Prevenzione in azienda

Vishing, smishing e phishing.Come difendersi dagli attacchi di ingegneria sociale

4 minuti di lettura

Gli attacchi di social engineering rimangono una delle principali preoccupazioni per le organizzazioni e gli individui di tutto il mondo nel panorama in continua evoluzione delle minacce alla sicurezza informatica. Per i reparti IT è fondamentale essere consapevoli dei diversi tipi di sfide e aiutare i dipendenti a comprendere e prevenire i rischi. Ecco alcuni consigli su come potenziare la vostra infrastruttura di sicurezza digitale.

L'elemento umano

Sebbene la tecnologia svolga un ruolo significativo nella sicurezza digitale, l'elemento umano rimane un fattore critico. Secondo il Verizon 2023 Data Breach Investigations Report, il 74% delle violazioni ha coinvolto l'elemento umano, che comprende attacchi di social engineering, errori e usi impropri. Questa statistica sottolinea l'importanza di educare i dipendenti sui vari tipi di attacco e sui metodi di protezione.

Probabilmente tutti in azienda hanno già sentito parlare di phishing, ma questo non lo rende meno pericoloso. Al contrario, le e-mail di phishing rimangono tra le tecniche di criminalità informatica più prolifiche, in cui gli aggressori tentano di ingannare le persone per indurle a rivelare informazioni sensibili, come password, dati della carta di credito o identificazione personale, spacciandosi per entità affidabili. In genere utilizzano tattiche ingannevoli, come false e-mail con link a siti web che imitano organizzazioni o individui legittimi. Come molti potrebbero pensare, l'e-mail non è l'unico veicolo per realizzare una truffa, e ultimamente non è stato il più efficace. Vediamo alcune altre forme di phishing.

Vishing

Il vishing, abbreviazione di "voice phishing", prevede che i truffatori utilizzino telefonate o messaggi vocali per ingannare le persone e indurle a divulgare informazioni sensibili o a effettuare pagamenti fraudolenti. Il livello di sofisticazione di questi attacchi varia da imitatori umani a chiamate automatiche. Alcuni truffatori ricorrono anche allo spoofing delle chiamate, utilizzando numeri di telefono legittimi per migliorare l'inganno. L'ultima versione del vishing include le chiamate deepfake, che possono simulare la voce di una persona specifica utilizzando strumenti di intelligenza artificiale, per renderle ancora più convincenti.

Smishing

Smishing, o "SMS phishing", significa inviare messaggi fraudolenti tramite SMS o app di messaggistica per manipolare le vittime affinché compiano azioni specifiche. I messaggi contengono in genere link che indirizzano i destinatari a siti web, pagine di login o app dannose. Una volta acceduti, questi canali possono estrarre informazioni personali, compresi i dati delle carte di pagamento, o infettare il dispositivo della vittima con malware.

Per combattere efficacemente l'ingegneria sociale, tenete a mente le truffe più comuni e i loro obiettivi:

Regole di base per i dipendenti

Esistono diverse buone pratiche che i dipendenti possono adottare per proteggersi da vari tipi di social engineering:

  1. Fermarsi, pensare e agire: I truffatori fanno leva sull'urgenza per manipolare le vittime. Prendete tempo per valutare le richieste ed evitate azioni affrettate. Evitate di cliccare sui link contenuti nei messaggi di testo e visitate il sito web ufficiale dell'organizzazione per verificare la legittimità della comunicazione.
  2. Diffidate dei numeri sconosciuti: Verificate le chiamate o i messaggi di testo provenienti da numeri sconosciuti o sospetti. Evitate di rivelare informazioni personali o di cliccare su link sconosciuti all'interno dei messaggi. In questo modo è possibile ridurre al minimo le possibilità di cadere vittima di queste truffe.
  3. Mantenere la riservatezza delle informazioni personali: Non rivelate mai informazioni sensibili come numeri di conto, numeri di previdenza sociale, password o codici di autenticazione a più fattori (MFA) a persone sconosciute al telefono o in un messaggio. Le organizzazioni legittime non richiederebbero tali dati attraverso chiamate o messaggi non richiesti.
  4. Verificare l'identità: Se ricevete un messaggio da qualcuno che dichiara di rappresentare un'azienda o un ente governativo, evitate di interagire direttamente. Verificate invece autonomamente la loro autenticità contattando l'organizzazione tramite le informazioni di contatto ufficiali disponibili sul suo sito web.
  5. Attivare forti misure di sicurezza: Utilizzate password forti e uniche per proteggere i vostri account. Considerate l'utilizzo di generatori e gestori di password per creare password o frasi di accesso lunghe e complesse e conservatele in modo sicuro. Utilizzate l'autenticazione a più fattori (MFA), se disponibile, per aggiungere un ulteriore livello di protezione.

La formazione sulla sicurezza digitale è fondamentale per proteggersi dalle minacce informatiche. Scaricate il manuale gratuito sul phishing per i dipendenti e condividetelo con il vostro team.

Banner for playbook about outsmarting phishing scams

DOWNLOAD

Scaricare