Cos'è il phishing?
Gli attacchi di phishing mirano a rubare o danneggiare dati sensibili inducendo le persone a rivelare informazioni personali come password e numeri di carte di credito.
I diversi tipi di attacchi di phishing
Gli attacchi di phishing sono opera di truffatori che imitano origini affidabili e possono facilitare l'accesso a tutti i tipi di dati sensibili. Le tecnologie si evolvono e così anche icyberattacchi. Scopri i tipi di phishing più diffusi.
Phishing tramite e-mail
Si tratta della forma più comune di phishing che utilizza tattiche come collegamenti ipertestuali fasulli per indurre i destinatari dell'e-mail a condividere le proprie informazioni personali. Gli utenti malintenzionati spesso fingono di essere grandi provider di account come Microsoft o Google o persino colleghi.
Phishing tramite malware
Si tratta di un altro approccio di phishing diffuso che prevede l'inserimento di malware camuffato da allegato affidabile, come un curriculum o un estratto conto, in un'e-mail. In alcuni casi, l'apertura di un allegato con malware può paralizzare interi sistemi IT.
Spear phishing
Sebbene il raggio d'azione degli attacchi di phishing sia in genere molto ampio, lo spear phishing prende di mira individui specifici sfruttando le informazioni raccolte tramite ricerche sul loro lavoro e sulla loro vita sociale. Poiché questi attacchi sono estremamente personalizzati, riescono ad aggirare con grande efficacia la cybersecuritydi base.
Whaling
Quando i target di un attacco sono persone importanti come dirigenti d'azienda o celebrità, i truffatori utilizzano il whaling. Questi truffatori spesso conducono ricerche approfondite sui loro target per trovare il momento opportuno per rubare le loro credenziali di accesso o altre informazioni sensibili. Se tu hai molto da perdere, l'utente malintenzionato che attua il whaling ha invece tutto da guadagnare.
Smishing
Lo smishing, termine che deriva dall'unione delle parole "SMS" e "phishing", implica l'invio di SMS camuffati da comunicazioni affidabili di aziende come Amazon o FedEx. Le persone sono particolarmente vulnerabili alle truffe via SMS, poiché i messaggi di questo tipo vengono inviati come testo normale e sembrano più personali.
Vishing
Nelle campagne di vishing, gli utenti malintenzionati di call center fraudolenti tentano di indurre le persone a fornire informazioni sensibili al telefono. In molti casi, queste truffe utilizzano l'ingegneria sociale per indurre le vittime a installare software dannosi sui propri dispositivi sotto forma di app.
Tattiche di phishing comuni
Comunicazione astuta
Gli utenti malintenzionati sono abili nel manipolare le loro vittime e indurle a cedere dati sensibili nascondendo messaggi e allegati dannosi in luoghi in cui le persone potrebbero non accorgersene facilmente (ad esempio, nelle cartelle della posta in arrivo). È facile presumere che i messaggi che arrivano nella tua cartella Posta in arrivo siano legittimi, ma fai attenzione: le e-mail di phishing spesso sembrano sicure e ordinarie. Per evitare di farti ingannare, esamina i collegamenti ipertestuali e gli indirizzi e-mail dei mittenti prima di fare clic.
Percezione del bisogno
Le persone vengono ingannate dal phishing perché pensano di dover agire. Ad esempio, le vittime possono scaricare software dannoso camuffato da curriculum perché hanno urgenza di assumere qualcuno oppure possono immettere le proprie credenziali bancarie su un sito Web sospetto per salvare un account in procinto di scadere. Creare una falsa percezione del bisogno è un trucco popolare proprio perché funziona. Per proteggere i tuoi dati, fai molta attenzione o installa una tecnologia di protezione delle e-mail che si occuperà di questo aspetto per te.
Falsa attendibilità
I truffatori ingannano le persone creando un falso senso di fiducia tanto che persino i più perspicaci cadono nelle loro truffe. Imitando origini affidabili come Google, Wells Fargo o UPS, i truffatori possono indurti ad agire prima che tu ti renda conto di essere vittima di un inganno. Molti messaggi di phishing non vengono rilevati senza misure di cybersecurity avanzate. Proteggi le tue informazioni private con la tecnologia di sicurezza per le e-mail progettata per identificare i contenuti sospetti ed eliminarli prima che raggiungano la tua cartella Posta in arrivo.
Manipolazione delle emozioni
I truffatori usano tattiche psicologiche per convincere le loro vittime ad agire senza fermarsi a pensare. Dopo aver creato fiducia imitando un'origine familiare e generato un falso senso di urgenza, gli utenti malintenzionati sfruttano emozioni come paura e ansia per ottenere ciò che vogliono. Le persone tendono a prendere decisioni affrettate quando viene detto loro che perderanno denaro, finiranno in guai legali o non avranno più accesso a una risorsa di cui hanno estremamente bisogno. Fai attenzione a qualsiasi messaggio che richieda di agire subito: potrebbe trattarsi di una truffa.
Pericoli delle e-mail di phishing
Un attacco di phishing riuscito può avere gravi conseguenze. Potrebbe tradursi in denaro rubato, addebiti fraudolenti su carte di credito, perdita di accesso a foto, video e file e persino in criminali informatici che si spacciano per te e mettono a rischio altre persone.
Sul lavoro, i rischi per il tuo datore di lavoro potrebbero includere la perdita di fondi aziendali, l'esposizione delle informazioni personali di clienti e colleghi, il furto o l'inaccessibilità di file sensibili, per non parlare del danno alla reputazione dell'azienda. In molti casi, il danno può essere irreparabile.
