Phishing: come i cybercriminali cybercriminali spiano le PMI 

Sapete che il numero di attacchi informatici alle PMI svizzere è in rapido aumento? L'Ufficio federale per la sicurezza informatica ha già registrato un drammatico aumento a oltre 30.000 attacchi nell'arco di sei mesi alla fine del 2023. La situazione non è migliorata nel 2024. In particolare, gli attacchi di phishing sono in aumento.

Gli attacchi di phishing non sono più un problema che riguarda solo le grandi aziende. Le PMI svizzere sono sempre più nel mirino dei criminali informatici. Secondo il Cyber ​​Study 2024, negli ultimi tre anni il 4% delle PMI intervistate è stato vittima di un grave attacco informatico, il che, estrapolato alla Svizzera, corrisponde a circa 24.000 aziende. Ciò che è allarmante è che il 40% delle aziende non dispone di un piano di emergenza o di una strategia di continuità aziendale in caso di un attacco di questo tipo. La crescente digitalizzazione e le risorse spesso limitate per la sicurezza informatica rendono le PMI obiettivi interessanti per gli attacchi di phishing.

I 5 principali metodi di phishing spiegati con esempi concreti

I criminali informatici sono maestri dell'inganno e sviluppano costantemente nuove tattiche per ottenere dati sensibili. Ecco i metodi di phishing più comuni, illustrati da esempi concreti:

  1. Email di phishing
    Email fraudolente che sembrano provenire da istituzioni attendibili allo scopo di ottenere informazioni sensibili. Esempio: ricevi un'e-mail che sembra provenire dalla Posta Svizzera. Ti chiede di pagare una tassa doganale in sospeso per un pacco. Tuttavia, il collegamento allegato porta a un sito Web falso progettato per rubare i dati della tua carta di credito.
     
  2. Spear phishing
    Attacchi mirati contro individui specifici all'interno di un'organizzazione, spesso utilizzando informazioni personali. Esempio: il CFO della tua azienda riceve un'e-mail dal presunto CEO che gli chiede urgentemente di effettuare un trasferimento a un nuovo fornitore. L'indirizzo e-mail differisce solo minimamente da quello reale, rendendo l'inganno perfetto.
     
  3. Frode del CEO (compromissione della posta elettronica aziendale):
    Attacchi in cui gli aggressori falsificano l'identità dei dirigenti (ad esempio, l'amministratore delegato) e inducono i dipendenti a effettuare trasferimenti di denaro o a condividere dati riservati. Esempio: un contabile riceve un'istruzione apparentemente urgente dal direttore generale di trasferire una somma a sei cifre su un conto specifico, una classica tattica di frode del CEO.
     
  4. Smishing (SMS phishing)
    Attacchi di phishing che utilizzano messaggi SMS per rubare dati personali. Esempio: ricevi un SMS dalla "tua banca" che ti informa di attività sospette sul tuo conto e ti chiede di cliccare su un link per verificare il tuo conto. Il collegamento porta a un sito Web falso che raccoglie le tue informazioni di accesso.
     
  5. Vishing (phishing vocale)
    Attacchi di phishing effettuati tramite telefonate per ottenere informazioni riservate. Esempio: un chiamante afferma di essere un tecnico del tuo fornitore di servizi IT e ti chiede i dati di accesso per risolvere un problema urgente. Utilizza un gergo tecnico per apparire credibile.
     
  6. Phishing tramite clonazione
    Gli aggressori clonano e-mail legittime e sostituiscono allegati o link con versioni dannose. Esempio: un'e-mail legittima proveniente da un noto partner commerciale viene intercettata, copiata e inviata nuovamente all'utente con un allegato dannoso. Poiché l'e-mail è storicamente accurata, la frode è appena percettibile.
     
  7. Pharming
    Invece di e-mail, questo attacco avviene direttamente tramite voci DNS manipolate che reindirizzano gli utenti a siti Web falsi, anche se inseriscono l'indirizzo Web corretto. Esempio: un dipendente tenta di accedere al sito Web bancario aziendale, ma a causa di un attacco di pharming, finisce su una copia ingannevolmente reale e rivela le proprie credenziali di accesso.

