Campagna di phishing

Una campagna di phishing è una truffa via e-mail progettata per rubare informazioni personali alle vittime. I criminali informatici utilizzano il phishing, il tentativo fraudolento di ottenere informazioni sensibili come i dati delle carte di credito e le credenziali di accesso, mascherandosi da organizzazione affidabile o persona rispettabile in una comunicazione via e-mail.

Tipicamente, una campagna di phishing viene eseguita tramite email spoofing; un'e-mail indirizza il destinatario a inserire informazioni personali su un sito web falso che appare identico a quello legittimo. E-mail di phishing vengono anche utilizzate per distribuire malware e spyware attraverso link o allegati che possono rubare informazioni e svolgere altre attività dannose.

Il phishing è popolare tra i criminali informatici perché consente loro di rubare informazioni finanziarie e personali sensibili senza dover superare le difese di sicurezza di un computer o di una rete. La consapevolezza pubblica sulle campagne di phishing è cresciuta notevolmente negli ultimi anni, poiché molti incidenti sono stati trattati da una varietà di fonti mediatiche. Oltre alle soluzioni tecniche, consapevolezza dell'utente sulla sicurezza è una delle misure di sicurezza informatica impiegate per contrastare i tentativi di phishing.

Come funziona una campagna di phishing

Una campagna di phishing utilizza tecniche di ingegneria sociale per indurre i destinatari delle e-mail a rivelare informazioni personali o finanziarie. Ad esempio, durante le festività, un'e-mail che finge di essere di una nota azienda ti dice di andare al suo sito web e reinserire le informazioni di fatturazione o il tuo pacco non sarà spedito in tempo per il destinatario del tuo regalo. L'unico problema è che l'e-mail falsa ti sta indirizzando a un sito falso, dove le informazioni che inserisci saranno utilizzate per commettere furto d'identità, frode e altri crimini.

Tipi di campagne di phishing

Man mano che le aziende continuano a implementare strategie anti-phishing e a educare i propri utenti sulla sicurezza informatica, i cybercriminali continuano a migliorare gli attacchi di phishing e a sviluppare nuove truffe. Ecco ulteriori informazioni su alcuni dei tipi più comuni di campagne di phishing.

Gli attacchi di spear phishing sono mirati a un individuo o un piccolo gruppo, tipicamente con accesso a informazioni sensibili o la capacità di trasferire fondi. I criminali informatici raccolgono informazioni sul bersaglio previsto in anticipo e le utilizzano per personalizzare l'attacco, creare un senso di familiarità e far sembrare l'email dannosa affidabile. Le e-mail di spear phishing generalmente sembrano provenire da qualcuno che il bersaglio conosce, come un collega nella loro azienda o un'altra attività nella loro rete.

Whaling è un attacco di spear phishing che mira specificamente ai dirigenti senior di un'azienda.

Vishing, o voice phishing, utilizza un messaggio telefonico per tentare di convincere le potenziali vittime a richiamare fornendo le proprie informazioni personali. I criminali informatici spesso utilizzano informazioni false sull'ID chiamante per far sembrare le chiamate provenienti da un'organizzazione o azienda legittima. Smishing, noto anche come SMS phishing, utilizza messaggi di testo per cercare di indurre le vittime a rivelare informazioni sull'account o installare malware.

Sebbene i filtri antispam e altre soluzioni tecnologiche possano aiutare a impedirne l'arrivo alle caselle di posta in arrivo, educare gli utenti sui pericoli delle campagne di email di phishing è un componente critico della sicurezza informatica per qualsiasi organizzazione. Il training per la sensibilizzazione sulla sicurezza aiuta ogni dipendente a riconoscere, evitare e segnalare potenziali minacce che possono compromettere dati e sistemi critici. Come parte del training, simulazioni di phishing e altri attacchi vengono tipicamente utilizzate per testare e rafforzare i comportamenti corretti.