Per fortuna esistono molte soluzioni per proteggersi dal phishing, sia a casa sia al lavoro.
Piccoli suggerimenti per evitare il phishing
Non fidarti dei nomi visualizzati
Controlla l'indirizzo e-mail del mittente prima di aprire un messaggio: il nome visualizzato potrebbe essere falso.
Controlla la presenza di errori di ortografia
Nelle e-mail di phishing è comune trovare errori di ortografia e di grammatica. Se noti qualcosa di strano, contrassegnalo.
Esamina tutto prima di fare clic
Passa il mouse sopra i collegamenti ipertestuali in contenuti apparentemente autentici per controllare l'indirizzo del collegamento.
Fai caso alla formula di saluto
Se l'e-mail è indirizzata a "Gentile cliente" anziché a te, agisci con prudenza: è probabile che sia fraudolenta.
Esamina la firma
Verifica le informazioni di contatto nel piè di pagina dell'e-mail: i mittenti legittimi le includono sempre.
Insospettisciti in caso di minacce
Frasi che fanno leva sulla paura come "Il tuo account è stato sospeso" sono comuni nelle e-mail di phishing.
Proteggiti dalle minacce informatiche
Le truffe di phishing e altre minacce informatiche sono in continua evoluzione, ma puoi intraprendere diverse misure per proteggerti.
Attieniti ai principi di Zero Trust
I principi di Zero Trust come l'autenticazione a più fattori, l'accesso just-enough e la crittografia end-to-end ti proteggono dalle minacce informatiche in continua evoluzione.
Proteggi app e dispositivi
Previeni, rileva e rispondi al phishing e ad altri attacchi informatici con Microsoft Defender per Office 365.
Protezione degli accessi
Proteggi gli utenti da attacchi sofisticati mentre difendi la tua organizzazione da minacce basate sulle identità.
Domande frequenti
-
L'obiettivo principale di qualsiasi attacco di phishing è rubare informazioni e credenziali sensibili. Diffida di qualsiasi messaggio (tramite telefono, e-mail o SMS) in cui ti vengono chiesti dati sensibili o di dimostrare la tua identità.
Gli utenti malintenzionati fanno di tutto per imitare entità familiari e utilizzano gli stessi loghi, design e interfacce di marchi o individui che conosci già. Sii sempre all'erta ed evita di fare clic sui collegamenti e di aprire gli allegati a meno che tu non abbia la certezza che il messaggio sia legittimo.
Ecco alcuni suggerimenti per riconoscere un'e-mail di phishing:
- Minacce o inviti all'azione urgenti (ad esempio: "Aprire immediatamente").
- Mittenti nuovi o insoliti: chiunque ti invii un'e-mail per la prima volta.
- Errori di ortografia e di grammatica, spesso a causa di traduzioni mediocri eseguite da un non madrelingua.
- Collegamenti o allegati sospetti: testo con collegamenti ipertestuali che rivelano collegamenti da un indirizzo IP o un dominio diverso.
Errori di ortografia quasi impercettibili, ad esempio "micros0ft.com" o "rnicrosoft.com".
-
- Annota tutti i dettagli dell'attacco che riesci a ricordare. Annota tutte le informazioni che potresti aver condiviso, come nomi utente, numeri di account o password.
- Modifica immediatamente le password sugli account interessati e in qualsiasi altro luogo in cui utilizzi la stessa password.
- Verifica che stai usando l'autenticazione a più fattori (o in due passaggi) per ogni account che utilizzi.
- Fai sapere a tutte le parti interessate che le tue informazioni sono state compromesse.
- Se hai perso denaro o ti hanno rubato l'identità, rivolgiti alle forze dell'ordine locali e alla Federal Trade Commission. Fornisci i dettagli che hai annotato nel passaggio 1.
Se ritieni di aver subito un attacco di phishing, ecco cosa ti consigliamo di fare:
Tieni presente che una volta che hai inviato le tue informazioni a un truffatore, è probabile che vengano divulgate rapidamente ad altri soggetti malintenzionati. Aspettati di ricevere nuove e-mail, SMS e telefonate di phishing.
-
Se ricevi un messaggio sospetto nella cartella Posta in arrivo di Microsoft Outlook, scegli Segnala messaggio dalla barra multifunzione, quindi seleziona Phishing. Questo è il modo più veloce per rimuovere il messaggio dalla cartella Posta in arrivo. In Outlook.com, seleziona la casella di controllo accanto al messaggio sospetto nella cartella Posta in arrivo, seleziona la freccia accanto a Posta indesiderata, quindi seleziona Phishing.
Se hai perso denaro o ti hanno rubato l'identità, rivolgiti alle forze dell'ordine locali e alla Federal Trade Commission. che ha un intero sito Web dedicato alla risoluzione di problemi di questa natura.
-
No. Sebbene il phishing avvenga più comunemente tramite e-mail, i truffatori utilizzano anche telefonate, SMS e persino ricerche sul Web per ottenere informazioni sensibili.
-
La posta indesiderata è costituita da messaggi indesiderati non richiesti con contenuti irrilevanti o di tipo commerciale. Si tratta in genere di pubblicità su sistemi per guadagnare denaro velocemente, offerte illegali o sconti falsi.
Il phishing è un tentativo più mirato (e solitamente meglio camuffato) di ottenere dati sensibili ingannando le vittime e inducendole a fornire volontariamente le informazioni e le credenziali degli account.
Segui Microsoft Security