Phishing: cosa dovete sapere prima di rispondere a questa "email urgente"?

Il phishing è una delle minacce informatiche più comuni. Ecco un dato che lo dimostra: nel 2023 sono stati inviati in tutto il mondo 1,76 miliardi di URL fraudolenti (fonte: Stoïk 2023 Cyber Claims Report).
Quali sono le caratteristiche di questo tipo di attacco online? Come ci si può proteggere? Quali sono i migliori strumenti anti-phishing? Ecco tutto quello che dovete sapere per ridurre al minimo i rischi e l'impatto del phishing sulla vostra azienda.
Definizione di phishing
Che cos'è il phishing?
Il phishing è un attacco informatico basato sul principio dell'ingegneria sociale. In termini pratici, ciò significa che il cuore della truffa risiede nell'errore umano (eccesso di fiducia, mancanza di vigilanza, ecc.), piuttosto che in un vero e proprio difetto tecnico.
In un tentativo di phishing, un hacker si appropria dell'identità di uno dei vostri contatti fidati per inviarvi un'e-mail o un messaggio urgente. Di solito l'hacker agisce a nome di un'istituzione (banca, società di spedizioni, partner, cliente, ecc.), ma in attacchi più mirati può anche fingersi un collega o un superiore.
Il messaggio chiede all'utente di "aggiornare" o "confermare" i propri dati a seguito di un errore tecnico, di un aggiornamento, ecc.
🔎 In realtà, l'obiettivo dell'hacker è recuperare i dati personali o bancari per sfruttarli.
Sequenza tipica di un attacco di phishing
-
Preparazione: selezione degli obiettivi, raccolta delle informazioni necessarie per essere credibili e scelta della strategia.
-
Distribuzione: distribuzione di massa o mirata di messaggi fraudolenti utilizzando nomi di dominio dirottati.
-
Creazione di un senso di urgenza e sfruttamento dell'autorità. La frode appare credibile, con un messaggio dal contesto coerente ed elementi visivi copiati (logo aziendale).
-
Acquisizione di dati attraverso il reindirizzamento a un nome di dominio falso o a un modulo di input.
-
Utilizzo di identificatori, trasferimento di denaro su un conto, rivendita di dati sul dark web.
-
Dopo l'operazione, cancellazione dei siti fraudolenti, occultamento dell'origine dell'attacco.
I diversi tipi di phishing
Esistono diversi tipi di phishing, a seconda della vittima bersaglio e del tipo di mezzo di comunicazione utilizzato:
-
Email phishing classico: un'email generica inviata in massa spacciandosi per organizzazioni legittime (banche, servizi online). La vittima viene poi reindirizzata a un nome di dominio che replica i siti originali. 💌
-
Spear phishing: un attacco mirato che richiede una ricerca preventiva della futura vittima con un messaggio personalizzato.
-
Whaling: un attacco di phishing che si rivolge specificamente ai "pesci grossi" (dirigenti, manager, ecc.) con messaggi sofisticati e una posta finanziaria elevata. 🐋
-
Smishing: una forma di phishing effettuata tramite SMS con un breve messaggio che incoraggia l'utente a cliccare su un link. 📲
-
Vishing: phishing telefonico o in videoconferenza, fingendo di essere un membro di un'organizzazione ufficiale.
-
Quishing: tecnica di phishing che utilizza la tecnologia dei codici QR.
Spam e phishing: quali sono le differenze?
Spam e phishing sono entrambi classificati come messaggi indesiderati. Lo spam è un'e-mail non richiesta inviata in massa per promuovere un prodotto o un servizio. È invasivo, ma non comporta alcun elemento di frode. Non c'è furto di identità o di informazioni, ma solo pubblicità aggressiva.
Che aspetto ha un attacco di phishing?
Come si riconosce un attacco di phishing? Ecco i vari segnali che indicano che potreste essere vittime di phishing.
Indizio n. 1: un indirizzo mittente sospetto
In un attacco di phishing, l'hacker indica un indirizzo del mittente copiato da quello di un'istituzione, ma leggermente diverso. Prestate attenzione al "." e al "-", ai numeri e all'ordine delle parole nell'indirizzo.
Esempio: amazon-service@gmail.com invece di service@amazon.com.
Indizio n. 2: attenzione ai dettagli visivi
Prestate molta attenzione ai loghi, alle intestazioni e al layout generale delle e-mail. I tentativi di phishing spesso utilizzano versioni leggermente alterate delle identità visive ufficiali: loghi di scarsa qualità, colori leggermente diversi, font inadatti. Queste piccole differenze vi aiutano a identificare la contraffazione!
Indizio n. 3: errori ortografici e grammaticali
Nel caso del phishing di massa, non è raro trovare numerosi errori di ortografia nei messaggi inviati. Naturalmente, più sofisticato è il tentativo, meno errori conterrà l'e-mail. Tuttavia, è sempre possibile individuare formule che non corrispondono alle regole di comunicazione abituali della vostra organizzazione.
