Nonostante il phishing sia uno degli attacchi più noti, esso continua a colpire migliaia di persone ogni giorno. La diffusione della modalità as-a-Service e l’utilizzo sempre più frequente dei propri dispositivi personali (il cosiddetto Byod, Bring Your Own Device), sono solo alcuni degli elementi che mettono inevitabilmente la sicurezza informatica aziendale. La parola d’ordine, pertanto, rimane quella di non fidarsi. Tuttavia, Hwg, azienda specializzata nel settore, ha stilato una lista degli errori più comuni che le persone commettono prima di finire nella rete degli hacker:
- fidarsi di e-mail ricevute da mittenti sconosciuti che utilizzano indirizzi generici: spesso accade di ricevere e-mail da indirizzi che all’apparenza conosciamo ma dove in realtà il mittente non è colui che afferma di essere. È quindi bene verificare l’indirizzo senza limitarsi a guardare il nome mostrato nella webmail o nel client di posta elettronica. Spesso, questo tipo di e-mail arrivano a nome della propria banca o di un fornitore di servizi e richiedono di avere o di aggiornare le informazioni personali;
- errori ortografici: è necessario porre attenzione alle e-mail che ci arrivano. La presenza di errori ortografici all’interno del testo potrebbe essere un chiaro segno di phishing. Spesso infatti, le mail di phishing sono scritte in una lingua e poi tradotte utilizzando traduttori automatici;
- scaricare gli allegati: un errore molto comune è scaricare gli allegati senza prima accertarsi dell’indirizzo del mittente. Gli allegati di email dannose possono essere mascherati da documenti importanti, fatture e altro ancora per indurre l'utente ad aprire il file che ovviamente contiene un ransomware;
- pagamenti urgenti: una delle tecniche più diffuse per cercare di ottenere informazioni e dati sensibili è l’invio di e-mail da parte degli hacker con richieste di pagamenti urgenti in modo da agitare l’utente e spingerlo ad agire velocemente;
- e-mail che annunciano vincite: almeno una volta nella vita sarà capitato di ricevere una mail in cui viene comunicata una vincita. Il problema sta nel fatto che se si partecipa al concorsi o alla lotteria, l’unica sorpresa che si riceverà è un potenziale attacco hacker.
Oltre a porre maggiore attenzione quando riceviamo le email, Hwg fornisce alcuni suggerimenti utili per proteggersi in modo efficace:
- url defense software: uno strumento che rileva, cattura e analizza immediatamente gli URL dannosi;
- training di security awareness e simulazioni per ridurre il rischio di phishing: lavorare sulla formazione aziendale attraverso simulazioni di attacchi informatici consente di educare i dipendentia reagire correttamente in caso di attacco reale e ad acquisire altre abilità di cyber security;
- e-mail isolation per gli utenti più a rischio: permette ai dipendenti di accedere liberamente alla loro e-mail personale senza esporre l’azienda ai malware o alla perdita di dati. La soluzione utilizza la tecnologia di isolamento basata sul cloud, per ridurre la superficie d’attacco e proteggere l’utilizzo dell’e-mail personale del dipendente;
- multi-factor authentication: l’autenticazione a due fattori permette di monitorare le procedure di autenticazione e di autorizzazione prima di fornire l’accesso proteggendo così da potenziali minacce;
- back-up per la protezione dei dati: duplicare un file o un insieme di dati è un modo per tenerli al sicuro in caso di imprevisti e di furto di informazioni;
- allegati e link: prima di cliccare, scorrere sempre sopra con il cursore. In questo modo è possibile verificare e controllare se un link è sicuro prima di farvi clic o di caricare la pagina web a cui fa riferimento.