PHISHING CAMPAIGN

PHISHING CAMPAIGN

Tu sei qui:
  1. Home
  2. Cyber Security
  3. Formazione Cyber Security
  4. Phishing Campaign

B-01 è la business unit del gruppo BlendIT dedicata alla CYBER SECURITY,  ha definito la giusta proposta di Cyber Security per ciascun livello di rischio e possiede tutti i requisiti per rafforzare la “business-continuity” delle imprese industriali e del terziario, con analisi e ricerche globali che si spingono fino agli anfratti più remoti e  meno limpidi del web (hackering crimes e dark web). Si occupa di Analisi sicurezza informatica, network & application security, Gestione incidenti informatici, Formazione 

Cos'è il Phishing Campaign?

Il Phishing Campaign é una delle truffe informatiche più diffuse e lucrative e consiste nel sottrarre i dati di autenticazione di un utente (di solito username e password), facendoli inserire dall’utente stesso in una pagina falsa apparentemente identica a quella di un servizio che il destinatario usa realmente. Negli ultimi anni gli attacchi tramite Phishing hanno registrato una crescita record e un programma efficace di sensibilizzazione sulla sicurezza dovrebbe costituire parte integrante di tutte le strategie di difesa.

Solitamente l’hacker effettua un invio massivo di messaggi che imitano per aspetto e contenuti i messaggi originali dei fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate quali, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio o ripristinarlo. La maggior parte delle truffe avviene attraverso l’invio di e-mail contraffatte ma spesso anche sotto forma di messaggi SMS ed il rischio è ancora maggiore per i social media quali Facebook e Twitter.

Cosa fanno gli hacker?

Gli hacker sono spesso facilitati nell’ottenere le informazioni personali o aziendali dai comportamenti quotidiani di ciascun individuo e dal fatto che gli accessi a questi siti mascherati avvengono h24, da casa, dal lavoro e nei luoghi pubblici; le loro attività illegali sfruttano prevalentemente alcuni punti deboli dei più diffusi strumenti informatici di uso quotidiano:

Manipolazione dei link

La maggior parte dei metodi di Phishing usa degli accorgimenti tecnici per far apparire i link che compaiono nelle e-mail quali autentici anche se riportano a siti diversi o a sotto-domini illegali.

Aggiramento dei filtri

Gli hacker hanno ultimamente iniziato a mascherare il testo inserendolo all’interno delle immagini per aggirare i filtri anti-phishing che hanno più difficoltà nell'identificare possibili minacce.

Contraffazione di siti web

In una pagina modificata possono essere nascosti ad esempio dei comandi per alterare alcune funzioni o essere inseriti script malevoli. Questi attacchi (cross-site scripting) sono particolarmente difficili da individuare e contrastare poiché i siti sembrano essere apparentemente legittimi e dotati di tutti i certificati di sicurezza necessari.

Phishing telefonico

Avviene con l’invio di messaggi sms agli utenti, che segnalano ad esempio problemi ai loro account e richiedono l’inserimento del PIN per ripristinare i servizi.

Come proteggersi?

Un efficace programma di sensibilizzazione sulla sicurezza costituisce parte integrante di tutte le strategie di difesa e va costruito anche sulla formazione degli utilizzatori finali che spesso si rivelano l’anello più vulnerabile della Cyber Security aziendale.

Le pratiche di simulazione di attacchi Phishing servono a sensibilizzare e promuovere una maggiore consapevolezza anche nei fruitori dei dati all’interno e all’esterno degli spazi aziendali. Se i dipendenti dell’azienda saranno in grado di individuare i tentativi di attacco, i dati della compagnia saranno più al sicuro. La regola base quando si frequenta Internet sarebbe ovviamente quella di fare molta attenzione ai link specialmente se questi arrivano via e-mail o da sistemi di messaggistica istantanea, e a come sono scritti gli indirizzi dei siti (URL), dove i piccoli errori di ``ortografia`` sono spesso usati per trarre in inganno i destinatari. Un’organizzazione strutturata avrà evidentemente la necessità di testare e mettere in sicurezza una molteplicità di possibili accessi contemporaneamente e l’adozione di una campagna di “Phishing simulato” può consentirle di accelerare drasticamente i tempi.

  • Prevedere tanta formazione affinché si conoscano le strategie adottate dagli hacker
  • Conoscere per proteggersi
Categoria: Formazione Cyber Security