Gli attacchi di phishing sono oggi considerati la principale fonte di violazioni dei dati. Si stima che il 91% degli attacchi informatici inizi con un’email di phishing.*

Dieci anni fa, se tu avessi chiesto a qualcuno che cosa fosse “phishing”, probabilmente non ne avrebbe avuto idea. Da allora, i tempi sono cambiati considerevolmente; gli attacchi di phishing sono ora responsabili di un numero significativo di gravi violazioni dei dati.

Il termine phishing potrebbe essersi fatto strada nel nostro vocabolario tradizionale, ma c’è ancora confusione riguardo all’argomento. Gli attacchi di phishing stanno infatti diventando sempre più sofisticati e mirati, e persino le persone più esperte in tecnologia o sicurezza possono esserne vittime. Quindi, come si fa a essere sicuro di non cadere in questa trappola? Utilizza questa checklist in cinque punti per esaminare da vicino la validità della posta in arrivo e, in caso di dubbio, non fare clic!

Il mittente

Questo è il primo indizio che rivela una e-mail potrebbe non essere legittima. Conosci il mittente? In caso contrario, considera la posta con sospetto e non aprire nessun allegato finché non ne verifichi la legittimità con il presunto mittente. Se ritieni di conoscere il mittente, controlla l’indirizzo email. Spesso, una email di phishing sarà progettata per sembrare che provenga da una persona che conosci, ma ci sarà una leggera variazione nell’indirizzo o la mail stessa sarà falsificata per mostrarti un nome che riconosci.

Il soggetto

Presta attenzione alle righe dell’oggetto! Mentre qualcosa del tipo “Richiedi il tuo ultimo affare ora!” Può essere un ovvio segno di una email di phishing, le linee tematiche di gran lunga più efficaci sono quelle che non suscitano sospetto. “Azione dell’account richiesta”, “Aggiornamento dello stato di consegna” o “Conferma dell’estratto conto” possono essere soggetti utilizzati per indebolire le difese del destinatario dell’e-mail attraverso avvisi apparentemente ordinari.

Ricorda: se qualcosa di importante è importante, la tua banca, il datore di lavoro, lo studio medico, il rivenditore o la società di carte di credito troveranno un modo alternativo per contattarti quando non rispondi via email. In caso di dubbi, chiama per chiedere se ti hanno inviato un’email, ma non effettuare quella chiamata a un numero presente nel messaggio e-mail che stai chiamando!

La maggior parte delle linee oggetto di e-mail di phishing cliccate. *

È stato effettuato un tentativo di consegna (18%)
Consegna di un’etichetta UPS (16%)
Cambio di password richiesto immediatamente (15%)
Attività di accesso insolito (9%)

Il corpo

Il corpo dell’e-mail può contenere una nuova serie di indizi, tra cui le parole errate e il contesto confuso. Ad esempio, ti viene chiesto di verificare un conto bancario o accedere a un istituto finanziario con cui non hai un account? Hai ricevuto un’email da qualcuno che potresti conoscere, ma che non contiene altro che un breve URL? Il contenuto si applica a te o ha senso in base a conversazioni o eventi recenti? Allo stesso modo, se si tratta di un contatto conosciuto, c’è una ragione per cui ti manderebbe questa email?

Gli hacker possono anche usare gli eventi attuali o popolari a loro vantaggio. Ad esempio, lo shopping natalizio oppure la stagione delle tasse sono tutti argomenti utilizzati per infiltrare nella posta in arrivo di migliaia di utenti ignari un’e-mail di phishing.

Ma come si fa a sapere se un’e-mail è valida o no?

Gli allegati

La regola d’oro: NON aprire un allegato se qualsiasi altro aspetto dell’e-mail sembra sospetto. Gli allegati spesso contengono malware e possono infettare l’intera macchina.

Il 7,3% degli attacchi di phishing riusciti ha utilizzato un link o un allegato **

Gli URL

Stesso discorso per i link. NON fare clic su un collegamento se qualcosa sulla e-mail sembra sospetto. Questo di solito è l’obiettivo ultimo dell’attaccante in una truffa di phishing: attira gli utenti verso un sito dannoso e li induce a immettere credenziali di accesso o informazioni personali, consentendo al truffatore l’accesso completo all’account.

Se fai clic su un link, assicurati di verificare anche l’URL effettivo. Sei su Google.com o Go0gle.com? Le variazioni possono essere leggere, ma fanno la differenza! Detto questo, tieni presente che un sito dannoso non sarà sempre visibile nell’URL e quindi non sarai in grado di distinguere. Se questo è il caso, la maggior parte dei browser ha una protezione integrata di phishing per avvisarti che qualcosa non va.

Il 15% delle persone vittima di un attacco di phishing iniziale ammette di cadere per un attacco di phishing una seconda volta. **

La tecnologia ci aiuta

Utilizzando questi cinque punti di controllo delle e-mail, sarete più attrezzati per decifrare una e-mail di phishing. Tuttavia, alcuni attacchi di phishing sono così sofisticati che possono persino ingannare il più saggio degli utenti. La buona notizia è che esistono soluzioni tecnologiche.

Utilizzando un sistema come SpamTitan, le tue caselle di posta saranno più protette, bloccando all’origine email sospette e aiutandoti ad effettuare tutte le verifiche che abbiamo descritto.

Di grande aiuto è anche l’autenticazione a due fattori, e qui raccomandiamo fortemente una soluzione 2FA (autenticazione a due fattori) con le YubiKey . Grazie a questo accorgimento, infatti, potrai proteggere i tuoi account con un secondo fattore di autenticazione che metterà a dura prova anche gli hacker più sofisticati.

Fonti:

*   KnowBe4 Q4 2017 Top-Clicked Phishing Email Subjects

** Verizon Data Breach Report, 2017