Dietro le quinte di un attacco di phishing
Gli attacchi di phishing sono sempre più sofisticati e su larga scala: ecco come funzionano e come proteggere la tua impresa da costose violazioni e pesanti danni d'immagine.
Senza carta di credito
Adrianus Warmenhoven: i concetti di base del phishing
:format(avif))
Grande o piccolo, ognuno di noi è un bersaglio
Gli hacker adattano il proprio approccio in base alle dimensioni dell'azienda da colpire, ma il phishing rimane uno dei metodi preferiti per truffare le persone e, di conseguenza, anche i dipendenti di qualsiasi impresa.
Le credenziali rubate abbondano e sono a buon mercato
Sul dark web è possibile acquistare circa 10.000 indirizzi e-mail verificati a soli 5 dollari: ecco perché condurre campagne di phishing su larga scala è facile e redditizio.
I furti d'identità basati sull'IA favoriscono gli attacchi di phishing personalizzati
Gli hacker possono addestrare l'intelligenza artificiale riguardo ai comportamenti online e allo stile di comunicazione di una persona, così da imitarla in modo convincente: le vittime abbasseranno quindi la guardia e sarà più difficile rilevare le e-mail di phishing.
Il fine ultimo è il profitto economico
Il phishing è, prima di ogni altra cosa, un'attività lucrativa. Se gli hacker riuscissero a spillare anche solo 5 centesimi da un milione di persone, guadagnerebbero 50.000 dollari con un solo attacco.
Gli effetti a catena del phishing
Talvolta basta un solo clic per scatenare una violazione su larga scala.
60 secondi: è questa la rapidità con cui si abbocca alle truffe di phishing
Nel terzo trimestre del 2024, il consorzio internazionale APWG specializzato in phishing ha registrato 932.923 attacchi di questo tipo, rispetto agli 877.536 del trimestre precedente.
Fonte: apwg.org
Per risolvere una violazione possono occorrere quasi 300 giorni
Talvolta possono essere necessari diversi mesi, o addirittura quasi un anno, per risolvere completamente una violazione: ciò mette a dura prova le risorse IT e compromette la fiducia da parte del pubblico.
Fonte: newswoom.ibm.com
4,88 milioni di dollari è il costo medio di una violazione di dati nel 2024
L'importo è cresciuto del 10% rispetto all'anno precedente ed è il più alto di sempre: ciò sottolinea la crescita esponenziale delle perdite finanziarie che, al giorno d'oggi, le aziende subiscono a causa delle violazioni di dati.
Fonte: ibm.com
La compromissione di e-mail aziendali (BEC) ha causato perdite per 2,9 miliardi di dollari nel 2023
Nel terzo trimestre del 2024, l'importo medio dei trasferimenti di denaro richiesti negli attacchi BEC è stato di 67.145 dollari.
Fonte: ic3.gov
I miei dati sono sul dark web?
Vuoi sapere se le e-mail o i domini della tua azienda sono stati compromessi? Usa il nostro scanner veloce per rilevare le violazioni note.
Un servizio di
I costi dei crimini informatici globali raggiungeranno i 9.500 miliardi di dollari nel 2024
Scansione delle violazioni in corso...
Assumi il controllo della tua sicurezza aziendale e personale
Le minacce informatiche si evolvono senza sosta, ma non serve essere degli esperti per proteggere i propri account aziendali o personali. Ecco alcune misure che puoi adottare.
:format(avif))
Identifica i dati compromessi
Monitora regolarmente i tuoi account e servizi per rilevare eventuali indizi di esposizione dei dati. L'utilizzo di strumenti come lo Scanner del dark web può aiutarti a rimanere al corrente delle violazioni che coinvolgono le tue credenziali.
:format(avif))
Ricevi notifiche sulle violazioni
L'attivazione di notifiche in caso di violazioni ti consente di intervenire subito quando i tuoi dati vengono compromessi, riducendo così il rischio di ulteriori danni.
:format(avif))
Ricevi consigli da parte di esperti
Conoscere le più recenti prassi consigliate in materia di sicurezza informatica può ridurre in modo significativo la vulnerabilità alle truffe di phishing. Valuta il ricorso a consulenze di professionisti o l'abbonamento a servizi di sicurezza informatica affidabili.
