Ottobre è il mese di Halloween e delle zucche, delle foglie che cadono e delle castagne. Ma per chi, come noi, lavora nel campo della sicurezza informatica, ottobre è soprattutto il Mese della Consapevolezza sul tema della Cybersecurity a livello internazionale. Già, perché purtroppo l’anello debole della catena continua ad essere il fattore umano quando si parla di sicurezza informatica. E proprio su questo fanno leva i cybercriminali per scardinare anche le reti apparentemente più inaccessibili, beneficiando della scarsa conoscenza delle minacce informatiche, che mediamente ha chi utilizza un dispositivo informatico per lavoro o per scopi privati. Ad esempio quanti conoscono la tecnica dell’email phishing? Cos’è?
Per contribuire ad accrescere la consapevolezza in merito al phishing, abbiamo preparato una lista di 10 trucchi per aiutarvi a combattere una delle peggiori minacce che colpiscono, per l’appunto, aziende, enti, organizzazioni e privati: il tentativo di phishing via email .
Le truffe di tipo Business email compromise (BEC) , messe in opera perlopiù grazie ad attacchi di spear phishing, sono costate 3,1 miliardi di dollari da Gennaio 2015 ad oggi e i tentativi di phishing stanno colpendo, come mai prima d'ora, anche gli utenti comuni. Questo perché la maggior parte delle persone non sta a farsi troppe domande sull'autenticità del mittente, tra le tante email che riceve ogni giorno, ma la realtà è che, senza gli strumenti giusti, non c'è proprio alcun motivo di fidarsi del campo "mittente" di una email.
Per il bene di ogni organizzazione è fondamentale che la prima linea di difesa contro le email truffa, sia garantita da un'avanzata tecnologia di difesa.
I gateway di sicurezza per la posta elettronica e i sistemi di autenticazione delle email, come il DMARC (Domain-based Authentication Reporting and Conformance), rappresentano la soluzione migliore per proteggere i vostri dipendenti, i vostri clienti e la reputazione della vostra azienda.
Purtroppo per quanto sofisticata possa essere la vostra politica di sicurezza in fatto di email, alcune email phishing riusciranno comunque a raggiungere le vostre caselle di posta. E sfortunatamente queste email sono anche molto efficaci. Verizon ha scoperto che il 30 percento dei destinatari di una phishing email apre il messaggio malevolo e il 12 percento apre allegati dannosi .
È per questo che un'efficace strategia di difesa deve partire innanzitutto dall'educazione di tutto il personale. Ecco la nostra classifica dei 10 migliori trucchi per identificare un tentativo di attacco di phishing via email. Sarebbe molto utile per voi condividerli con i vostri dipendenti e, perché no, anche con clienti e fornitori.
1. Non fidatevi mai del nome che appare sul campo "mittente"
Una delle tattiche preferite dai cybercriminali è quella di falsificare il mittente di un’email. Ecco come funziona: se un malintenzionato vuole spacciarsi per un'ipotetica azienda, magari una banca, supponiamo la "Tua Banca", l'email apparirà come una cosa di questo tipo:
Dato che la "Tua Banca" non è in possesso del dominio "sicuro.com", i sistemi di autenticazione del mittente non bloccheranno questa email per conto della "Tua Banca".
Una volta recapitata, l'email APPARE legittima, dato che la maggior parte dei programmi di posta o app di posta per smartphone mostrerà soltanto il nome del mittente. Controllate sempre l'indirizzo email del mettente al campo "Da:". Se vi sembra sospetto, segnalate il messaggio.
2. Guardate, ma non cliccate
I cybercriminali amano allegare link malevoli alle loro email apparentemente legittime. Passate col puntatore del mouse sopra ad ogni link che trovate nell'email. Se l'indirizzo del link non vi convince, non cliccateci sopra. Inoltrate l’email direttamente agli addetti alla sicurezza della vostra azienda che sapranno valutarne la legittimità.
3. Controllate se ci sono errori di ortografia nell'email
Le aziende investono parecchio quando si tratta di comunicare con i propri clienti, partner o fornitori, qualsiasi canale esse utilizzino, comprese le email.
Molto difficilmente troverete errori ortografici o grammaticali in un messaggio autentico proveniente da un'azienda. Leggete attentamente il testo dell'email e segnalate qualsiasi cosa sospetta.
4. Analizzate i saluti iniziali
L'email si rivolge ad un generico "Gentile Cliente"? Se è così fate attenzione – le aziende serie utilizzano solitamente dei saluti personalizzati con il vostro nome e cognome.
5. Non divulgate mai dati sensibili personali o aziendali
La maggior parte delle aziende non chiederà MAI di fornire credenziali di accesso via email. Questo vale soprattutto per le banche. Inoltre è prassi comune per le aziende avere politiche interne di sicurezza, per prevenire la divulgazione all'esterno degli indirizzi IP aziendali. Non rivelate mai alcuna informazione sensibile via email.
6. Diffidate dai toni urgenti o minacciosi nell'oggetto dell'email
Evocare un senso di urgenza o di paura è una tattica molto comune nel phishing. State attenti agli oggetti delle email del tipo "il tuo account è stato sospeso" o che vi invitano ad effettuare un pagamento urgente.
7. Controllate la firma in fondo all'email
Per capire come controllare una mail sospetta, controllate la firma in fondo all’email. La mancanza di informazioni di contatto del mittente o di informazioni riguardo all'azienda da cui sembra provenire l'email è un grosso segnale di un probabile tentativo di phishing. Le aziende serie forniscono sempre i dettagli su come poterle contattare o raggiungere. Verificate che ci siano!
8. Non cliccate sugli allegati
Includere allegati malevoli contenenti virus e malware è una tecnica molto diffusa nel phishing. I malware possono danneggiare i file archiviati nei vostri computer, rubare password o monitorare le vostre attività a vostra insaputa. Non aprite mai allegati che non vi aspettate di ricevere.
9. Non fidatevi dell'indirizzo email che leggete sull'header dell'email
I cybercriminali non falsificano solamente il nome del mittente, spacciandosi per organizzazioni o aziende, ma sono in grado di falsificare anche l'indirizzo email del mittente che appare nell'header email, incluso il nome del dominio. Tenete sempre a mente che anche se l'indirizzo email del mittente sembra legittimo (ad esempio nomemittente@azienda.com), potrebbe in realtà non esserlo affatto.
Quando vedete un nome familiare nella vostra casella email, a volte potrebbe rivelarsi un mittente falso!
10. Non credete a tutto ciò che vedete
Gli specialisti delle truffe sono estremamente abili nel loro "lavoro". Basti pensare alle centinaia di false email amazon o di altri marchi, che stanno ricevendo tante persone in questi mesi. Esse mostrano ad esempio l’inconfondibile logo del colosso dell’e-commerce, sono scritte con un linguaggio curato e sembrano provenire da indirizzi email apparentemente legittimi. Siate scettici su tutto ciò che vi arriva nella casella email: se vi sembra anche minimamente sospetto, non aprite nulla.
Partecipate al dibattito sui temi della sicurezza condividendo su Twitter questi consigli e utilizzate l'hashtag #CyberAware. E se volete sapere di più riguardo alle truffe via mail, date un'occhiata al nostro speciale approfondimento.