Phishing: cos'è e come difendersi dai tentativi di frode

Email misteriose, link ambigui, login a portali "ufficiali" che ufficiali non sono. Ti è mai capitato di riceverne una mail che ti sembrava strana? Ecco, forse era proprio un tentativo di phishing. Se non ti sei fidato hai fatto bene: il phishing è la minaccia informatica più diffusa e sottovalutata e sta colpendo le aziende italiane con una frequenza disarmante.

Ma cerchiamo di capire meglio cosa sono, come riconoscerli e, soprattutto, come puoi difenderti. 

Il phishing, dunque, è una vera truffa informatica che si basa sull’inganno: il criminale si finge un ente affidabile (banca, fornitore, colleghi, etc.) per indurre chi riceve il messaggio a cliccare su un link malevolo, scaricare un file infetto o inserire dati riservati in form fasulli. Spesso vengono usati messaggi allarmanti o con un elevato senso di urgenza per indurre ansia nella vittima, per spingerla ad agire in fretta, senza riflettere troppo e controllare.

Lo scopo? Rubare informazioni, installare malware (spesso ransomware, ne abbiamo parlato qui²) o compromettere l’intero sistema informatico aziendale. Un click sbagliato che, nel caso di un’impresa, può costare cifre importanti.

• Ricevi un’email ben costruita: stesso logo di un ente affidabile o ufficiale, tono simile a quello reale, firma plausibile. Un messaggio che faccia pensare che la mail venga proprio da quella banca/ente/brand.
• Ti viene richiesto di fare qualcosa con urgenza. Alcuni esempi verosimili di contenuto di un’email phishing possono essere: "C'è un problema con la tua password", oppure "aggiorna il metodo di pagamento", o ancora, "scarica urgentemente il documento allegato".
• L’obiettivo è farti cliccare di impulso, senza pensare troppo.

Psicologicamente, Il phishing sfrutta il bias della scorciatoia cognitiva: ti mette fretta e ti distrae in modo che tu agisca velocemente senza controllare la veridicità del messaggio.

Non basta solo raccomandarsi con i propri colleghi o sottoposti di “non cliccare link strani”. I tentativi di phishing oggi sono sempre più sofisticati e realistici. Ci sono però alcuni segnali che dovrebbero porre in allerta e convincere a fare un’indagine ulteriore prima di cliccare un link o scaricare/aprire un allegato contenuti in una mail.

1. Mittente sospetto o inatteso

È difficile inquadrare con precisione quel che può definirsi un mittente “sospetto”. Di solito, le email sospette sono certamente messaggi poco consueti o che arrivano da mittenti dai quali non si aspetta un messaggio. Quindi è opportuno, quando si riceve una mail non consueta:

• Rileggere con molta attenzione l’indirizzo del mittente perché spesso i tentativi di phishing arrivano da indirizzi che “imitano” quelli ufficiali (esempio: [email protected] invece di [email protected])
• Nel caso di email che arrivano alla mail della tua azienda/organizzazione, puoi interpellare direttamente altri colleghi (usando il telefono o la chat interna) per sapere se hanno inviato loro la mail o se hanno ricevuto email simili.
• Se la mail arriva da un’organizzazione, una banca o un brand con il quale non hai mai avuto rapporti, consulta il sito ufficiale e prova a verificare l’estensione dell’indirizzo email (quello che c’è dopo la chiocciola).

2. Ti vengono richieste informazioni private

Se ti viene richiesto di dare informazioni private, non rispondere mai, né via email, né per SMS o telefono. Le tue informazioni personali devono essere protette e non dovresti mai comunicarle a nessuno, a meno che non sia una persona che conosci personalmente e della quale ti fidi totalmente. I dati che non dovresti mai comunicare sono:

• Nomi utente e password, incluse le modifiche delle password
• Numeri di previdenza sociale e codici identificativi rilasciati dal governo
• Numeri di conti bancari
• Numeri di identificazione personale (PIN)
• Numeri di carte di credito
• Data di nascita

Suggerimento: fornisci a un sito web i dati di contatto, ad esempio l'indirizzo email o il numero di telefono, solo se è confermato che sia affidabile. Non pubblicare mai i tuoi dati di contatto su forum pubblici.

