Cos'è il phishing?

Scopri di più sul phishing, su cosa cercare in un attacco e su come proteggersi con strumenti e suggerimenti per rimanere al sicuro online.

Proteggiti dal phishing

Definire il phishing

Gli attacchi di phishing mirano a rubare o danneggiare dati sensibili inducendo le persone a rivelare informazioni personali come password e numeri di carte di credito.

Punti chiave

Il phishing è un tipo di attacco informatico in cui gli utenti malintenzionati si mascherano come fonti attendibili per rubare informazioni riservate.
Questi attacchi consentono agli utenti di fornire informazioni tramite messaggi falsi progettati per essere autenticati.
Gli attacchi di phishing possono essere riconosciuti da indirizzi di posta elettronica sospetti, messaggi di saluto generici, linguaggio urgente o minaccioso e richieste di clic su collegamenti sconosciuti.
Il modo migliore per prevenire gli attacchi di phishing consiste nell'usare l'autenticazione a più fattori resistente al phishing (PR-MFA), prestare attenzione ai collegamenti e agli allegati dei messaggi e rimanere informati sulle tattiche di phishing più recenti.

Tipi di attacchi di phishing comuni

Gli attacchi di phishing sono opera di truffatori che imitano origini affidabili per cercare di facilitare l'accesso a tutti i tipi di dati sensibili. Anche se questo tipo di attacco informatico pervasivo continua a evolversi insieme alle tecnologie emergenti, le tattiche rimangono coerenti:

Comunicazione astuta
Gli utenti malintenzionati sono abili nel manipolare le loro vittime e indurle a cedere dati sensibili nascondendo messaggi e allegati dannosi in luoghi in cui le persone potrebbero non accorgersene facilmente, ad esempio, nelle cartelle della posta in arrivo. È facile presumere che i messaggi che arrivano nella tua cartella Posta in arrivo siano legittimi, ma fai attenzione: le e-mail di phishing spesso sembrano sicure e ordinarie. Per evitare di farti ingannare, esamina i collegamenti ipertestuali e gli indirizzi e-mail dei mittenti prima di fare clic.

Percezione del bisogno
Le persone vengono ingannate dal phishing perché pensano di dover agire. Ad esempio, le vittime possono scaricare malware camuffato da curriculum perché hanno urgenza di assumere qualcuno oppure possono immettere le proprie credenziali bancarie su un sito Web sospetto per salvare un account in procinto di scadere. Creare una falsa percezione del bisogno è un trucco popolare proprio perché funziona. Per proteggere i tuoi dati, fai molta attenzione o installa una tecnologia di protezione delle e-mail che si occuperà di questo aspetto per te.

Falsa attendibilità
I truffatori ingannano le persone creando un falso senso di fiducia tanto che persino i più perspicaci cadono nelle loro truffe. Imitando origini affidabili come Google, Wells Fargo o UPS, i truffatori possono indurti ad agire prima che tu ti renda conto di essere vittima di un inganno. Molti messaggi di phishing non vengono rilevati senza misure di cybersecurity avanzate. Proteggi le tue informazioni private con la tecnologia di sicurezza per le e-mail progettata per identificare i contenuti sospetti ed eliminarli prima che raggiungano la tua cartella Posta in arrivo.

Manipolazione delle emozioni
I truffatori usano tattiche psicologiche per convincere le loro vittime ad agire senza fermarsi a pensare. Dopo aver creato fiducia imitando un'origine familiare e generato un falso senso di urgenza, gli utenti malintenzionati sfruttano emozioni come paura e ansia per ottenere ciò che vogliono. Le persone tendono a prendere decisioni affrettate quando viene detto loro che perderanno denaro, finiranno in guai legali o non avranno più accesso a una risorsa di cui hanno estremamente bisogno. Fai attenzione a qualsiasi messaggio che richieda di agire subito: potrebbe trattarsi di una truffa.

I tipi più comuni di attacchi di phishing includono:

Phishing tramite e-mail
Si tratta della forma più comune di phishing che utilizza tattiche come collegamenti ipertestuali fasulli per indurre i destinatari dell'e-mail a condividere le proprie informazioni personali. Gli utenti malintenzionati spesso fingono di essere grandi provider di account come Microsoft o Google o persino colleghi.

Phishing di software dannoso
Si tratta di un altro approccio di phishing diffuso che prevede l'inserimento di software dannoso camuffato da allegato affidabile, come un curriculum o un estratto conto, in un'e-mail. In alcuni casi, l'apertura di un allegato con software dannoso può paralizzare interi sistemi IT.

Spear phishing
Sebbene il raggio d'azione degli attacchi di phishing sia in genere molto ampio, lo spear phishing prende di mira individui specifici sfruttando le informazioni raccolte tramite ricerche sul loro lavoro e sulla loro vita sociale. Poiché questi attacchi sono estremamente personalizzati, riescono ad aggirare con grande efficacia la cybersecurit di base.