Tecniche di phishing: Una breve panoramica 

Gli attacchi di phishing utilizzano vari metodi tecnici per ottenere dati sensibili. Una rapida comprensione di queste tecniche aiuta a implementare misure di protezione efficaci.

  • Email spoofing: falsificazione degli indirizzi mittente tramite manipolazione SMTP.
    Protezione: implementazione di SPF, DKIM e DMARC.
  • DNS spoofing/pharming: reindirizzamento degli utenti a siti Web falsi tramite record DNS manipolati.
    Protezione: utilizzo di DNSSEC.
  • Attacchi omografi: utilizzo di caratteri simili negli URL per ingannare.
    Protezione: controllo approfondito di URL e certificati SSL.
  • Attacchi man-in-the-middle: intercettazione e manipolazione del traffico tramite SSL stripping o ARP spoofing.
    Protezione: utilizzo di TLS e rigide policy di sicurezza del trasporto (HSTS).
  • Malware phishing: invio di allegati o link dannosi a exploit.
    Protezione: software di sicurezza aggiornato e aggiornamenti regolari.

I 10 segni rivelatori segni di un'e-mail di phishing 

Le e-mail di phishing sono uno dei metodi più comuni utilizzati dai criminali informatici per ottenere le tue informazioni personali. Si spacciano per mittenti attendibili e cercano di indurti con l'inganno a rivelare informazioni sensibili o a scaricare file dannosi. Per proteggersi da questi attacchi, è importante conoscere le caratteristiche tipiche di un'e-mail di phishing.

  • Indirizzo mittente insolito: l'indirizzo e-mail del mittente non corrisponde al nome dell'azienda o della persona da cui l'e-mail afferma di provenire.
  • Saluto generico:l'e-mail inizia con un saluto generico come "Gentile cliente". invece del tuo nome.
  • Urgenza o minacce: l'e-mail crea un senso di urgenza o minaccia conseguenze negative se non agisci immediatamente.
  • Allegati insoliti: l'e-mail contiene allegati inaspettati o che sembrano sospetti (ad esempio, file eseguibili).
  • Link sospetti: i link nell'e-mail portano a siti Web che non corrispondono all'azienda da cui l'e-mail afferma di provenire.
  • Errori di ortografia e grammatica: l'e-mail contiene numerosi errori di ortografia e grammatica.
  • Richieste insolite: l'e-mail ti chiede di fornire informazioni personali come password o dati della carta di credito.
  • E-mail inaspettata: non hai alcuna interazione con il mittente dell'e-mail, quindi l'e-mail arriva inaspettatamente.
  • Tono e stile insoliti: il tono e lo stile dell'e-mail sono insoliti o non si adattano all'azienda o alla persona che l'e-mail afferma di provenire.
  • L'e-mail è troppo breve:le e-mail di phishing sono spesso brevi per evitare errori.

Misure di protezione a livello tecnico a livello tecnico e organizzativo 

Le aziende hanno la responsabilità di proteggersi in modo proattivo dagli attacchi di phishing. In questo caso è fondamentale un approccio globale che comprenda misure sia tecniche che organizzative.

Misure tecniche

  • Moderne soluzioni anti-phishing
    Implementare gateway di posta elettronica e filtri web con tecnologie di intelligenza artificiale per bloccare in modo proattivo e-mail e siti web sospetti. Gli ambienti sandbox consentono test sicuri degli allegati.
  • Autenticazione a più fattori (MFA)
    Integra gli accessi con fattori di sicurezza aggiuntivi come token o dati biometrici per impedire accessi non autorizzati.
  • Aggiornamenti e patch regolari
    Implementa la gestione automatizzata delle patch per mantenere software e sistemi aggiornati e colmare le lacune di sicurezza.
  • Protocolli di autenticazione e-mail
    Utilizza SPF, DKIM e DMARC per verificare l'autenticità delle e-mail in arrivo e prevenire lo spoofing.
  • Segmentazione della rete e principio zero-trust
    Dividi la tua rete in segmenti e controlla rigorosamente l'accesso per rendere più difficile la diffusione del malware.
     