I dati mostrano che il cosiddetto Credential Phishing rappresenta la minaccia più diffusa, costituendo il 71,7% delle attività malevole analizzate da uno studio, nonostante un trend in diminuzione rispetto all’anno precedente. Questo attacco si basa su siti web fraudolenti che simulano portali legittimi per sottrarre credenziali di accesso, sfruttando l’ingenuità e la fiducia delle vittime.³

3. Tono allarmante o urgente

“La tua utenza sarà bloccata se non agisci entro 24 ore”. Questo tono di allarme è tipico delle email di phishing. I malintenzionati puntano a provocare delle emozioni e a farti agire senza pensare e senza controllare. Il consiglio è di mantenere la calma e prenderti il tempo di fare delle verifiche: un’ora in più potrebbe non cambiare molto se il messaggio è autentico, ma potrebbe fare un’enorme differenza se si tratta di phishing.

4. Verifica sempre il link, potrebbe essere nascosto o mascherato

Per farlo devi solo passare il mouse sopra il testo linkato o il link: ti comparirà un tooltip in basso a sinistra oppure accanto al link, nel quale sarà presente il link effettivo al quale sarai riportato cliccando. Se è diverso da quello che ti aspettavi, si tratta di phishing!

I privati e le PMI sono le più colpite. Non perché siano più sfortunate, ma perché spesso hanno sistemi di sicurezza meno robusti e meno formazione interna. Il fattore umano è infatti fondamentale per scongiurare la riuscita di un attacco.

Secondo una ricerca, un italiano su due non saprebbe riconoscere un attacco phishing.

Nonostante questo dato, solo il 35% delle PMI italiane ha avviato programmi strutturati per educare i dipendenti alla sicurezza informatica, lasciando il personale privo di competenze essenziali per proteggere i dati aziendali.⁴

1. Forma i tuoi dipendenti
   Il 92,3% delle vulnerabilità sfruttate dagli hacker è di origine umana: errori, sviste, poca formazione. Siccome basta un click sbagliato per compromettere un intero sistema informatico, scegli di investire in formazione periodica e simulazioni per prevenire: la conoscenza è la migliore arma.
2. Abilita l’autenticazione a due fattori (2FA) sui tuoi dispositivi
   L’autenticazione a due fattori è un ulteriore strumento di protezione e aggiunge un livello di accesso ai tuoi siti. Un attacco phishing potrebbe, infatti, compromettere le tue credenziali di accesso ai sistemi ma se dovessero rubarti la password, con un sistema di autenticazione a due fattori non potrebbero comunque accedere se non hanno anche il secondo codice.
3. Aggiorna tutto. Sempre.
   Sistema operativo, software, antivirus: gli aggiornamenti dei sistemi vanno letteralmente a “tappare i buchi” e le falle. Bastano pochi secondi per essere più al sicuro.
4. Non dimenticare i backup offline
   Se l’hardisk viene compromesso puoi avere un backup online che ti salva i dati. Ma anche il contrario è vero: un backup non accessibile via rete sarà il tuo paracadute.
5. Installa firewall e sistemi anti-phishing
   Un buon software di sicurezza riconosce le email sospette prima ancora che arrivino all’utente. Puoi inoltre installare un sistema condiviso con tutta la rete che compone l’ufficio, per diffondere le segnalazioni ed effettuare test e simulazioni in modo che sia più difficile corrompere i tuoi sistemi.
6. Navigazione sicura con la VPN
   La VPN (Virtual Private Network) è un tipo di sistema che ha il vantaggio di criptare i dati. Evita che occhi indiscreti guardino dentro la tua rete.
7. Dividi gli accessi dei dipendenti, dei dipartimenti, dei membri della famiglia
   Non tutti devono avere accesso a tutto il sistema informatico condiviso. Limita le autorizzazioni. Se una macchina viene violata, puoi evitare in questo modo un effetto domino.

Allianz ha creato Allianz Cyber Protection PMI, la polizza pensata per difendere le piccole e medie imprese italiane da attacchi informatici, phishing incluso.

Cosa ti offre?

• Fino a 1 milione di euro per danni causati da violazioni della privacy
• Copertura delle perdite economiche per interruzione dell’attività
• Costi di ripristino dei sistemi e dei dati coperti
  

Il phishing non è solo una truffa via email. È un attacco all’identità digitale, alla reputazione e ai dati della tua impresa. E oggi, i dati sono l’asset più prezioso che possiedi.

Formazione, tecnologia, buone pratiche.