Whaling
Quando i target di un attacco sono persone importanti come dirigenti d'azienda o celebrità, i truffatori utilizzano il whaling. Questi truffatori spesso conducono ricerche approfondite sui loro target per trovare il momento opportuno per rubare le loro credenziali di accesso o altre informazioni sensibili. Se tu hai molto da perdere, l'utente malintenzionato che attua il whaling ha invece tutto da guadagnare.

Smishing
Lo smishing, termine che deriva dall'unione delle parole "SMS" e "phishing", implica l'invio di SMS camuffati da comunicazioni affidabili di aziende come Amazon o FedEx. Le persone sono particolarmente vulnerabili alle truffe via SMS, poiché i messaggi di questo tipo vengono inviati come testo normale e sembrano più personali.

Vishing
Nelle campagne di vishing, gli utenti malintenzionati di call center fraudolenti tentano di indurre le persone a fornire informazioni sensibili al telefono. In molti casi, queste truffe utilizzano l'ingegneria sociale per indurre le vittime a installare software dannosi sui propri dispositivi sotto forma di app.

Pericoli del phishing

Un attacco di phishing riuscito può avere gravi conseguenze. Potrebbe tradursi in denaro rubato, addebiti fraudolenti su carte di credito, perdita di accesso a foto, video e file e persino in criminali informatici che si spacciano per te e mettono a rischio altre persone.

I rischi per un datore di lavoro possono includere la perdita di fondi aziendali, l'esposizione delle informazioni personali di clienti e colleghi o il furto o l'inaccessibilità di file sensibili. Una violazione dei dati potrebbe anche avere un impatto negativo durevole sulla reputazione di un'azienda. In alcuni casi, il danno può essere irreparabile.

Alcuni esempi reali registrati da Microsoft Threat Intelligence includono:

È stata rilevato che l'attore di minacce russo Star Blizzard distribuisce messaggi di spear-phishing a statunitensi, think tank e organizzazioni non governative, nel tentativo di rubare informazioni riservate.
Sapphire Sleet, con sede in Corea del Nord, ha rubato più di 10 milioni di USD di criptovaluta, inizialmente mascherandosi come un'impresa e poi come selezionatori professionisti.
L'attore di minacce noto come Storm-2372 è stato individuato per aver condotto una campagna di phishing del codice del dispositivo, in cui ha sfruttato le esperienze dell'app di messaggistica per acquisire i token di autenticazione.

Come riconoscere gli attacchi di phishing

Gli attori di minacce possono essere destinati a un'ampia gamma di individui, in particolare quelli con accesso a informazioni riservate. Molti di questi dipendenti hanno ruoli strategici, ad esempio IT, finanza e amministrativo. Tuttavia, gli attori di minacce possono anche fingere di essere un supervisore che "richiede" le credenziali ai dipendenti, motivo per cui tutti devonostare attenti a messaggi sospetti.

L'obiettivo principale di qualsiasi attacco di phishing è rubare informazioni e credenziali sensibili. Diffida di qualsiasi messaggio (tramite telefono, e-mail o SMS) in cui ti vengono chiesti dati sensibili o di dimostrare la tua identità.

Gli utenti malintenzionati fanno di tutto per imitare entità familiari e utilizzano gli stessi loghi, design e interfacce di marchi o individui che conosci già. Sii sempre all'erta ed evita di fare clic sui collegamenti e di aprire gli allegati a meno che tu non abbia la certezza che il messaggio sia legittimo.

Ecco alcuni suggerimenti per riconoscere un'e-mail di phishing:

Minacce urgenti o inviti all'azione, ad esempio aprire subito.
Mittenti nuovi o insoliti: chiunque ti invii un'e-mail per la prima volta.
Errori di ortografia e di grammatica, spesso a causa di traduzioni mediocri eseguite da un non madrelingua.
Collegamenti o allegati sospetti: testo con collegamenti ipertestuali che rivelano collegamenti da un indirizzo IP o un dominio diverso.
Piccoli errori di ortografia, ad esempio micros0ft.com o rnicrosoft.com.