Misure organizzative

  • Sviluppa policy di sicurezza
    Definisci linee guida chiare per la gestione di e-mail, allegati e dati sensibili. Aggiornali regolarmente.
  • Gestione degli accessi
    Concedi ai dipendenti solo i diritti necessari (privilegi minimi) e implementa il controllo degli accessi basato sui ruoli (RBAC).
  • Piani di risposta alle emergenze e agli incidenti
    Crea piani d'azione dettagliati con responsabilità definite ed esegui esercitazioni regolari.

Best practice per la formazione dei dipendenti

  • Sensibilizzazione regolare
    Forma i tuoi dipendenti almeno trimestralmente sulle minacce attuali e sui metodi di phishing, adattandoli ai loro ruoli.
  • Formazione e simulazioni interattive
    Utilizza workshop e simulazioni di phishing per rafforzare le conoscenze in modo pratico e aumentare la consapevolezza.
  • Test di phishing con feedback
    Esegui test interni per valutare la vigilanza e offrire feedback mirati e formazione aggiuntiva.

Combinando queste misure tecniche e organizzative, puoi rafforzare in modo sostenibile le difese della tua azienda contro gli attacchi di phishing.

Piano di emergenza in caso di attacco di phishing andato a buon fine 

Anche con le misure di sicurezza più complete, un attacco di phishing può avere successo. In questi casi è fondamentale avere un piano di emergenza chiaramente definito per poter reagire in modo rapido ed efficace.

Misure immediate

  1. Isolare i sistemi:scollegare i dispositivi interessati dalla rete.
  2. Modificare le password:aggiornare tutti i dati di accesso.
  3. Informare le autorità:segnalare l'incidente al NCSC.
  4. Comunicazione interna: informare tutti i dipendenti l'incidente.
  5. Indagine forense: analizza l'attacco per identificare le vulnerabilità.
  6. Adatta le misure: aggiorna le tue strategie di sicurezza in base ai risultati.

MTF: il vostro partner per sicurezzainformatica e prevenzione del phishing 

Gli attacchi di phishing sono una seria minaccia per le PMI svizzere. Tuttavia, con le giuste misure, è possibile ridurre notevolmente il rischio. Investite in tecnologia, formate i vostri dipendenti ed elaborate un piano di emergenza efficace. In questo modo sarete ben attrezzati per proteggere la vostra azienda dalle minacce informatiche.

Siete pronti a proteggere in modo ottimale la vostra azienda dagli attacchi di phishing? MTF è al vostro fianco come fornitore esperto di servizi IT. Contattateci per saperne di più sulle nostre soluzioni di sicurezza personalizzate per le PMI svizzere!

FAQ 

  1. Cos'è il phishing?
    Il phishing è una forma di reato informatico in cui i truffatori tentano di ottenere informazioni personali come password o dati di carte di credito. Ciò accade spesso tramite e-mail o siti Web ingannevolmente realistici.
     
  2. Perché le aziende sono spesso bersaglio di attacchi di phishing?
    Le aziende sono obiettivi allettanti perché spesso dispongono di dati preziosi, come database dei clienti, informazioni finanziarie e accesso a sistemi sensibili. Inoltre, singoli dipendenti possono essere indotti a rivelare accidentalmente i propri dati di accesso tramite attacchi mirati (ad esempio, spear phishing).
     
  3. Come faccio a riconoscere un'e-mail di phishing?
    Le caratteristiche tipiche di un'e-mail di phishing sono:
    - Errori di ortografia e formulazione non professionale
    - Indirizzi del mittente sospetti
    - Inviti all'azione urgenti ("Il tuo account verrà bloccato!")
    - Link che portano a siti Web esterni o falsi
     
  4. Quale ruolo gioca la consapevolezza dei dipendenti?
    I dipendenti sono la prima linea di difesa contro il phishing. La formazione li aiuta a riconoscere i tentativi di phishing e a reagire correttamente. Ciò riduce significativamente il rischio che un attacco abbia successo.

Anche interessante 

Avete Domande?

Stephan Keller
Chief Financial Officer