiene segretamente l’accesso al computer e la rete per eseguire software dannoso in background.
Le truffe di phishing utilizzeranno comunemente più metodi di inganno all’interno di un singolo attacco. In genere queste truffe utilizzano la manipolazione dei link e la contraffazione del sito Web in combinazione per rendere la loro truffa il più convincente possibile. Quando ricevi un’e-mail di phishing, una delle prime cose che vedrai è un URL apparentemente legittimo verso un sito Web conosciuto e affidabile come Facebook, Amazon, YouTube, ecc. con un messaggio adescamento di fare clic sul link. Questi messaggi richiederanno agli utenti di inserire informazioni sensibili sostenendo che c’è un problema con il loro account o ordine che deve essere risolto, ed è qui che entra in gioco la contraffazione del sito web.
Mentre il collegamento potrebbe apparire come un vero “amazon.com” link, piccoli errori di battitura o incongruenze con il dominio spesso rivela la sua vera natura. Questi domini fraudolenti sono spesso indicati come domini typosquat. Questi siti dannosi sono progettati per apparire il più simile possibile alla pagina web reale, ingannando le vittime senza pretese nell’inserire le loro credenziali per l’hacker per rubare e utilizzare sul sito reale.
Gli hacker spesso allegano anche un file dall’aspetto legittimo o includono un link che, quando cliccato, scaricherà segretamente software dannoso che si incorporerà nei sistemi della vittima. Questi attacchi spesso iniettano malware che si traveste da un eseguibile legittimo che verrà eseguito in background, spostandosi lateralmente attraverso la rete utente per rubare informazioni sensibili come conti bancari, numeri di previdenza sociale, credenziali utente e altro ancora. A volte il malware include ransomware che si farà strada attraverso la rete della vittima, crittografando ed exfiltrando i dati sensibili da tenere per il riscatto.
Tipi di attacchi di phishing
Il metodo di attacco più comune utilizzato dai truffatori di phishing è quello di lanciare una vasta rete. Invieranno e-mail generiche da siti di uso comune a quante più persone possibili nella speranza di ingannare alcuni a cadere per i loro trucchi. Mentre questo metodo è efficace, non è l’unico modo che phisher intoppo una cattura. Alcuni truffatori useranno metodi più precisi come spear phishing, clone phishing, e la caccia alle balene per ottenere il lavoro fatto.
Spear Phishing e caccia alle balene
Come gli attacchi di phishing generale, spear-phishing e caccia alle balene utilizzano e-mail da fonti attendibili per ingannare le loro vittime. Piuttosto che lanciare una vasta rete, tuttavia, lo spear phishing si rivolge a individui specifici o impersona una persona fidata per rubare credenziali o informazioni.
Come lo spear phishing, la caccia alle balene crea campagne intorno a un obiettivo specifico ma con un pesce più grande in mente. Piuttosto che indirizzare un ampio gruppo come un dipartimento o una squadra, questi attaccanti incanalano il loro capitano interno Achab puntando la loro lancia verso obiettivi di alto livello come dirigenti o influencer con la speranza di lanciare la loro balena bianca. I cacciatori di balene cercano di impersonare alti dirigenti come CEO, CFO, il capo delle risorse umane, ecc., convincere membri di un’organizzazione a rivelare informazioni sensibili che sarebbero di valore agli aggressori. Perché un’escursione alla caccia alle balene abbia successo, gli aggressori devono eseguire ricerche più approfondite del solito, con la speranza di impersonare accuratamente la loro balena. Gli aggressori stanno cercando di usare l’autorità della balena per convincere i dipendenti o altre balene a non esaminare o mettere in discussione le loro richieste.
Aneddoticamente, sono stato personalmente preso di mira da un attacco di balene in una società precedente in cui un truffatore si è presentato come il mio CEO, chiedendo il mio numero di telefono in modo che potessero chiamarmi per chiedere un favore. Fortunatamente l’e-mail aveva molti segni rivelatori di frode. Il più ovvio è che l’ufficio del CEO era a soli 10 piedi dalla mia scrivania, quindi avrebbe potuto facilmente scavalcare se avesse avuto bisogno di me!
Clone Phishing
Gli attacchi di clone phishing sono meno creativi della pesca con la lancia e le balene, ma comunque molto efficaci. Questo stile di attacco ha tutti i principali inquilini di una truffa di phishing. Tuttavia, la differenza qui è che piuttosto che presentarsi come un utente o un’organizzazione con una richiesta specifica, gli aggressori copiano un’e-mail legittima che è stata precedentemente inviata da un’organizzazione attendibile . Gli hacker impiegano quindi la manipolazione dei link per sostituire il link reale incluso nell’e-mail originale per reindirizzare la vittima a un sito fraudolento per ingannare gli utenti nell’inserire le credenziali che utilizzerebbero sul sito effettivo.
Email Phishing Scam Examples
E ‘ comune per i truffatori di falsificare email dall’aspetto ufficiale da rivenditori come Amazon o Walmart, sostenendo che è necessario inserire le credenziali o le informazioni di pagamento per garantire che possano completare l’ordine. I link incorporati nell’e-mail ti porteranno a una pagina di destinazione dall’aspetto autentico per inserire le tue informazioni sensibili.
