• Cos'è un'e-mail di phishing? State all'erta e individuate le e-mail di phishing

Cos'è un'e-mail di phishing? State all'erta e individuate le e-mail di phishing

Blog

Scoprite cos'è un'e-mail di phishing e come riconoscerla. I tipi più comuni e gli esempi di e-mail di phishing vi aiuteranno a stare all'erta e a proteggervi da queste frodi.

di Ahona Rudra

Tempo di lettura: 9 min
Cos'è un'e-mail di phishing? State all'erta e individuate le e-mail di phishing
Indice dei contenuti-

Un'e-mail di phishing è come un impostore camuffato nella tua casella di posta elettronica. Si presenta come una fonte affidabile, con l'obiettivo di ingannarti e manipolarti per farti rivelare informazioni sensibili o compiere azioni dannose. Il phishing via e-mail si è evoluto nel corso degli anni da semplici scherzi, come quelli subiti dai primi utenti AOL a metà degli anni '90 che coinvolgevano generatori casuali di carte di credito, ad attività sofisticate e altamente redditizie per gli hacker di tutto il mondo che utilizzano tattiche avanzate di impersonificazione. Si tratta di un truffatore digitale che sfrutta le vulnerabilità e la credulità umana.

Possono portare a conseguenze devastanti, come il furto di identità, la perdita finanziaria o l'accesso non autorizzato ai vostri account. Secondo il Data Breach Investigation Report 2019 di Verizon, circa il 32% delle violazioni di dati avvenute nel corso dell'anno ha riguardato il phishing via e-mail e l'ingegneria sociale. Siate cauti e scettici, perché l'unico scopo delle e-mail di phishing è quello di ingannarvi e sfruttarvi.

I punti chiave da prendere in considerazione

  1. Le e-mail di phishing manipolano i destinatari mascherandosi da fonti affidabili, spesso utilizzando l'ingegneria sociale e l'urgenza per estrarre informazioni sensibili o indurre azioni dannose.
  2. Il phishing si è evoluto in attacchi sofisticati come il Business Email Compromise (BEC), con conseguenti perdite finanziarie significative per le organizzazioni grazie all'impersonificazione.
  3. Ispezionate attentamente gli indirizzi e-mail dei mittenti, cercate saluti generici, errori di grammatica/ortografia e richieste inaspettate di informazioni personali o azioni urgenti.
  4. Diffidate di allegati o link inaspettati, anche se sembrano provenire da contatti noti, perché possono portare a malware o al furto di credenziali.
  5. L'implementazione dell'autenticazione delle e-mail (SPF, DKIM, DMARC) è fondamentale per la protezione del dominio, in quanto fornisce visibilità e controllo contro i tentativi di impersonificazione e spoofing.

Che cos'è un'e-mail di phishing?

Un'e-mail di phishing è un messaggio fraudolento progettato per indurre i destinatari a rivelare informazioni sensibili o a eseguire azioni a vantaggio dell'aggressore. Si tratta di una forma di ingegneria sociale in cui i truffatori inviano e-mail che spesso sembrano provenire da un'organizzazione o da un individuo di cui ci si fida, come la propria banca, un'agenzia governativa o persino qualcuno della propria azienda, con l'obiettivo di indurre le persone a fornire informazioni riservate. Queste e-mail spesso imitano comunicazioni legittime provenienti da fonti affidabili, come banche, servizi online o aziende famose. Il phishing via e-mail sta diventando sempre più comune, dato che le persone trascorrono più tempo online.

Semplificate la sicurezza contro il phishing con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come funzionano le e-mail di phishing?

Le e-mail di phishing utilizzano tattiche ingannevoli per indurre i destinatari a divulgare informazioni sensibili o a eseguire determinate azioni. In genere, queste e-mail si spacciano per organizzazioni o persone legittime per ottenere la fiducia del destinatario. Ecco un'interessante descrizione del funzionamento di una tipica e-mail di phishing:

  • Mascheramento: Le e-mail di phishing spesso sembrano inviate da fonti affidabili, come banche, piattaforme di social media o aziende famose. L'indirizzo e-mail e il contenuto sono realizzati in modo da assomigliare molto a quelli dell'entità legittima, rendendo più difficile distinguerli da una comunicazione autentica.
  • Urgenza o paura: per manipolare le emozioni del destinatario, le e-mail di phishing spesso creano un senso di urgenza o paura. Possono affermare che c'è un problema con l'account del destinatario, come un'attività non autorizzata o un'imminente sospensione del servizio. Generando ansia, gli aggressori mirano a spingere il destinatario a compiere azioni affrettate senza un'attenta riflessione.
  • Ingegneria sociale: Le e-mail di phishing sfruttano le tecniche di ingegneria sociale per sfruttare la psicologia umana. Si basano molto su queste tecniche, sfruttando non le falle nell'infrastruttura di sicurezza di un sistema, ma l'inevitabilità dell'errore umano. Possono utilizzare varie tattiche come la personalizzazione, l'adulazione o la paura di perdersi (FOMO) per aumentare le probabilità di successo. Facendo leva sulle emozioni e sui fattori psicologici, gli aggressori cercano di annullare il pensiero razionale del destinatario.
  • Link o allegati ingannevoli: le e-mail di phishing contengono in genere link o allegati che rimandano a siti web dannosi o file infettati da malware. I link possono sembrare legittimi, ma in realtà indirizzano il destinatario a un sito web falso che assomiglia alla pagina di accesso dell'organizzazione di destinazione. Una volta che la vittima inserisce le proprie credenziali, gli aggressori le raccolgono per ottenere un accesso non autorizzato.
  • Raccolta di dati: Le e-mail di phishing mirano a raccogliere informazioni sensibili come nomi utente, password, dettagli di carte di credito o informazioni di identificazione personale. Queste credenziali possono essere utilizzate per il furto di identità, per transazioni non autorizzate o per ottenere l'accesso non autorizzato a vari account.
  • Sfruttamento: Una volta ottenuti i dati sensibili, gli aggressori possono sfruttarli per vari scopi. Ciò può includere l'accesso non autorizzato ai conti della vittima, la frode finanziaria, la vendita delle informazioni sul mercato nero o il lancio di ulteriori attacchi mirati, come lo spear-phishing.

Come riconoscere un'e-mail di phishing?

È possibile individuare facilmente un'e-mail di phishing ispezionando attentamente il formato dell'e-mail, le incongruenze nell'indirizzo del mittente, gli errori di ortografia, la struttura scadente e le affermazioni o le esche esagerate. Controllate l'oggetto e il corpo dell'e-mail per verificare la presenza di errori di ortografia o di altri segnali di avvertimento che indicano che potrebbe trattarsi di un falso; errori grammaticali o fraseggi maldestri possono indicare che il mittente non è madrelingua o che si tratta di un messaggio falso realizzato in modo frettoloso. Vediamo di seguito:

  • Saluti generici

Le e-mail di phishing utilizzano spesso saluti generici come "Gentile signore/signora" o "Pregiato cliente". Le e-mail legittime di solito si rivolgono ai destinatari con il loro nome.

  • Richieste di informazioni personali

Le organizzazioni legittime raramente chiedono informazioni personali o finanziarie via e-mail. Siate prudenti se un'e-mail richiede dati sensibili, come numeri di previdenza sociale o credenziali di accesso.

  • Indirizzo e-mail mittente insolito

Controllate attentamente l'indirizzo e-mail del mittente. Le e-mail di phishing possono utilizzare nomi di dominio errati o sospetti che imitano quelli legittimi. Se non corrisponde a quello che siete abituati a vedere nelle comunicazioni ufficiali di quell'azienda o agenzia governativa, probabilmente non è legittimo.

  • Allegati o download inaspettati

Prestare attenzione quando si ricevono allegati di e-mail dannose o link di download, anche se sembrano provenire da una persona conosciuta. I file dannosi possono contenere malware o ransomware.

Tipi comuni di e-mail di phishing

Spoofing, spear phishing, whaling, pharming e BEC sono alcuni tipi comuni di e-mail di phishing. Anche se il profilo delle vittime o il modus operandi possono essere leggermente diversi, è probabile che causino danni a organizzazioni e individui.

1. Spoofing di e-mail

Lo spoofing delle e-mail comporta la falsificazione dell'indirizzo e-mail del mittente per far sembrare che l'e-mail provenga da una fonte attendibile. Gli aggressori possono impersonare banche, agenzie governative o servizi online popolari per ingannare i destinatari e indurli a rivelare informazioni sensibili. Lo scopo di un attacco di questo tipo è quello di indurre il destinatario ad aprire la mail ed eventualmente a cliccare su un link o a iniziare un dialogo con l'aggressore. Questi attacchi si basano molto sulle tecniche di ingegneria sociale. Ad esempio, nel settembre 2019, Toyota ha perso 37 milioni di dollari quando gli hacker hanno falsificato un indirizzo e-mail e convinto un dipendente con autorità finanziaria a modificare le informazioni del conto per un trasferimento elettronico di fondi.

