frode via e-mail

L'e-mail serve come un canale critico per la generazione di lead B2B e le comunicazioni con i clienti, ma è anche uno dei canali più ampiamente presi di mira per i cyberattacchi e le truffe via e-mail. I criminali informatici stanno sempre innovando i loro attacchi al fine di rubare più informazioni e risorse finanziarie. Mentre le organizzazioni continuano a combattere con misure di sicurezza più forti, i criminali informatici devono costantemente evolvere le loro tattiche e migliorare le loro tecniche di phishing e spoofing.

Nel 2021, un drastico aumento nell'uso del machine learning (ML) e degli attacchi di phishing basati sull'intelligenza artificiale (AI) che non vengono rilevati dalle tradizionali soluzioni di sicurezza e-mail è stato rilevato dai ricercatori di sicurezza di tutto il mondo. Lo scopo principale di questi attacchi è quello di manipolare il comportamento umano e indurre le persone a compiere azioni non autorizzate - come trasferire denaro sui conti dei truffatori.

Mentre la minaccia degli attacchi e delle frodi via e-mail sono sempre in evoluzione, non rimanere indietro. Conosci le tendenze delle frodi via e-mail che avranno luogo nei prossimi anni in termini di tattiche dei truffatori, strumenti e malware. Attraverso questo post sul blog ti mostrerò come i criminali informatici stanno sviluppando le loro tattiche, e ti spiegherò come la tua azienda può prevenire questo tipo di attacco via e-mail.

Tipi di truffe via e-mail da cui guardarsi nel 2021

1. Compromissione della posta elettronica aziendale (BEC)

COVID-19 ha costretto le organizzazioni a implementare ambienti di lavoro a distanza e a passare alla comunicazione virtuale tra dipendenti, partner e clienti. Mentre questo ha alcuni benefici da elencare, il lato negativo più evidente è l'allarmante aumento di BEC nell'ultimo anno. BEC è un termine più ampio usato per riferirsi agli attacchi di frode via e-mail come lo spoofing e il phishing.

L'idea comune è che un cyber attaccante utilizzi il vostro nome di dominio per inviare e-mail ai vostri partner, clienti o dipendenti cercando di rubare le credenziali aziendali per ottenere l'accesso a beni riservati o avviare trasferimenti bancari. Il BEC ha colpito più del 70% delle organizzazioni nell'ultimo anno e ha portato alla perdita di miliardi di dollari di beni aziendali.

2. Attacchi di phishing via e-mail evoluti

Gli attacchi di phishing via e-mail si sono drasticamente evoluti negli ultimi anni, anche se il motivo è rimasto lo stesso, è il mezzo per manipolare i vostri partner fidati, dipendenti e clienti a cliccare su link dannosi incapsulati all'interno di una e-mail che sembra essere inviata da voi, al fine di avviare l'installazione di malware o il furto di credenziali. I truffatori di email evoluti stanno inviando email di phishing che sono difficili da individuare. Dalla scrittura di righe dell'oggetto impeccabili e contenuti privi di errori alla creazione di false landing page con un alto livello di precisione, rintracciare manualmente le loro attività è diventato sempre più difficile nel 2021.

3. Man-In-The-Middle

Sono finiti i giorni in cui gli aggressori inviavano email mal scritte che anche un profano poteva identificare come fraudolente. Gli attori delle minacce in questi giorni stanno approfittando dei problemi di sicurezza SMTP come l'uso della crittografia opportunistica nelle transazioni e-mail tra due server di posta elettronica comunicanti, origliando la conversazione dopo aver fatto retrocedere con successo la connessione protetta ad una non criptata. Gli attacchi MITM come il downgrade SMTP e lo spoofing DNS sono stati sempre più popolari nel 2021.

4. Frode del CEO

La frode CEO si riferisce agli schemi che vengono condotti che prendono di mira i dirigenti di alto livello al fine di ottenere l'accesso a informazioni riservate. Gli aggressori lo fanno prendendo le identità di persone reali come CEO o CFO e inviando un messaggio a persone di livello inferiore all'interno dell'organizzazione, partner e clienti, inducendoli con l'inganno a dare via informazioni sensibili. Questo tipo di attacco è anche chiamato Business Email Compromise o whaling. In un contesto aziendale, alcuni criminali si avventurano a creare un'email più credibile, impersonando i decisori di un'organizzazione. Questo permette loro di chiedere facili trasferimenti di denaro o informazioni sensibili sulla società.

5. Esche per vaccini COVID-19

I ricercatori di sicurezza hanno rivelato che gli hacker stanno ancora cercando di capitalizzare le paure legate alla pandemia COVID-19. Recenti studi hanno fatto luce sulla mentalità dei criminali informatici, rivelando un interesse continuo nello stato di panico che circonda la pandemia COVID-19 e un aumento misurabile negli attacchi di phishing e di compromissione della posta elettronica aziendale (BEC) che prendono di mira i leader aziendali. Il mezzo per perpetrare questi attacchi è una falsa esca per il vaccino COVID-19 che suscita immediatamente interesse tra i destinatari delle e-mail.

Come si può migliorare la sicurezza delle e-mail?

  • Configura il tuo dominio con gli standard di autenticazione delle email come SPF, DKIM e DMARC
  • Passare dal monitoraggio DMARC all'applicazione DMARC per ottenere la massima protezione contro BEC, frodi CEO e attacchi phishing evoluti
  • Monitorare costantemente il flusso di e-mail e i risultati dell'autenticazione di volta in volta
  • Rendere obbligatoria la crittografia in SMTP con MTA-STS per mitigare gli attacchi MITM
  • Ricevi notifiche regolari sui problemi di consegna delle e-mail con dettagli sulle loro cause principali con la segnalazione SMTP TLS (TLS-RPT)
  • Mitigare l'SPF permerror rimanendo sempre sotto il limite di 10 lookup DNS
  • Aiuta i tuoi destinatari a identificare visivamente il tuo marchio nelle loro caselle di posta con BIMI

PowerDMARC è la tua singola piattaforma SaaS di autenticazione email che assembla tutti i protocolli di autenticazione email come SPF, DKIM, MTA-STS, TLS-RPT e BIMI in un unico pannello di vetro. Iscriviti oggi stesso per ottenere il tuo analizzatore DMARC gratuito!