Con più persone che fanno acquisti online che mai a causa della pandemia e dell’evoluzione del panorama del retail digitale, i truffatori faranno gli straordinari quest’anno. Durante la stagione delle vacanze, questi tipi di truffe aumentano esponenzialmente a causa di tutto il regalo-acquisto accadendo. Molte persone hanno così tanti acquisti che non ci pensano due volte prima che ci sia un problema con i loro ordini.
Un esempio di una truffa di phishing che ha visto un aumento durante le festività natalizie 2020 è un’e-mail contraffatta di Amazon che informa i clienti che devono effettuare il login per aggiornare le informazioni di pagamento e spedizione per completare l’ordine .
Per esperienza personale, ricevo e-mail costanti da Amazon su spedizione, date di arrivo, conferme, ecc. Se non sapevo cosa cercare in questi attacchi, sarei facilmente cadere per la truffa.
L’anatomia di un’e-mail di phishing
Abbiamo analizzato i componenti più comuni di un’e-mail di phishing. Controlla la nostra infografica completa per testare le tue conoscenze.
Oggetto
Le campagne di phishing in genere mirano a creare un senso di urgenza usando un linguaggio intenso e tattiche intimidatorie, a partire dalla riga dell’oggetto dell’e-mail.
Campo” Da ”
L’e-mail apparirà provenire da un’entità legittima all’interno di una società riconosciuta, come l’assistenza clienti. Tuttavia, a uno sguardo più attento, puoi vedere che sia il nome del mittente che l’indirizzo email sono una parodia di un marchio noto, non di un vero fornitore.
Campo” A “
Le email di phishing sono spesso impersonali, indirizzando il destinatario come” utente “o ” cliente”.”
Body copy
Come per la riga dell’oggetto, la body copy di un’e-mail di phishing utilizza tipicamente un linguaggio urgente per incoraggiare il lettore ad agire senza pensare. Anche le email di phishing sono spesso piene di errori di grammatica e punteggiatura.
Link dannoso
Un link sospetto è uno dei principali omaggi di un’e-mail di phishing. Questi collegamenti sono spesso abbreviati (attraverso bit.ly o un servizio simile) o sono formattati per apparire come un collegamento legittimo che corrisponde con la società e il messaggio della e-mail falso.
tattiche Intimidatorie
oltre che nei casi di urgenza, di lingua, di e-mail di phishing spesso impiegano tattiche intimidatorie, nella speranza che i lettori potranno fare clic su link malevoli di allarme o di confusione
e-Mail sign-off
Come con la e-mail di saluto, il sign-off è spesso impersonale, in genere un generico servizio clienti titolo, piuttosto che il nome di una persona e le corrispondenti informazioni di contatto.
Piè di pagina
Il piè di pagina di un’e-mail di phishing spesso include segni rivelatori di un falso, inclusa una data di copyright errata o una posizione che non corrisponde a quella dell’azienda.
Pagina di destinazione malevola
Se fai clic su un link di phishing, verrai spesso indirizzato a una pagina di destinazione malevola
Come prevenire gli attacchi
La migliore difesa contro le campagne di phishing è la conoscenza. Gli aggressori creano truffe di phishing per sembrare il più convincente possibile, ma spesso hanno segni rivelatori che rivelano la farsa. Richiedere una formazione regolare sulla sicurezza dei dati e sull’ingegneria sociale è un metodo di prevenzione eccellente che aiuta la tua organizzazione a imparare i segni delle e-mail dannose.
Qui ci sono alcune cose da controllare in qualsiasi momento ricevi un’e-mail che ti chiede di fare clic su un link, il download di un file, o condividere le vostre credenziali, anche se sembra provenire da una fonte attendibile:
- Doppio controllare il nome di dominio e l’email è da
-
- La maggior parte dei legittimi email non verrà da @gmail.com, @live.com, etc. Sono in genere da domini privati
-
- Controllare per evidenti errori di ortografia nell’oggetto e nel corpo
- La “a” e “da” linee generico
- non condividere le credenziali di—mittenti legittimi non ti chiederà mai di loro
- non aprire eventuali allegati o scaricare qualsiasi link sospetti
- Report-mail sospette a chi gestisce la sicurezza IT
Se si sospetta che avete ricevuto un’email di phishing, non fare clic su di esso o di eventuali allegati. Invece, segnalalo e segnalalo alle autorità competenti. Ciò potrebbe riguardare il reparto IT della tua organizzazione, la società in cui l’e-mail viene falsificata o il tuo provider di domini di posta elettronica come Google, Microsoft, ecc.
Non abboccare
La conoscenza è potere quando si tratta di proteggere dagli attacchi di phishing. Questi truffatori si basano interamente su di voi cadere per il loro stratagemma per la loro truffa per avere successo. Anche se credi di essere un esperto in spotting truffe di phishing, non si può abbassare la guardia; pericolo si nasconde dietro ogni link. Le tecniche di phishing e le e-mail continueranno a diventare più sofisticate e difficili da rilevare con il passare del tempo. Finché la nostra vita quotidiana continua ad essere digitalizzata, gli hacker saranno sempre lì per sfruttare persone innocenti per un guadagno finanziario. Il modo migliore per stare al sicuro e tenere in cima a tutto è quello di continuare a educare se stessi sulle forme più attuali di truffe di phishing.