Momento della lettura: 4 verbale
Ogni anno, mentre ci avviciniamo alle festività natalizie, milioni di persone si preparano a celebrare una popolare tradizione annuale italiana: la Festa dei Sette Pesci. Ma mentre la maggior parte delle persone guarda a questa tradizione e alle festività circostanti come un momento di gioia e celebrazione, altri lo vedono come un'opportunità.
Le stagioni delle vacanze segnano il momento in cui il crimine informatico sarà al tasso più alto di tutto l'anno, poiché gli aggressori sfruttano appieno aumento della spesa online e il traffico di rete complessivo. Ogni anno, è fondamentale essere consapevoli dei problemi di sicurezza più rilevanti che affliggono le aziende e i consumatori e come è possibile adottare misure per mantenerti protetto.
Quindi, mentre ti prepari per le celebrazioni delle tue vacanze, ecco sette "phishing" che vorrai assolutamente evitare quest'anno.
1. Spear phishing
Le truffe via e-mail e gli attacchi di ingegneria sociale si sono evoluti notevolmente nel corso degli anni. Spear phishing è un prodotto di questa evoluzione e si riferisce a una campagna di messaggistica altamente mirata contro un'azienda o un individuo specifico nel tentativo di ottenere informazioni sensibili. Conoscendo dettagli intimi sull'obiettivo previsto, come nomi, indirizzi, contatti e interessi, gli aggressori possono presentarsi come fonti credibili e iniziare a reperire le informazioni di cui hanno bisogno. Queste informazioni possono essere sotto forma di nomi utente e password, numeri di previdenza sociale, informazioni bancarie e altri materiali sensibili.
2. Caccia alle balene
La caccia alle balene è un altro passo avanti rispetto alle campagne di spear phishing e lo è destinato a target più grandi e di alto profilo. Questi obiettivi possono includere c-suite, comunemente composta da CEO, CFO e altri dirigenti di alto livello. Analogamente agli schemi di spear phishing, le campagne di caccia alla balena sono altamente personalizzate e pertinenti per il target previsto. Spesso, i messaggi utilizzati in queste campagne sono progettati per richiedere risposte rapide per distrarre la vittima dall'identificazione di segnali di pericolo nel corpo dell'e-mail o nell'oggetto mentre risponde con informazioni aziendali sensibili o apre file dannosi allegati al corpo dell'e-mail. Questi messaggi sono generalmente progettati per sembrare una priorità alta, ad esempio nel caso di potenziali azioni legali o danni al marchio se non ricevono risposta.
3. Spoofing del dominio
Lo spoofing del dominio è una forma comune di phishing in cui gli aggressori creano una copia fraudolenta di un noto sito Web nel tentativo di convincere la vittima a condividere le proprie credenziali di accesso o altri dati sensibili. Dopo aver ricevuto un'e-mail apparentemente legittima da un'azienda con cui hanno già rapporti d'affari, molte persone abbassano automaticamente la guardia e sono meno scettiche riguardo al contenuto o all'origine della posta. La posta è solitamente incentrata su una richiesta all'utente di aggiornare il proprio profilo o accedere al proprio account. Naturalmente, i collegamenti nella posta portano al sito Web di frode sopra menzionato, quindi accedendo, gli utenti stanno inconsapevolmente fornendo il proprio nome utente e password agli hacker. Gli aggressori ora arrivano persino a creare siti Web duplicati completi con nomi di dominio simili come grandi organizzazioni per una probabilità ancora maggiore di ottenere le informazioni che stanno cercando dalle loro vittime.
4. Gemello malvagio
Gemello cattivo è un metodo di attacco di phishing utilizzato per intercettare le comunicazioni wireless. Gli aggressori configureranno un falso punto di accesso wireless per invitare gli utenti a connettersi al proprio sistema. Mentre alle vittime della fonte viene richiesto di inserire informazioni sensibili come i loro nomi, indirizzi e-mail, nomi utente e password per ottenere l'accesso Wi-FI, gli aggressori sono in grado di compilare un elenco in rapida crescita di credenziali compromesse. Gli aggressori possono creare falsi hotspot Wi-Fi abbastanza facilmente, configurando le schede wireless sul proprio laptop o server in modo che fungano da punto di accesso ospitato.
5. Sbattere
Lo smishing è diventato un problema di scala dall'invenzione degli smartphone e dalla popolarità degli schemi di phishing. Lo smishing si riferisce a qualsiasi tipo di tecnica di phishing che si basa esclusivamente sull'utilizzo di sistemi di messaggistica SMS. Lo smishing è diventata una tattica sempre più popolare per gli aggressori perché è più probabile che le vittime si fidino delle fonti rispetto alla posta elettronica. Gli aggressori sfruttano questa fiducia fingendosi uno dei tuoi contatti, molte volte, membri della famiglia, al fine di estrarre informazioni sensibili. Un altro motivo per cui queste tattiche hanno così tanto successo è che è molto difficile per i dispositivi mobili meno recenti rilevare questa forma di frode, rendendo la percentuale di successo molto più alta rispetto ad altre forme di attacco.
6. Script
Simile allo spoofing del dominio, lo scripting è un'altra forma di attacco che coinvolge l'uso di siti Web dannosi e ingegneria sociale per raggiungere gli obiettivi dell'attaccante. Gli hacker progettano le pagine Web in modo che abbiano l'aspetto di una normale pagina di un sito Web, ma dietro le quinte ci sono script dannosi pronti per essere eseguiti sulla macchina di origine che utilizza il browser Web. Una volta che l'utente accede a queste pagine, gli script verranno eseguiti automaticamente in background, spesso completamente inosservati, e possono essere utilizzati per una serie di scopi dannosi. Gli script possono essere utilizzati per iniettare malware pericolosi nei sistemi, caricare spyware per la registrazione di sequenze di tasti e password o crittografare sistemi e distruggere dati sensibili.
7. Attacchi Man-in-the-Middle
Attacchi Man-in-the-Middle (MITM) sono un'altra forma di tecnica di intercettazione in cui gli aggressori agiscono come la persona media silenziosa tra le interazioni di due individui. Gli attacchi MITM possono verificarsi in più scenari, ma il modo in cui vengono generalmente eseguiti allo stesso modo. Gli aggressori inizieranno inizialmente con una campagna di spear phishing progettata per manipolare un utente affinché acceda a una rete falsa o danneggiata. Una volta fatto ciò, gli hacker sono in grado di osservare silenziosamente le interazioni online tra le vittime e i loro istituti bancari o altri account in cui vengono scambiati dati sensibili, il tutto senza essere rilevati da nessuna delle parti.
Il phishing è diventata una tecnica popolare di ingegneria sociale che assume molte forme e forme. Tuttavia, in definitiva, l'obiettivo di qualsiasi campagna o tattica di phishing è lo stesso: raccogliere quante più informazioni sensibili su di te o sulla tua azienda con intenti dannosi. Ma semplicemente conoscendo questi sette tecniche di phishing comuni non è abbastanza per proteggerti ora e in futuro.
La sicurezza informatica dovrebbe essere al centro dell'attenzione per tutti i clienti e le imprese che si avvicinano alle festività natalizie e investire in soluzioni e servizi di sicurezza all'avanguardia è uno dei modi più efficaci per proteggersi da queste comuni tattiche di phishing.
Per saperne di più su come Comodo's soluzioni per il rilevamento e la risposta degli endpoint può lavorare per te, contattaci oggi a programmare una dimostrazione gratuita.
PROVA LA TUA SICUREZZA E-MAIL OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE Fonte: https://blog.comodo.com/comodo-news/7-phishes-you-dont-want-this-holiday/
