Tutti i diversi tipi di attacchi di phishing

Pubblicato: 2022-07-27

Il phishing è una delle minacce informatiche più comuni affrontate dalle aziende oggi.

Essendo così comune, è piuttosto sorprendente sapere che così tante persone non sono consapevoli di cosa sia e cosa significhi esattamente il phishing, oltre a tutte le diverse varianti di attacchi di phishing esistenti.

Anche coloro che sanno cos'è il phishing sono ancora presi alla sprovvista. Secondo un recente rapporto del 2021, oltre l'80% delle organizzazioni è stato vittima di attacchi di phishing lo scorso anno.

Questo è il motivo per cui il team di Data Connect sta aiutando a sensibilizzare su alcuni dei diversi tipi di attacchi di phishing con questa utile guida.

Di seguito sono elencati solo alcuni dei tipi più comuni.

L'impatto degli attacchi di phishing

quiz sul phishing di Google
Immagine: Google

Le organizzazioni devono affrontare molte conseguenze dopo essere cadute vittime di un attacco di phishing.

Poiché gli attacchi informatici aumentano ogni anno, con approcci molto più complessi, i membri di un'organizzazione devono essere consapevoli dei rischi e degli impatti degli attacchi di phishing non solo sulla sicurezza informatica ma sull'azienda nel suo insieme.

Secondo i dati di Tessian, gli esiti più comuni di un attacco di phishing includono:

  • Perdita di dati
  • Credenziali e/o account compromessi
  • Organizzazioni infette da ransomware
  • Infezione da malware
  • Perdite finanziarie

Gli attacchi di phishing non solo creano scenari complicati da superare per le organizzazioni, ma mettono anche un'azienda a rischio di sanzioni, interruzioni, perdita di attività e reddito.

Inoltre, il costo per rimediare ai danni causati da un attacco può essere spesso estremamente costoso. Pertanto, è importante comprendere gli attacchi di phishing ed essere consapevoli dei loro diversi tipi.

Ecco sei delle tecniche di phishing più comuni dei criminali informatici quest'anno.

E-mail di phishing

logo gmail
Immagine: KnowTech

Lo stile di phishing più comune e prolifico è il phishing tramite posta elettronica. Se conosci solo un po' gli attacchi di phishing, incontrerai sicuramente un attacco via e-mail.

L'attacco si verifica quando un'e-mail dannosa viene inviata a individui, spesso fingendo di essere un'organizzazione autentica.

Con il semplice clic di un collegamento, i criminali informatici possono infettare il tuo dispositivo con malware o manipolarti ulteriormente per farti divulgare le tue informazioni personali.

Un recente rapporto sulla sicurezza informatica di Cisco ha rilevato che almeno una persona ha fatto clic su un collegamento di phishing in circa l'86% delle organizzazioni nel 2021. Mostrando quanto siano realmente diffusi questi attacchi e il rischio che rappresentano.

Spear-phishing

Spear phishing è il termine utilizzato per descrivere un tipo di attacco di phishing in cui il criminale informatico prende di mira un individuo piuttosto che una generica base di utenti di massa.

Per quanto riguarda il tasso di "successo", questi attacchi funzionano a causa dello spoofing legittimo dei contenuti (che imita le e-mail reali).

L'e-mail può contenere il nome del destinatario e dettagli specifici, come il ruolo, il numero di telefono e altri dettagli per renderlo il più credibile possibile.

Può anche includere marchi di fiducia con cui l'attaccante sa che l'individuo interagisce. Questo è uno dei motivi più comuni per cui le persone cadono annualmente vittime di truffe di phishing.

Caccia alla balena

La caccia alle balene è un tipo specifico di attacco di phishing utilizzato per prendere di mira individui di alto livello, il più delle volte CEO e direttori di organizzazioni.

Il colpevole dell'attacco ingannerà l'individuo con e-mail false per ottenere l'accesso alle proprie credenziali, installare malware sui propri computer o costringerlo a trasferire denaro.

I direttori sono spesso presi di mira a causa della loro autorità all'interno di un'azienda e della probabilità che abbiano accesso a informazioni più sensibili.

Un esempio è l'invio di e-mail da loro ad altri nell'organizzazione per ottenere la loro fiducia e accedere ulteriormente ai dati aziendali.

Smishing e Vishing

esempio di attacco smishing
Immagine: KnowTech

Si tratta di due stili di attacchi di phishing che utilizzano forme di comunicazione alternative, allontanandosi dalle e-mail.

Smishing si riferisce al phishing tramite SMS, l'invio di un messaggio di testo per attirare le vittime.

Spesso i criminali falsificano le attività legittime e utilizzano tecniche di ingegneria sociale come richiedere l'urgenza di manipolare le vittime affinché si impegnino.

Secondo Tessian, il 56% dei dipendenti ha ricevuto un sms truffa, con il 32% che ha ottemperato alle richieste.

Spesso questi testi incoraggeranno un destinatario a completare uno dei numerosi passaggi, tra cui:

  • Apertura di un collegamento a un sito fraudolento
  • Contattare una persona
  • Download di un allegato o di un'applicazione

Le statistiche suggeriscono che questo stile di attacco di phishing è in aumento, con il numero di messaggi di smishing ricevuti quasi triplicato tra il 2019 e il 2020.

Potresti aver ricevuto un messaggio di testo fraudolento sulla scia della pandemia di COVID-19, in cui i criminali hanno approfittato della situazione in corso per prendere di mira le persone vulnerabili.

Vishing è l'acronimo di "phishing vocale" e viene fornito al telefono per costringere le vittime a condividere informazioni sensibili. La maggior parte delle persone è già a conoscenza di questo tipo di phishing.

Ciò significa che è diventato più sofisticato e spesso non è la prima fase di un attacco (ad es. ricercare prima la vittima o l'attività).

Phishing sui social

Immagine: bandt.com.au

Il phishing sui social media è esattamente come suggerisce il nome, un attacco eseguito tramite piattaforme di social media. Ciò include piattaforme popolari come Facebook, Twitter, LinkedIn e Instagram.

Di solito, questo verrà utilizzato per ottenere il controllo di un account di social media, tuttavia, per le aziende, questo metodo può anche consentire a malintenzionati di ottenere dati e credenziali tramite i profili dei singoli dipendenti.

Con l'uso di LinkedIn, ora è ancora più facile per i criminali trovare le informazioni di cui hanno bisogno per portare a termine tali attacchi.

Quando si tratta di proteggere te stesso e la tua organizzazione dagli attacchi di phishing, alcuni passaggi importanti da intraprendere includono:

  • Addestra i tuoi team a riconoscere le e-mail di phishing con simulazioni di phishing e formazione
  • Contribuisci a creare una cultura in cui i dipendenti si sentano invitati a porre domande sulla sicurezza e segnalare attività o errori sospetti
  • Limita la quantità di danno che può essere causato dal malware limitando l'accesso dell'amministratore solo a coloro che lo richiedono per il proprio ruolo
  • Usa l'autenticazione a più fattori (MFA) per tutti gli account

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

  • OpenSea avverte gli utenti di tentativi di phishing NFT dopo la perdita di posta elettronica
  • Proteggi la tua piccola impresa dagli attacchi di phishing
  • Tipi di attacchi di phishing da cui proteggersi
  • Soluzioni anti-phishing: ne hai bisogno?