Prevenzione degli attacchi di phishing

Ecco alcuni passaggi pratici da eseguire per proteggersi dagli attacchi di phishing:

Riconoscere i segni. Ad esempio, messaggi di saluto non noti, messaggi non richiesti, errori grammaticali e ortografici, un senso di urgenza, collegamenti o allegati sospetti e richieste di informazioni personali.
Segnalare eventuali elementi sospetti. Segnalare messaggi sospetti al reparto IT dell'organizzazione o contrassegnarli tramite strumenti di creazione di report designati.
Installare software di sicurezza. Distribuire software progettato per rilevare e bloccare i tentativi di phishing, ad esempio programmi antivirus o firewall.
Richiedi l'autenticazione a più fattori (MFA). Questo aggiunge un livello di sicurezza. Vai anche oltre con l'autenticazione a più fattori resistente al phishing (PR-MFA), che protegge contro l'ingegneria sociale.
Rimani informato tramite l'istruzione e la formazione. Le sessioni di formazione regolari consentono a te e ai tuoi colleghi di identificare e segnalare tentativi di phishing tramite i canali appropriati. I metodi di attacco sono in continua evoluzione, quindi è consigliabile rimanere aggiornati sulle tendenze correnti in materia di cybersecurity e aggiornamenti per l'intelligence sulle minacce.

Risposta a un attacco di phishing

Quando si verifica un tentativo di phishing, è fondamentale agire rapidamente per ridurre al minimo i potenziali danni:

Non rispondere. Anche una semplice risposta può confermare a un utente malintenzionato che l'indirizzo di posta elettronica è attivo, il che potrebbe incoraggiare l'utente a continuare a provare.
Modificare le password. Se si sospetta che le credenziali siano state compromesse, modificare immediatamente le password. Implementare l'autenticazione a più fattori se non è attualmente in uso.
Avvisa il team IT. Informarli del tentativo di phishing può far partire una risposta agli incidenti per ridurre i danni nella rete dell'organizzazione.
Segnala il tentativo di phishing. Usa strumenti di creazione di report designati o segui le istruzioni fornite dal team IT.
Monitora gli account. Controlla regolarmente qualsiasi account con dati sensibili, ad esempio un conto finanziario, per qualsiasi attività sospetta.
Informa i colleghi. Comunica al tuo team il tentativo di phishing e cosa cercare. Questo semplice passaggio può rafforzare collettivamente le difese.

Applicando questi passaggi e adottando azioni immediate, è possibile ridurre significativamente il rischio di ulteriori danni e proteggere sia i dati personali che i dati aziendali.

Tendenze di phishing

Gli attori di minacce usano un'ampia gamma di malware per condurre i propri schemi di phishing. I più comuni includono:

Il ransomware è uno dei tipi più comuni di malware. Limita l'accesso ai dati crittografando i file o bloccando le schermate del computer, quindi tenta di estorcere denaro dalle donne richiedendo un riscatto in cambio dell'accesso ai dati.

Lo Spyware infetta un dispositivo, quindi monitora le attività sul dispositivo e online, raccogliendo le informazioni riservate usate, ad esempio le credenziali di accesso e i dati personali.

I bot consentono agli utenti malintenzionati di infettare e assumere il controllo dei dispositivi. Le botnet sono reti di bot che usano server di comando e controllo (C&C) per distribuire una rete ancora più ampia per condurre attività dannose.

I virus sono una delle forme meno recenti di malware. Si allegano a file puliti e si diffondono ad altri file e programmi.

I trojan si mascherano come software normale. Dopo l'installazione, distribuiscono codice dannoso che può assumere il controllo di un dispositivo e creare una backdoor per altro malware.

Gli attacchi hanno anche adottato malware generato dall'intelligenza artificiale, che è più sofisticato e più difficile da rilevare, in quanto può simulare il comportamento legittimo del software e rigenerare il codice per eludere la sicurezza.

Questa rapida evoluzione del malware ha richiesto ai professionisti della sicurezza di sviluppare tecniche simili per sfruttare i vantaggi dell'intelligenza artificiale per la cybersecurity:

Le soluzioni di funzionalità di rilevamento e reazione estese (XDR) uniscono strumenti come il rilevamento e la risposta degli endpoint (EDR), intelligenza artificiale e Machine Learning (ML) e altri strumenti in un'unica piattaforma basata sul cloud.

Il rilevamento e la risposta gestiti (MDR) combinano la tecnologia con l'esperienza umana per rafforzare la sicurezza informatica.

Le soluzioni di informazioni di sicurezza e gestione degli eventi (SIEM) migliorano il rilevamento delle minacce e la risposta agli eventi imprevisti analizzando i dati da diverse origini.

Combinando queste soluzioni, le organizzazioni ottengono funzionalità complete per la rilevazione delle minacce informatiche, il rilevamento e l'analisi basati su intelligenza artificiale e le funzionalità di risposta automatizzata nell'intero digital estate.

Proteggiti dagli attacchi di phishing

La protezione di se stessi e dell'azienda da attacchi di phishing richiede una combinazione di misure di sicurezza avanzate, di formazione e di cautela. I normali programmi di formazione e sensibilizzazione possono aiutare te e i tuoi colleghi a riconoscere e rispondere ai tentativi di phishing. Assicurarsi di usare password complesse e univoche, implementare l'autenticazione a più fattori e segnalare messaggi sospetti al reparto IT.