I consigli degli esperti per evitare le truffe di phishing
Prenditi il tuo tempo
Il phishing non è micidiale perché è intelligente: lo è perché è veloce. Se hai ricevuto un link tramite un'e-mail o un messaggio diretto, fai un bel respiro e pensaci bene prima di cliccarci sopra: controlla l'URL e cerca errori grammaticali o altri indizi rivelatori di una truffa di phishing.
:format(avif))
Attiva la compilazione automatica nel tuo gestore di password
I gestori di password come NordPass offrono un ulteriore livello di sicurezza, dal momento che non compilano in automatico le credenziali sui siti web sospetti: questo comportamento ti aiuta a individuare potenziali tentativi di phishing. Verifica che il tuo gestore di password sia configurato in modo tale da richiedere la corrispondenza degli URL prima di inserire dati sensibili.
:format(avif))
Attiva l'autenticazione a più fattori (MFA)
Con l'aggiunta di un ulteriore passaggio alla procedura di accesso, per i criminali informatici sarà molto più difficile entrare nei tuoi account, anche se avessero le password. Imposta l'MFA ovunque sia possibile, soprattutto per gli account più importanti.
:format(avif))
I prezzi mostrati non includono l'IVA.
Domande frequenti
Gli attacchi di phishing fanno leva sul comportamento umano: la maggior parte di noi, infatti, tende a fidarsi delle e-mail o dei messaggi che sembrano provenire da soggetti noti. I criminali informatici usano un linguaggio che comunica un senso di urgenza o di pericolo, per spingere le ignare vittime a fare clic senza pensare. Scopri di più sui trucchi psicologici alla base del phishing in questo articolo.
I criminali informatici aggiornano spesso le proprie tattiche, per restare al passo con l'evoluzione dei filtri antispam e la crescente consapevolezza degli utenti. Fra le tendenze più recenti troviamo lo "spear phishing" (un attacco altamente personalizzato che prende di mira un individuo o un ruolo specifico), i furti di identità sui social media e gli approcci multicanale (e-mail + messaggi di testo). Per difendersi in modo più efficace è fondamentale rimanere al corrente di queste strategie in costante evoluzione.
Benché il phishing sia una minaccia per tutti gli ambiti economici, gli obiettivi principali sono i settori che gestiscono grandi volumi di dati sensibili, come finanza, sanità ed e-commerce. Anche le aziende più piccole di questi comparti sono a rischio, dal momento che i criminali informatici le considerano dei punti di accesso più vulnerabili a informazioni preziose.
I costi possono variare di molto in base a fattori come la gravità della violazione e le dimensioni dell'impresa. Oltre alle perdite finanziarie dirette dovute alle frodi, spesso le aziende devono affrontare anche spese legali, sanzioni amministrative e danni d'immagine. In molti casi, tenendo conto di sospensioni forzate delle attività e interventi di ripristino, i costi possono diventare milionari.
Una protezione efficace inizia con la formazione del personale, che deve essere consapevole dei pericoli e imparare a riconoscere e-mail, collegamenti e allegati sospetti. Anche l'adozione di politiche che rendono obbligatorie le password complesse, l'utilizzo di strumenti di sicurezza come i filtri e-mail e l'impiego dell'autenticazione a più fattori riducono in modo significativo le probabilità che i tentativi di phishing vadano a segno.
Un gestore di password per aziende, come NordPass Business, aiuta a mantenere al sicuro le credenziali e ti segnala le pagine di accesso sospette. Altri utili strumenti sono i software per la sicurezza degli endpoint, le soluzioni di filtraggio delle e-mail e gli strumenti di scansione automatizzati che segnalano potenziali link di phishing prima che qualcuno ci clicchi sopra.
Le realtà produttive di piccole dimensioni possono implementare strumenti di difesa efficaci anche senza spendere una fortuna. Ad esempio, possono valutare l'utilizzo di gestori di password aziendali come NordPass per condividere in modo sicuro le credenziali. Anche la formazione regolare del personale, l'impiego di firewall di base e l'aggiornamento dei software offrono una protezione efficace a fronte di costi minimi.
Oltre al phishing, le aziende e gli utenti privati devono fare i conti con minacce come il credential stuffing (dove i criminali provano a usare i dati di accesso rubati su numerosi siti) o gli attacchi di forza bruta, che prendono di mira le password deboli. Avendo a disposizione strumenti per la gestione delle password e il monitoraggio delle violazioni è più facile rilevare in anticipo le vulnerabilità e porvi rimedio, per impedire che una piccola falla di sicurezza inneschi una violazione su larga scala.