2. Spear Phishing

Spear phishing è una forma di phishing mirato in cui i criminali informatici adattano le loro e-mail a un individuo o a un'organizzazione specifici. Raccolgono informazioni personali da varie fonti per far apparire l'e-mail più legittima e aumentare le probabilità di successo.

3. Attacchi alle balene

Attacchi di tipo whaling prendono di mira persone di alto profilo, come dirigenti o amministratori delegati, spacciandosi per contatti fidati o colleghi. Spesso queste e-mail mirano a ottenere informazioni aziendali sensibili o ad avviare transazioni finanziarie fraudolente. La Vendor Email Compromise (VEC) è una minaccia correlata in cui gli aggressori compromettono i dipendenti di un'azienda fornitrice per sfruttare il rapporto commerciale, a volte impersonando i dirigenti per autorizzare pagamenti fraudolenti. Ad esempio, Nikkei Inc. ha perso 29 milioni di dollari quando un dipendente della sede americana ha trasferito denaro in base alle istruzioni di truffatori che si spacciavano per dirigenti.

4. Farmaceutica

Il pharming consiste nel reindirizzare gli utenti verso siti web falsi a loro insaputa. I criminali informatici sfruttano le vulnerabilità dei server DNS (Domain Name System) o utilizzano software dannosi per modificare le impostazioni DNS, conducendo gli utenti a siti web di phishing anche quando inseriscono URL legittimi.

5. Compromissione delle e-mail aziendali (BEC)

La BEC si verifica quando un malintenzionato ottiene l'accesso a un account di posta elettronica aziendale e lo utilizza per impersonare il proprietario, spesso per frodare l'azienda, i suoi dipendenti, clienti o partner. Secondo l'Internet Crime Report 2019 dell'FBI, le truffe BEC hanno causato oltre 1,7 miliardi di dollari di perdite segnalate nello stesso anno, rappresentando più della metà di tutte le perdite dovute alla criminalità informatica. Si tratta di una forma di attacco molto redditizia, motivo per cui rimane una minaccia informatica molto diffusa. Ad esempio, una città del Colorado ha perso oltre 1 milione di dollari dopo che un aggressore ha inviato un modulo di richiesta di pagamenti elettronici per un'impresa edile locale, inducendo un dipendente ad aggiornare le informazioni di pagamento e a dirottare i fondi.

Esempi di e-mail di phishing

Consultate alcuni esempi di e-mail di phishing in modo da essere scettici ogni volta che ricevete e-mail simili:

1. "Verifica urgente del conto"

Le e-mail di phishing spesso contengono richieste urgenti, come la richiesta di verificare le informazioni del proprio account o di cliccare su un link per aggiornare le impostazioni di sicurezza. Queste richieste sono pensate per creare un senso di urgenza e rendere meno probabile una riflessione critica sull'e-mail.

Verifica urgente del conto

2. "Notifica del vincitore della lotteria"

Questa e-mail di phishing afferma che avete vinto una lotteria e vi chiede di fornire informazioni personali per reclamare il premio. L'e-mail può sembrare proveniente da una società di lotterie legittima, ma in realtà è falsa. Il phisher utilizzerà le vostre informazioni personali per commettere furti di identità o altri reati.

Notifica del vincitore della lotteria

3. "Importante aggiornamento di sicurezza"

Questa e-mail di phishing afferma che esiste un importante aggiornamento di sicurezza per il vostro software e vi chiede di fare clic su un link per scaricarlo. L'e-mail può sembrare proveniente da una società di software legittima, ma in realtà è falsa. Il link vi porterà in realtà a un sito web che contiene malware. Una volta scaricato il malware, il phisher sarà in grado di controllare il vostro computer.

4. "Richiesta di bonifico urgente"

Questa e-mail di phishing afferma che c'è una richiesta urgente di bonifico bancario e vi chiede di fornire i dati del vostro conto corrente. L'e-mail può sembrare proveniente da una banca legittima, ma in realtà è falsa. Il phisher utilizzerà le informazioni del vostro conto bancario per rubare il vostro denaro.

