Phishing cos’è ?
Il Phishing ha conseguenze sul business aziendale: comporta perdite economiche, furto di dati e mina la brand reputation. Meglio di gran lunga prevenirlo.
Il Phishing, è definito dalla Polizia Postale come una tipologia di truffa realizzata sulla rete Internet tramite messaggi di posta elettronica ingannevoli.
In cosa consiste il phishing? Nello specifico, gli attacchi phishing sono vettori di attacchi informatici che avvengono attraverso una e-mail (o SMS in quel caso si parla di Smishing) che in apparenza proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l‘accesso previa registrazione (web-mail, e-commerce ecc.).
Il messaggio online invita, riferendo problemi di registrazione o di altra natura, a fornire i propri dati riservati d’accesso. Solitamente, è indicato un link che rimanda apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.
In realtà il sito a cui si rischia d’accedere è stato ingannevolmente allestito ricalcando l’originale. Qualora l’utente inserisca i propri dati riservati, automaticamente questi saranno nella disponibilità dei cyber criminali.
I settori più colpiti dagli attacchi Phishing
Durante i primi dieci mesi del 2021, i ricercatori di Kaspersky hanno rilevato più di 40 milioni di tentativi di phishing rivolti alle piattaforme di e-commerce e di e-shopping. Infatti, durante il Black Friday si è verificata un’impennata del 208% degli attacchi phishing. Ciò ha colpito duramente il mercato del retail.
La maggior parte delle truffe consiste in attacchi di phishing che riproducono finte pagine per il pagamento elettronico in fase di acquisto.
Secondo il Rapporto Clusit del 2022 sulla sicurezza ICT in Italia appena pubblicato, infatti, è il settore finanziario la maggior vittima del tentativo di phishing. In totale, nel corso del 2021 il fenomeno del phishing ha colpito 30 istituti di credito.
Le truffe verso gli istituti di credito avvengono principalmente tramite Vishing. Il Vishing o voice phishing, è un attacco di phishing che avviene telefonicamente. In questo caso i criminali informatici si spacciano per persone di cui la gente tende a fidarsi, come il dipendente di una banca, un funzionario dell’Agenzia delle Entrate o un agente assicurativo.
Nei settori della Pubblica Amministrazione: Governo, Istruzione, Difesa e Sanità, il phishing ha colpito maggiormente la sanità.
Un recente truffa sanitaria è stata quella della messa in commercio di certificazioni green pass radicalmente false, ma in grado di resistere anche ai controlli possibili mediante l’apposita app di verifica. La truffa avviene mediante furto delle credenziali ai farmacisti e successivo accesso illegale ai sistemi sanitari regionali di Campania, Lazio, Puglia, Lombardia, Calabria e Veneto.
Le credenziali di accesso erano carpite alle farmacie mediante sofisticate tecniche di phishing, attraverso email che simulavano la provenienza dal sistema sanitario. Ciò induceva le vittime a collegarsi ad un sito web, anch’esso falso, perfettamente identico a quello della sanità regionale, in grado di sottrarre le preziose credenziali.
Quali sono le conseguenze dirette di un attacco Phishing?
Le conseguenze del Phishing sono molteplici per un organizzazione, alcune avvertite in maniera più diretta e concreta, altre più subdole e durature, indiretta.
A seconda della tipologia di informazioni diffuse a seguito dell’attacco subito, per l’azienda possono derivare come conseguenze dirette:
- il Furto di identità, è una delle frodi più diffuse nel mondo aziendale e può mettere in serio pericolo l’organizzazione compromettendone il business .
- Perdite economiche dirette, se viene fornita la carta di credito o dettagli bancari aziendali. Immaginabile il disagio per l’organizzazione a seguito del blocco del conto corrente.
- Ulteriori tentativi di truffa. Se l’azienda viene percepita dai cyber criminali come papabile vittima, è sicuramente esposta ad ulteriori attacchi.
- Estromissione dall’accesso a determinati servizi, compromissione di credenziali d’accesso a siti internet o alla posta elettronica o della intranet aziendale con paralisi delle procedure per giorni.
Quali sono le conseguenze indirette di un attacco Phishing?
Oltre a queste possono esserci conseguenze Phishing indirette. Le informazioni raccolte dai cyber criminali vengono spesso usate per perpetuare ulteriori attacchi verso tutta la rete di relazioni aziendali inclusi i dipendenti. Qui le conseguenze possono essere:
- Comunicazioni inviate col dominio aziendale, a colleghi, ai clienti ai fornitori e a tutta la rubrica di contatti della casella mail compromessa.
- Richieste di informazioni, di pagamenti o d’acquisto fatte a nome dell’azienda raggirata;
- Perdita della fiducia verso l’azienda, dalla clientela, dai collaboratori e da tutta la rete relazionale dell’azienda colpita;
- In ultimo, il peggior danno è quello reputazionale. Anche ipotizzando che l’azienda riesca a dimostrare l’estraneità ai fatti alle forze dell’ordine, potrebbe finire a causa di questo incidente in un elenco di protestati o pagatori non affidabili, vedendosi rifiutare, anche a distanza di anni, finanziamenti o sovvenzioni statali.
Ad essere a rischio è anche la cyber reputation dell’azienda ovvero la “rappresentazione virtuale” di una azienda sul web. Questa può essere compromessa da azioni dirette, indirette, da parti di terzi o da situazioni di rischio che possono screditare i servizi, i prodotti e l’immagine stessa dell’organizzazione in rete.
La cyber reputation abbraccia tanti ambiti ed il danno di reputazione “digitale” causato influisce fortemente sul normale funzionamento di un’azienda, esponendola ad ulteriori tipologie di attacco.
Prevenire è meglio che curare?
Questa è la scelta che un’azienda oggi si trova a dover fare per iniziare ad attuare una concreta strategia di sicurezza informatica aziendale.
La funzionalità Cyber Control Center di Cerbeyra è pensata per dare agli IT Manager uno strumento di controllo del livello di sicurezza delle informazioni aziendale.
In particolare, lo strumento di Email Analysis permette di verificare se una mail è pericolosa evitando di cadere nella trappola Phishing e conseguenze.
Email Analysis permette di effettuare, un’analisi su eventuali email sospette rilevando le possibili minacce. Aiuta i dipendenti e l’IT Manager nell’analisi delle email sospette evidenziando la reale minaccia che sta dietro.
Oltre all’uso di strumenti come quello di Cerbeyra, è importante educare i dipendenti a riconoscere in anticipo i pericoli. Ogni azienda dovrebbe implementare la giusta combinazione di tecnologie e persone per disporre di una protezione e-mail efficace.
Ad esempio, fare attenzione all’ortografia utilizzata, se risulta qualcosa di strano nella grammatica o nella punteggiatura è un campanello d’allarme.
Attenzione a link e le richieste con carattere d’urgenza, cercando sempre di verificare il sito ufficiale ed evitare di cliccare i link interni alla mail.
In ultimo, se ci sono allegati compressi o con estensioni particolari meglio diffidare.
