Benvenuto nel sito della campagna Sappi Cyber Security

Il phishing “ingannevole”, una delle truffe più comuni in assoluto. I cyber criminali, o phisher, si calano nei panni di un’azienda legittima e tentano di estorcere le informazioni personali o i dati di accesso agli account di privati e aziende. Le e-mail sono il canale più usato per segnalare minacce o emergenze (inesistenti), che inducono l’utente a comunicare le proprie credenziali. A questo livello, il successo degli attacchi dipende dalla perizia dell’hacker nel creare e-mail che assomiglino effettivamente a quelle dell’azienda che cerca di imitare.

Simile al deceptive phishing ma “su misura”, per ingannare anche le vittime più accorte. In questo caso, il truffatore personalizza il messaggio inserendo nomi, posizioni, posti di lavoro, numeri di telefono e altre informazioni personali. Lo scopo è lo stesso del deceptive phishing: portare la vittima a cliccare su allegati o su link che rimandano a pagine e documenti infetti. Questi hacker frequentano regolarmente i social per raccogliere le informazioni personali di cui hanno bisogno.

Una vera e propria “caccia alle balene”, ai pezzi grossi. Infatti, in questo caso gli hacker attaccano nello specifico le cariche più alte delle aziende (i CEO, ad esempio) per ottenere informazioni personali sui dipendenti e truffare più persone in una volta sola. Arpionano i dirigenti per sottrarre i dettagli dei loro account, creare e-mail a nome dell’azienda e invitare i dipendenti a fornire i loro dettagli per far fronte a un non meglio identificato “malfunzionamento della rete o del database”. La pericolosità di questa forma di phishing è data dal fatto che a volte chi riveste cariche di prestigio nelle aziende tende a ignorare le norme di sicurezza e disertare i corsi di formazione.

Sapendo che ormai si parla sempre più spesso di cyber attacchi e che gli utenti hanno le risorse per difendersi dai tentativi di phishing tradizionali, alcuni phisher abbandonano l’idea di prendere di mira i singoli individui e preferiscono gettare un’esca più ingegnosa. In poche parole, questa tecnica consiste nel ricreare il nome esatto di un dato link o URL e dirottare l’utente su un sito “clone” fasullo (che ha un URL identico a quello digitato), richiedendo l’inserimento di dati personali. Questa forma di phishing è meno diffusa, ma è comunque un pericolo concreto nel cyberspazio.

Milioni di persone usano questa piattaforma per avere una copia online delle loro risorse. Un prezioso canale per i phisher, che hanno facile accesso agli upload personali di milioni di utenti, completi di credenziali e dati personali. In questo caso, la truffa si basa sulla forma di messaggistica più immediata (le e-mail) per richiedere dettagli di login o inviare link fraudolenti. Molte piattaforme online hanno sviluppato un sistema di autenticazione in due passaggi per assicurare che ai criminali in agguato manchi sempre un’informazione e non possano quindi accedere agli account online.

Il principio è lo stesso di Dropbox, ma il rischio è maggiore per le grandi aziende, perché i dipendenti caricano documenti di valore su questa piattaforma: fogli di lavoro, siti Web, foto e molte altre risorse che mettono a disposizione degli hacker tanti piccoli bit di informazioni. Anche in questo caso, è possibile implementare una procedura di autenticazione in due passaggi per impedire l’accesso a dati preziosi.