Il phishing è uno dei tipi di truffa online più pericolosi e diffusi. Attraverso questo tipo di raggiro, infatti, i criminali della rete mirano a impossessarsi dei dati sensibili dell’utenza che prendono di mira. Questi dati generalmente sono informazioni strettamente riservate, come codici d’accesso, oppure dati finanziari. Per riuscire nel proprio intento, generalmente, gli hacker cercano di ingannare la vittima in modo che questa fornisca di sua sponte i dati riservati. Per farlo si spacciano per istituzioni, istituti bancari, brand internazionali, o persone di fiducia. Negli ultimi anni il fenomeno si sta intensificando e sta acquisendo una natura sempre più mirata. Non è un caso che oggi per indicare attacchi rivolti in modo sempre più specifico a un determinato target si ricorra a un’espressione apposita, ovvero “spear phishing”. Vediamo insieme cos’è lo spear phishing e come difendersi da questo tipo di minaccia.
Cos’è lo spear phishing?
Come già accennato, il phishing è un tipo di truffa che mira all’appropriazione indebita di dati ricorrendo all’utilizzo identità fittizie. Un tempo i messaggi di phishing erano piuttosto generici, avanzavano richieste piuttosto improbabili e spesso contenevano errori grammaticali particolarmente grossolani. Nel corso degli anni la criminalità della rete ha raffinato moltissimo i suoi strumenti. I messaggi di phishing diventano sempre più personalizzati, basandosi sulla raccolta delle informazioni pubbliche della vittima designata. Attraverso i social media oggi diventa facilissimo reperire informazioni specifiche su un utente. Diventa semplice scoprire dove vive, che lavoro fa, quali sono i suoi particolari interessi, quali luoghi frequenta abitualmente. In base a queste informazioni, creare messaggi ingannevoli efficaci diventa altrettanto semplice.
Lo spear phishing in ambito aziendale
Gli attacchi di spear phishing generalmente hanno come scopo quello di rubare ingenti somme di denaro, prendendo di mira professionisti e organizzazioni. In ambito aziendale, spesso gli hacker provano a chiedere bonifici, spacciandosi per fornitori, oppure richiedono dati sensibili spacciandosi per collaboratori. Non solo, molto spesso le campagne di spear phishing vedono anche la diffusione di malware attraverso allegati email, oppure il furto di credenziali come nomi utenti e password. Non mancano i casi di criminali della rete che tentano di appropriarsi di segreti industriali di alto valore economico, o di materiale che per un’azienda può avere una grande importanza sul piano reputazionale. Per fare questo, uno gli spear phisher indentificano con cura i loro obiettivi.
Gli obiettivi dello spear phishing
Gli spear phisher si rivolgono agli utenti che hanno un accesso diretto ai dati di loro interesse, oppure a coloro che possono fornirgli un utile accesso indiretto ai dati attraverso il download inconsapevole di un malware. Per indurre gli utenti a cedere di propria volontà i loro dati personali, i criminali del web ricorrono a specifiche tecniche di ingegneria sociale. Gli attacchi di phishing solitamente fanno leva su precise emozioni umane, come la paura, il desiderio, la compassione, e non solo. Generalmente vengono presi di mira dipendenti di medio e basso livello, nuovi assunti, oppure a chi dispone di privilegi di accesso al sistema e alla rete particolarmente elevati. Molto spesso vengono colpiti anche i responsabili finanziari che hanno l’autorizzazione ad eseguire pagamenti in autonomia. Si registrano attacchi anche ai responsabili HR che hanno accesso diretto ai dati personali dei dipendenti. Non mancano anche gli attacchi mirati ai dirigenti e ai massimi vertici aziendali. Questo tipo di minaccia prende il nome specifico di whaling o di BEC, Business Email Compromise.
Come combattere lo spear phishing con la formazione
Gli attacchi di spear phishing diventano sempre più temibili a causa del loro grado sempre più elevato di precisione e di personalizzazione. Tuttavia, ogni organizzazione può adottare una serie di contenuti utili per ridurre i pericoli di questo tipo di minaccia. A tal proposito, sarà importante investire sulla formazione e la sensibilizzazione del personale. Lo spear phishing fa soprattutto leva sulla natura umana. Per questo è importante che tutti i dipendenti conoscano questo genere di minaccia. Dovranno imparare a gestire con attenzione la posta elettronica che ricevono. È importante che tutto il personale sappia a chi rivolgersi in caso di email sospette, chiedendo conferma per attraverso canali alternativi. Inoltre, tutti i dipendenti dovranno badare a non condividere informazioni aziendali sensibili sui social media.
Gli strumenti informatici per combattere lo spear phishing
L’attenzione umana è fondamentale per combattere gli attacchi phishing, ma da sola non è sufficiente. È molto importante affidarsi a strumenti di protezione informatica efficienti, come l’autenticazione a due fattori. Grazie a questa, anche se un hacker riuscisse ad impadronirsi delle password della posta elettronica, non potrebbe comunque accedere ai messaggi riservati. È essenziale ricorrere anche a sistemi di Email Filtering ed Email Security basati su sistemi antispam e antivirus, in grado di rilevare le email di spear phishing prima che arrivino nella casella di posta elettronica. Contattaci subito per trovare la soluzione personalizzata più adatta alla tua email aziendale.