Nota: con la democratizzazione dell'uso dell'intelligenza artificiale, anche gli hacker stanno diventando sempre più sottili nelle loro comunicazioni.
Indizio n. 4: saluti generici
Il phishing di massa non si preoccupa della personalizzazione. Diffidate quindi delle e-mail che iniziano con "caro cliente" o "caro collega" e che non contengono alcun elemento di personalizzazione.
☝️ Ma attenzione, perché i casi di spear phishing o whaling possono comunque contenere informazioni mirate su di voi e sulla persona che pensate sia il mittente.
Indizio n. 5: l'impressione di eccessiva urgenza
È molto raro che aziende, istituzioni e fornitori di servizi decidano di chiudere il vostro conto senza preavviso. Quando si riceve una minaccia di questo tipo con pochissimo preavviso, si è sicuramente vittima di un attacco di phishing.
Il primo istinto dovrebbe essere quello di contattare l'organizzazione in questione (tramite un canale diverso dal link fornito) per verificare le informazioni.
Suggerimento n. 6: richieste di informazioni sensibili
È molto importante che i vostri team siano consapevoli della seguente idea:
Nessuna organizzazione legittima vi chiederà mai informazioni riservate tramite e-mail o messaggi.
Se i vostri dipendenti hanno ben presente questo concetto, è praticamente impossibile cadere vittima del phishing.
Le richieste di password complete, numeri di carte bancarie con codici di sicurezza o copie di documenti d'identità dovrebbero essere un segnale d'allarme immediato.
Quali sono i rischi associati al phishing?
Per comprendere appieno i rischi associati al phishing, non c'è niente di meglio che qualche esempio.
Dal 2013 al 2015, un truffatore ha sottratto più di 100 milioni di dollari a Facebook e Google spacciandosi per l'azienda Quanta. Ha emesso fatture false da questo ex partner dei due giganti. Come potete vedere, anche i grandi nomi del web non sono immuni dal phishing.
Nel 2015, lo spear phishing ha permesso agli hacker di inserire malware nei sistemi di controllo delle centrali elettriche ucraine. Il risultato è stato un'interruzione di corrente a livello nazionale.
Ultimo esempio. Nel 2016, l'azienda aerospaziale austriaca FACC è stata vittima di un attacco whaling. I servizi finanziari dell'azienda hanno inviato quasi 42 milioni di euro agli hacker che si sono spacciati per l'amministratore delegato dell'azienda.
Il rischio principale per le organizzazioni è quello finanziario. Ma le conseguenze non si fermano qui. Le aziende che cadono vittime del phishing vedono scomparire molti dei loro dati essenziali e perdono la loro reputazione con clienti e partner.
Come ci si può proteggere dal phishing?
Per proteggere la vostra organizzazione dagli attacchi di phishing, dovete combinare un approccio umano e tecnico. Incorporate buone pratiche digitali per tutti i vostri dipendenti e rafforzate il vostro arsenale di difesa informatica.
La regola di base: mai dare informazioni personali
Stabilite processi rigorosi per la trasmissione di informazioni sensibili. Nessun dato riservato (identificativi, password, dati bancari, ecc.) deve essere condiviso via e-mail o telefono. Questa regola deve essere rispettata al 100%.
Anche se la richiesta sembra provenire dalla direzione, non deve essere convalidata in nessun caso. Al contrario, dovrebbe richiedere una vigilanza ancora maggiore.
Il nostro consiglio: per questo tipo di richieste, mettete in atto un protocollo di segnalazione che deve essere seguito da tutti i dipendenti, pena l'applicazione di sanzioni.
Formate i vostri team e rendeteli consapevoli dei rischi del phishing
La formazione deve essere adattata ai rischi specifici di ogni reparto. I team finanziari, che spesso si trovano a dover affrontare la "frode del presidente", dovrebbero concentrarsi su questo tipo di minaccia.
I membri dell'alta dirigenza devono essere sensibilizzati sul whaling, che li riguarda direttamente. Organizzate regolarmente sessioni di formazione con esempi. Si consiglia inoltre di testare la vigilanza dei team con attacchi simulati.
Utilizzare un filtro antispam efficace
Investite in una soluzione di filtraggio a più livelli per rafforzare la vostra protezione contro il phishing. A tal fine, scegliete uno strumento che combini diversi approcci di rilevamento:
-
Analisi euristica e comportamentale.
-
Confronto con un database di mittenti dannosi.
-
Tecnologie di intelligenza artificiale per identificare le minacce zero-day.
Installazione e aggiornamento di una soluzione antimalware efficace
Integrate la protezione anti-phishing nella vostra strategia generale di sicurezza informatica. Dopo tutto, nonostante tutte le precauzioni del mondo, il phisher potrebbe riuscire a ingannare uno dei vostri dipendenti. In questo caso, non potete permettervi di non avere una soluzione anti-malware completa. Rappresenta l'ultima linea di difesa e deve essere implementata su tutte le postazioni di lavoro dell'azienda.
