Skip to main content

Phishing, come evitarlo

shutterstock 573559906

Un recente articolo di Naked Security ha affermato che gli attacchi virtuali ai servizi di posta elettronica avvengono principalmente con truffe incentrate nel periodo in cui si pagano le tasse.

L’Agenzia delle Entrate infatti ha lanciato l’allarme segnalando messaggi di posta mail che prendono di mira professionisti fiscali, personale paghe, personale delle risorse umane, scuole e contribuenti. In un’altra truffa, gli aggressori hanno contaminato le inserzioni di Amazon con link che reindirizzavano le vittime a un sito di pagamento molto simile a quello di Amazon e dall’aspetto decisamente convincente. In una simulazione condotta da MWR Infosecurity, un quarto degli utenti testati ha cliccato sul link che lo ha portato a una falsa schermata di login, con oltre la metà di essi che ha fornito nome utente e password. Quattro su cinque hanno poi scaricato il file malevolo. Al contempo, un’email che sembrava provenire dal reparto risorse umane e facente riferimento a un sistema di valutazione si è dimostrata ugualmente efficace.

Il social engineering è l’atto di manipolare le persone a intraprendere una determinata azione a beneficio di un attaccante. Dal momento che l’ingegneria sociale prende di mira le debolezze intrinseche in tutti noi, può essere molto efficace. E senza una formazione adeguata è difficile da prevenire. Se vi è capitato di ricevere un’email di phishing, avete visto l’ingegneria sociale al lavoro. L’aspetto di ingegneria sociale fondamentale di un attacco di phishing è ottenere che la vittima apra un allegato sospetto o che visiti un sito web malevolo.

Il phishing non può funzionare a meno che il primo passo – e cioè l’ingegneria sociale – non vi convinca a intraprendere un’azione.

Per contribuire ad aumentare la consapevolezza, i fornitori di sicurezza hanno offerto una serie di prodotti e servizi che le aziende possono utilizzare per lanciare simulazioni – come se fossero esercitazioni antincendio di phishing – che possono mostrare da vicino ai dipendenti come è facile essere ingannati dall’ingegneria sociale.

Per i clienti Sophos, quel prodotto è Phish Threat.

Con Phish Threat, gli utenti scelgono un tipo di campagna, selezionano uno o più moduli di formazione, scelgono un messaggio di phishing simulato, e decidono quali persone testare. Un report poi dice quanti messaggi sono stati inviati, chi ha cliccato, e, di questi, chi è passato attraverso i moduli necessari, in modo da formare gli utenti a evitare fake.

Per maggiori informazioni sui prodotti Sophos offerti da BLS clicca qui

 

 

[box1 prodotto="Servizi Sophos"][/box1]

Servizio di consulenza GDPR di BLS Consulting
Nuovo aggiornamento 3CX