Sappiamo tutti che cos'è il phishing, vero?

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. (Wikipedia)

Questa truffa viene effettuata principalmente via email, ma è possibile trovare anche esempi e casi di siti web contraffatti, dove l'utente - ingenuamente - inserisce dati sensibili.

Scrivo questo post giusto per portarvi un esempio concreto, che mi è capitato poche ore fa. Voglio attirare la vostra attenzione sulla qualità che queste truffe hanno raggiunto.

E' plausibile che (più di) qualcuno di caschi. Se capita a casa il danno è limitato. Se dovesse capitare in azienda, la questione si complica notevolmente

Mentre navigavo su internet mi si è aperta questo sito:

Come potete ammirare, il design è potente: immagini ben definite, loghi chiari, call to action precisa ed evidente, recensioni credibili. Certo, permane qualche errore nel testo, ma è limitato e - ricordiamoci - la nostra attenzione è calamitata dalle immagini e dalla call to action.

Ovviamente l'entità del premio dovrebbe già mettere in guardia l'utente, ma anche in questo caso viene sfruttato l'effetto tempo abbinato alla speranza che potrebbe essere un messaggio reale.

Proseguendo, ci vengono sottoposte 3 domande alle quali possiamo rispondere come vogliamo :-) per poi arrivare qui:

raccolta dati

Il truffatore chiede i nostri dati personali e nella schermata dopo, quelli della carta di credito.

Nulla di nuovo, certo.

Ma è sempre bene ricordare ed informare tutti i propri collaboratori e dipendenti che hanno accesso ai sistemi aziendali che il livello di queste truffe aumenta giorno dopo giorno.

Anche perché queste tipologie di phishing vengono spesso supportate da campagne di social engineering che colpiscono la persona giusta al momento giusto.

Un esempio?

  1. I criminali analizzano quale corriere viene utilizzato dall'azienda, la frequenza, i destinatari ed i mittenti.
  2. Contattano uno dei destinatari, mentre è in attesa di ricevere una merce
  3. Lo portano su un falso sito dello spedizioniere per estorcere qualche informazione.

Cosa fare?

Come sempre la formazione continua è l'elemento base della sicurezza informatica in azienda, qualsiasi sia la dimensione. Tutti i dipendenti ed i collaboratori devono essere aggiornati sulla tipologia dei pericoli a cui possono andare incontro, sui danni che possono provocare alcune loro azioni e su come difendersi.

  1. Nel caso specifico di phishing, verificare sempre l'URL che compare nella barra del browser.
  2. Per l'imprenditore/professionista/manager: iniziate un processo di in-formazione continua verso tutto il personale. Preparare un e-book, fategli leggere articoli sul web, organizzare incontri, webinar.

Voi - ma soprattutto - i vostri collaboratori, dovete essere aggiornati: per difendersi, dobbiamo prima conoscere il nostro nemico.