Le organizzazioni possono proteggere le app e i dispositivi da phishing e altre minacce informatiche con Microsoft Defender per Office 365. Consente di proteggere la posta elettronica e gli strumenti di collaborazione, fornendo protezione avanzata e migliorando il comportamento di sicurezza generale dell'azienda. Defender per Office 365 offre anche funzionalità di rilevamento e risposta alle minacce basate su intelligenza artificiale, correzioni automatizzate e formazione sulla simulazione di attacchi informatici per aiutare le organizzazioni a stare al passo con le minacce in continua evoluzione.

Precauzioni

Suggerimenti rapidi per evitare il phishing

Non fidarti dei nomi visualizzati

Controlla l'indirizzo e-mail del mittente prima di aprire un messaggio: il nome visualizzato potrebbe essere falso.

Controlla la presenza di errori di ortografia

Nelle e-mail di phishing è comune trovare errori di ortografia e di grammatica. Se noti qualcosa di strano, contrassegnalo.

Esamina tutto prima di fare clic

Passa il mouse sopra i collegamenti ipertestuali in contenuti apparentemente autentici per controllare l'indirizzo del collegamento.

Fai caso alla formula di saluto

Se l'e-mail è indirizzata a "Gentile cliente" anziché a te, agisci con prudenza. Probabilmente è fraudolenta.

Esamina la firma

Verifica le informazioni di contatto nel piè di pagina dell'e-mail. I mittenti legittimi le includono sempre.

Insospettisciti in caso di minacce

Frasi che fanno leva sulla paura come "Il tuo account è stato sospeso" sono comuni nelle e-mail di phishing.

RISORSE

Scopri in che modo Microsoft Security può proteggerti dal phishing

Soluzione

Soluzioni per la protezione e la prevenzione contro il phishing

Aiuta a rilevare e correggere gli attacchi di phishing con sicurezza e autenticazione avanzata della posta elettronica.

Scopri di più

Soluzione

Operazioni di sicurezza unificate

Supera le minacce informatiche con un'unica potente piattaforma per le operazioni di sicurezza.

Scopri di più

Una donna seduta alla scrivania che lavora su un portatile

Portale di Protezione dalle minacce

Notizie sulla cybersecurity e sull’IA

Scopri le ultime tendenze e le procedure consigliate in materia di protezione dal phishing e di IA per la cybersecurity.

Ottieni le ultime risorse

Il phishing è un tipo di attacco informatico in cui gli utenti malintenzionati tentano di indurre le persone a fornire informazioni riservate, ad esempio nomi utente, password, numeri di carta di credito o altri dettagli personali. Questa operazione viene in genere eseguita mascherando come entità attendibile nelle comunicazioni elettroniche, ad esempio messaggi di posta elettronica, SMS o siti Web.
Nella maggior parte dei casi, l'utente malintenzionato invia un messaggio al destinatario tramite posta elettronica, SMS (SMS), telefono o un sito Web. Il messaggio è personalizzato e sembra provenire da una fonte legittima, richiedendo con urgenza al destinatario di inviare loro informazioni riservate o di fare clic su un collegamento che li indirizza a un sito Web falso progettato per rubare le credenziali.
Il modo migliore per proteggersi dagli attacchi di phishing consiste nel garantire che i dispositivi siano configurati per l'autenticazione a più fattori resistente al phishing (PR-MFA). È anche necessario segnalare eventuali contenuti dall'aspetto sospetto al team di sicurezza dell'organizzazione. È anche possibile mantenersi informati partecipando a programmi di formazione e sensibilizzazione in modo da sapere come riconoscere e rispondere ai tentativi di phishing.
Ecco alcuni attacchi di phishing comuni:
Phishing tramite posta elettronica (più comune): gli utenti malintenzionati inviano messaggi di posta elettronica che sembrano legittimi e invitano i destinatari ad agire rapidamente per evitare di perdere l'accesso alle risorse aziendali.

Smishing: phishing tramite SMS, richiedere ai destinatari di fare clic su un collegamento o fornire informazioni con urgenza.

Spear phishing: un metodo mirato in cui gli utenti malintenzionati si fingono una fonte attendibile, come il loro capo, per rubare informazioni.

Vishing: phishing tramite chiamate telefoniche per raccogliere informazioni riservate.
Il phishing è uno dei modi più efficaci per rubare le informazioni e può avere gravi conseguenze per singoli utenti e organizzazioni. Gli attacchi di phishing riusciti possono esporre informazioni personali e professionali e possono causare l'accesso non autorizzato a dati sensibili, perdite finanziarie e danni alla reputazione.