Il Phishing è una truffa telematica che ha lo scopo di rubare le informazioni e dati personali degli utenti. Una delle minacce informatiche più conosciute, ma allo stesso tempo quella che riesce a trovare più vittime. Analizziamola nel dettaglio.
Il Phishing si presenta attraverso una e-mail, solo apparentemente proveniente da istituti finanziari come banche o società emittenti di carte di credito o da siti web che richiedono l'accesso previa registrazione quali web-mail ed e-commerce.
Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l'utente, è indicato un link che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito per sembrare come quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Quali sono le conseguenze?
Le conseguenze del Phishing sono molteplici per un’azienda, alcune avvertite in maniera più diretta e concreta, altre più subdole e durature, indirette.
A seconda della tipologia di informazioni diffuse a seguito dell’attacco subito, per l’azienda possono derivare come conseguenze dirette:
Furto di identità, è una delle frodi più diffuse nel mondo aziendale e può mettere in serio pericolo l’organizzazione compromettendone il business;
Perdite economiche dirette, se viene fornita la carta di credito o dettagli bancari aziendali. Immaginabile il disagio per l’organizzazione a seguito del blocco del conto corrente;
Ulteriori tentativi di truffa. Se l’azienda viene percepita dai cyber criminali come papabile vittima, è sicuramente esposta ad ulteriori attacchi;
Estromissione dall’accesso a determinati servizi, compromissione di credenziali d’accesso a siti internet o alla posta elettronica o della intranet aziendale con paralisi delle procedure per giorni.
Oltre a queste possono esserci conseguenze indirette. Le informazioni raccolte dai cyber criminali vengono spesso usate per perpetuare ulteriori attacchi verso tutta la rete di relazioni aziendali inclusi i dipendenti. Qui le conseguenze possono essere:
Comunicazioni inviate col dominio aziendale, a colleghi, ai clienti ai fornitori e a tutta la rubrica di contatti della casella mail compromessa.
Richieste di informazioni, di pagamenti o d’acquisto fatte a nome dell’azienda raggirata;
Perdita della fiducia verso l’azienda, dalla clientela, dai collaboratori e da tutta la rete relazionale dell’azienda colpita.
Come proteggersi?
Parola d'ordine buon senso. Dati, codici di accesso e password personali non dovrebbero mai essere comunicati a sconosciuti. È bene ricordare che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat: quindi, meglio evitare di fornire dati personali, soprattutto di tipo bancario, attraverso tali canali.
Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone. Spesso dietro i nomi di siti apparentemente sicuri o le URL abbreviate che si trovano sui social media si nascondono link a contenuti non sicuri. Una piccola accortezza consigliata è quella di posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati.
La risposta di DPWAY
Tutto ciò però può non essere sufficiente e qui entrano in gioco DPWAY e la sua esperienza nel campo della cyber security.
DPWAY consiglia, grazie ai suoi partner tecnologici, di munirsi di un Servizio VPN che consente di creare una rete privata virtuale e garantire privacy, anonimato e sicurezza dei dati criptando il traffico Internet e, di conseguenza, proteggendo la propria identità online.
È inoltre molto importante parlare di Phishing Awareness, perché oltre alle più avanzate e innovative tecnologie di email security, è ormai indispensabile pensare a un percorso di consapevolezza del rischio, ovvero fornire ai dipendenti delle attività maggiormente esposte gli strumenti necessari per comprendere minacce, attacchi e rischi a cui sono esposti e innalzare, di conseguenza, il livello di protezione aziendale.