Articolo blog

Cos’è il Phishing?

Cos’è il Phishing? e come difendersi?

Il phishing è una particolare tipologia di attacco informatico che, sfruttando le logiche del Social Engineering, induce la propria vittima a fornire informazioni riservate, tramite l’invio di email massive.

Le e-mail che vengono inviate sembrano apparentemente proveniente da istituti finanziario da siti web che richiedono l’accesso previa registrazione.

Il messaggio invita l’utente, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio.

Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è stato preparato in modo identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno a disposizione dei criminali.

Cos’è il phishing e perchè ha successo?

Gli attacchi di phishing hanno successo perché fanno leva sul fattore umano, che è la componente più debole della sicurezza di una azienda. Le persone non prestano sufficiente attenzione alle richieste apparentemente legittime e finiscono per condividere erroneamente dati sensibili e riservati.

Quali sono i pericoli degli attacchi di phishing?

A volte agli hacker è sufficiente ottenere informazioni sulla carta di credito della vittima o altri dati personali a scopo di lucro. Altre volte, le e-mail di phishing vengono inviate al fine di ottenere le credenziali di accesso dei dipendenti o altre informazioni utili a perpetrare un attacco più sofisticato contro un’azienda specifica. Attacchi informatici quali minacce avanzate persistenti (APT) e ransomware spesso iniziano con il phishing.

Perché dovresti prestare attenzione?

Oltre il 25% dei destinatari delle email di phishing clicca sul contenuto della email senza pensarci e riflettere. Oltre il 50% di questi compila form online inviando informazioni riservate e sensibili.

Quale perdita economica comporta mediamente un attacco phishing?

Le violazioni costano, in media, più di 130.000 dollari e possono raggiungere i milioni, causando il fallimento di molte aziende.

PhishBrain – Cos’è il phishing e come difendersi?

Cosa è il phishing?

PhishBrain è il phishing simulator più semplice ed efficiente di Phishing, sviluppato per analizzare il livello di vulnerabilità delle aziende nei confronti degli attacchi phishing.

Come funziona?

PhishBrain crea campagne da indirizzare ai dipendenti, molto realistiche, ossia del tutto simili a quelle reali capaci di fare leva sugli stessi meccanismi psicologici. 

Lo scopo è duplicemisurare il livello di preparazione degli utenti – quanti cascano nella trappola e quanti no e fino a che punto ci si casca, o ci si ferma ad avere aperto la mail e a cliccarci sopra, fino a inserire le proprie credenziali; sensibilizzare e formare – nel momento in cui si è cascati, si avvisa l’utente che si tratta di una campagna di ‘awareness’ relativa al phishing’.

La fase di formazione successiva prevede l’utilizzo di video volti a spiegare all’utente i meccanismi principali a cui prestare attenzione per non ricascarci. A ciò si aggiunge la misurazione del progresso: essendo campagne che si possono ripetere nel tempo, il sistema tiene traccia di tutte le metriche ed è in grado di mostrare il miglioramento della situazione nell’organizzazione, campagna dopo campagna, sensibilizzazione dopo sensibilizzazione. 

Il reporting dettagliato permette infatti di tracciare le email che sono state aperte, i link che sono stati cliccati e se sono state inserite informazioni nei form della landing page fasulla. In questo modo sarà possibile avere statistiche di crescita del livello di awareness aziendale e identificare dipendenti e organizzazioni più vulnerabili, così da poter dedicare tempo alla loro formazione e sensibilizzazione.

Lo scopo è quindi fare campagne di phishing simulato per andare a misurare quanto le persone/utenti sono attrezzati per difendersi da queste campagne, e successivamente informare e formare, misurando i miglioramenti nel tempo.

Cosa è il phishing?
English English Italian Italian