💡 Al momento della scelta, concentratevi sulle seguenti caratteristiche:
- protezione in tempo reale,
- analisi comportamentale
- verifica degli URL,
- blocco dei siti dannosi
- e monitoraggio della modifica dei file (ransomware).
Dovete anche assicurarvi che il software sia facile da usare, soprattutto se non avete una divisione di sicurezza informatica.
Come reagire in caso di attacco riuscito?
Nonostante una protezione umana e tecnologica completa, il rischio zero non esiste. Ecco come reagire in caso di attacco di phishing riuscito da parte di un criminale informatico.
Reagire rapidamente e segnalare l'incidente
In caso di attacco, il primo istinto dovrebbe essere quello di disconnettere immediatamente il dispositivo infetto da Internet e dalla rete interna. Da un altro dispositivo sicuro, modificate le password degli account potenzialmente compromessi.
Quindi segnalate immediatamente l'incidente al vostro responsabile della sicurezza informatica.
Una volta convalidato questo primo passo, contattate le altre organizzazioni interessate:
-
Contattare la propria banca se sono stati divulgati i dati del proprio conto.
-
Segnalare la frode alla polizia e alle altre autorità competenti.
-
Informare l'organizzazione la cui identità è stata usurpata.
Valutare l'entità del danno
Identificate esattamente quali informazioni e dati sono stati compromessi. Eseguite una scansione del sistema con un software anti-malware per rilevare la presenza di software dannoso sulla vostra postazione di lavoro. Se viene rilevato del malware, seguite la procedura raccomandata dal vostro strumento.
Implementare un piano di recupero
Se si ritiene che l'integrità della workstation sia stata compromessa, reinstallare completamente il sistema operativo. Si consiglia inoltre di impostare un sistema di backup in modo da poter ripristinare una versione precedente all'attacco.
Imparare dall'attacco e ottimizzare la sicurezza
Analizzate l'attacco in dettaglio per identificare e correggere eventuali falle nella sicurezza. In seguito a questa analisi, formate i vostri team di conseguenza e migliorate le vostre procedure di sicurezza informatica.
Software anti-phishing: la nostra top 4
Se state cercando uno strumento per proteggere i vostri sistemi dal phishing, ecco la nostra selezione dei migliori software sul mercato:
-
Altospam: la soluzione numero 1 per la protezione delle caselle di posta elettronica aziendali. Grazie al suo software Mailsafe, beneficiate di un'analisi euristica che riduce i falsi positivi a meno dello 0,01%. La soluzione si integra perfettamente con Google Workplace e Microsoft 365.
-
Barracuda Email Protection: protezione completa contro phishing, ransomware e malware, grazie a tecniche avanzate di analisi comportamentale ed euristica, oltre alla tecnologia AI.
-
Phished: un approccio incentrato sulla formazione dei dipendenti con risultati che parlano da soli: una riduzione del tasso di phishing dal 40,5% a meno del 5% tra i loro clienti.
-
Cofense: una combinazione di attacchi simulati e una rete di segnalazione globale per essere sempre al passo con l'innovazione degli hacker.
Definizione di phishing: cosa significa?
Il phishing è un rischio informatico che riguarda tutte le organizzazioni, indipendentemente dal settore o dalle dimensioni. Nonostante l'attenzione rivolta al tema dai professionisti della difesa informatica e dalle autorità, il phishing non è mai fiorito. Il motivo? Con l'intelligenza artificiale, le tecniche si evolvono.
Le informazioni possono essere ricercate più rapidamente e le tecniche di phishing sono ancora più efficaci. Un esempio: le videoconferenze con deepfakes più grandi della realtà.
Il phishing ci ricorda una verità fondamentale: la tecnologia da sola non è sufficiente per la sicurezza informatica. Sono essenziali anche una cultura metodica del dubbio, il rispetto delle procedure e la vigilanza personale.
Articolo tradotto dal francese

Maëlys De Santis, Growth Managing Editor, ha iniziato a lavorare in Appvizer nel 2017 come Copywriter & Content Manager. La sua carriera in Appvizer si distingue per le sue approfondite competenze in materia di strategia e marketing dei contenuti, nonché di ottimizzazione SEO. Maëlys ha conseguito un Master in Comunicazione interculturale e traduzione presso l'ISIT e ha studiato lingue e inglese presso l'Università del Surrey. Ha condiviso la sua esperienza in pubblicazioni come Le Point e Digital CMO. Contribuisce all'organizzazione dell'evento globale SaaS, B2B Rocks, dove ha partecipato al keynote di apertura nel 2023 e nel 2024.
Un aneddoto su Maëlys? Ha una passione (non tanto) segreta per i calzini eleganti, il Natale, la pasticceria e il suo gatto Gary. 🐈⬛