Phishing, quali conseguenze e come prevenirle.

27 Maggio 2021

Il Phishing ha conseguenze sul business aziendale: comporta perdite economiche, furto di dati e mina la brand reputation. Meglio di gran lunga prevenirlo.

Il Phishing, è definito dalla Polizia Postale come una tipologia di truffa realizzata sulla rete Internet tramite messaggi di posta elettronica ingannevoli.

In particolare, l’attacco avviene attraverso una e-mail (o SMS in quel caso si parla di Smishing) che in apparenza proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l‘accesso previa registrazione (web-mail, e-commerce ecc.).

Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri dati riservati d’accesso. Solitamente, è indicato un link che rimanda apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.

In realtà il sito a cui si rischia d’accedere è stato ingannevolmente allestito ricalcando l’originale. Qualora l’utente inserisca i propri dati riservati, automaticamente questi saranno nella disponibilità dei cyber criminali.

Quali sono le Conseguenze del Phishing?

Le conseguenze del Phishing sono molteplici per un organizzazione, alcune avvertite in maniera più diretta e concreta, altre più subdole e durature, indiretta.

A seconda della tipologia di informazioni diffuse a seguito dell’attacco subito, per l’azienda possono derivare come conseguenze dirette:

  • il Furto di identità, è una delle frodi più diffuse nel mondo aziendale e può mettere in serio pericolo l’organizzazione compromettendone il business .
  • Perdite economiche dirette, se viene fornita la carta di credito o dettagli bancari aziendali. Immaginabile il disagio per l’organizzazione a seguito del blocco del conto corrente.
  • Ulteriori tentativi di truffa. Se l’azienda viene percepita dai cyber criminali come papabile vittima verrà sottoposta ad ulteriori attacchi.
  • Estromissione dall’accesso a determinati servizi, se vengono compromesse le credenziali d’accesso a siti internet o alla posta elettronica o della intranet aziendale con paralisi delle procedure per giorni.

Oltre a queste possono esserci conseguenze Phishing indirette. Le informazioni raccolte dai cyber criminali vengono spesso usate per perpetuare ulteriori attacchi verso tutta la rete di relazioni aziendali inclusi i dipendenti. Qui le conseguenze possono essere:

  • Comunicazioni inviate col dominio aziendale, a colleghi, ai clienti ai fornitori e a tutta la rubrica di contatti della casella mail compromessa.
  • Richieste di informazioni, di pagamenti o d’acquisto fatte a nome dell’azienda raggirata;
  • Perdita della fiducia verso l’azienda, dalla clientela, dai collaboratori e da tutta la rete relazionale dell’azienda colpita;
  • In ultimo, ma il peggior danno è quello reputazionale. Anche ipotizzando che l’azienda riesca a dimostrare l’estraneità ai fatti alle forze dell’ordine, potrebbe finire a causa di questo incidente in un elenco di protestati o pagatori non affidabili, vedendosi rifiutare, anche a distanza di anni, finanziamenti o sovvenzioni statali.

Ad essere a rischio è anche la cyber reputation dell’azienda ovvero la “rappresentazione virtuale” di una azienda sul web. Questa può essere compromessa da azioni dirette, indirette, da parti di terzi o da situazioni di rischio che possono screditare i servizi, i prodotti e l’immagine stessa dell’organizzazione in rete.

La cyber reputation abbraccia tanti ambiti ed il danno di reputazione “digitale” causato influisce fortemente sul normale funzionamento di un’azienda, esponendola ad ulteriori tipologie di attacco.

Prevenire è meglio che curare?

Questa è la scelta che un’azienda oggi si trova a dover fare per iniziare ad attuare una concreta strategia di sicurezza informatica aziendale.

La funzionalità Cyber Control Center di Cerbeyra è pensata per dare agli IT Manager uno strumento di controllo del livello di sicurezza delle informazioni aziendale.

In particolare, lo strumento di Email Analysis permette di verificare se una mail è pericolosa evitando di cadere nella trappola Phishing e conseguenze.

Email Analysis permette di effettuare, un’analisi su eventuali email sospette rilevando le possibili minacce. Aiuta i dipendenti e l’IT Manager nell’analisi delle email sospette evidenziando la reale minaccia che sta dietro.

Oltre all’uso di strumenti come quello di Cerbeyra, è importante educare i dipendenti a riconoscere in anticipo i pericoli. Ogni azienda dovrebbe implementare la giusta combinazione di tecnologie e persone per disporre di una protezione e-mail efficace.

Ad esempio, fare attenzione all’ortografia utilizzata, se risulta qualcosa di strano nella grammatica o nella punteggiatura è un campanello d’allarme.

Attenzione a link e le richieste con carattere d’urgenza, cercando sempre di verificare il sito ufficiale ed evitare di cliccare i link interni alla mail.

In ultimo, se ci sono allegati compressi o con estensioni particolari meglio diffidare.