5. "Informazioni riservate sull'acquisizione"

Questa e-mail di phishing sostiene che siete stati selezionati per ricevere informazioni riservate sull'acquisizione e vi chiede di fare clic su un link per scaricarle. L'e-mail può sembrare proveniente da un'azienda legittima, ma in realtà è falsa. Il link vi porterà in realtà a un sito web che contiene malware. Una volta scaricato il malware, il phisher sarà in grado di controllare il vostro computer.

Proteggetevi dalle e-mail di phishing

Per proteggersi dalle e-mail di phishing, i singoli e le organizzazioni devono essere sufficientemente attenti a cogliere i segnali di allarme, evitare di farsi tentare da esche improvvise, allenarsi a rilevare le e-mail di phishing e implementare i protocolli e gli strumenti necessari per una maggiore sicurezza. La spesa globale per le soluzioni di sicurezza riflette questa esigenza e si prevede che raggiungerà 133,7 miliardi di dollari nel 2022 secondo IDC, ma l'adozione di soluzioni specifiche per la sicurezza delle e-mail come il DMARC è stata lenta.

Per essere al sicuro dalle e-mail di phishing:

#1 Siate scettici

Fate attenzione alle e-mail non richieste, soprattutto a quelle che richiedono informazioni personali o azioni immediate.

#2 Verifica del mittente

Controllate attentamente l'indirizzo e-mail e il dominio per assicurarvi che corrispondano alla fonte ufficiale.

Passare il mouse sui link per visualizzare la destinazione effettiva dell'URL prima di fare clic.

#4 Evitare di condividere informazioni sensibili

Le organizzazioni legittime raramente chiedono dati sensibili via e-mail.

#5 Mantenere il software aggiornato

Aggiornate regolarmente il sistema operativo, il software antivirus e il browser web per eliminare le vulnerabilità di sicurezza.

#6 Implementare l'autenticazione delle e-mail

Autenticazione e-mail con SPF, DKIMe DMARC è fondamentale per proteggere il vostro dominio dalle e-mail di phishing e aiuta ad autorizzare i mittenti a ridurre al minimo i tentativi di impersonificazione. La tecnologia DMARC è particolarmente efficace nel prevenire gli attacchi BEC mirati, lavorando con SPF e DKIM per determinare azioni contro le e-mail non autenticate. Fornisce una maggiore visibilità grazie a rapporti che offrono una visione dettagliata dell'attività delle e-mail e migliora la sicurezza consentendo il monitoraggio e la risposta rapida alle minacce di spoofing.

Segnalare le e-mail di phishing

Se si sospetta di aver ricevuto un'e-mail di phishing, è bene farlo:

  1. Avvisate il vostro provider di posta elettronica: La maggior parte dei servizi di posta elettronica dispone di meccanismi per segnalare le e-mail di phishing. Cercate le opzioni per contrassegnare le e-mail come spam o per segnalare il phishing.
  2. Segnalare alle organizzazioni anti-phishing: Organizzazioni come l'Anti-Phishing Working Group (APWG) o l'Internet Crime Complaint Center (IC3) possono aiutare ad agire contro i criminali informatici.
  3. Informare l'entità impersonata: Se un'e-mail di phishing impersona un'organizzazione rispettabile, informatela in modo che possa prendere le misure appropriate per proteggere i propri clienti.

Conclusione: Rimanere un passo avanti al phishing

Le e-mail di phishing continuano a rappresentare una minaccia significativa sia per i singoli che per le organizzazioni, evolvendosi in attacchi sofisticati come BEC e VEC che causano ingenti danni finanziari. Comprendendo le tattiche utilizzate dai criminali informatici e adottando misure di sicurezza, è possibile ridurre al minimo il rischio di cadere vittima dei loro schemi ingannevoli. Ricordate di rimanere vigili, di pensarci due volte prima di cliccare o condividere informazioni sensibili e di segnalare qualsiasi e-mail sospetta per proteggere voi stessi e gli altri. L'implementazione di una solida autenticazione delle e-mail, come il DMARC, è fondamentale per rafforzare le difese contro l'impersonificazione dei domini.

Contattateci per una protezione avanzata contro il phishing e molte altre minacce basate sulle e-mail e lasciateci formulare una strategia per voi che mostrerà risultati reali!

 

Ultimi messaggi di Ahona Rudra (vedi tutti)
Correggere "Messaggio DKIM nessuno non firmato" - Guida alla risoluzione dei problemiCome risolvere il problema "Messaggio DKIM non firmato".Cosa sono gli attacchi basati sulle e-mail e come prevenirliCosa sono gli attacchi via e-mail e come prevenirli?