Come difendersi da vishing, smishing e phishing

Potenziare la sicurezza digitale della propria infrastruttura è fondamentale per tutelarsi dagli attacchi di social engineering, una delle principali minacce per organizzazioni e individui. Secondo il Verizon 2023 Data Breach Investigations Report, il 74% delle violazioni ha coinvolto l’elemento umano, mettendo in evidenza l’importanza di educare i dipendenti sui diversi tipi di attacco e sulle misure di protezione.

Il phishing

Il phishing, ad esempio, rimane una delle tecniche di crimine informatico più comuni ed efficaci. Gli aggressori cercano di indurre le persone a rivelare informazioni sensibili, come password o dati personali, spacciandosi per entità affidabili tramite e-mail che contengono link a siti web falsi. Tuttavia, l’e-mail non è l’unico canale utilizzato per le truffe. Esistono altre forme di phishing da tenere in considerazione.

Il vishing

Il vishing, o voice phishing, coinvolge truffatori che utilizzano telefonate o messaggi vocali per ingannare le persone a divulgare informazioni sensibili o a effettuare pagamenti fraudolenti. Questi attacchi possono essere effettuati da imitatori umani o tramite chiamate automatiche e talvolta utilizzano il spoofing delle chiamate per sembrare ancora più credibili. Una forma più sofisticata di vishing include le chiamate deepfake, che sfruttano l’intelligenza artificiale per simulare la voce di una persona specifica.

Lo smishing

Lo smishing, o SMS phishing, sfrutta invece messaggi fraudolenti inviati via SMS o attraverso app di messaggistica. Questi messaggi contengono link a siti web o app dannose, con lo scopo di ottenere informazioni personali o infettare i dispositivi delle vittime con malware.

Educare gli utenti su queste diverse forme di attacco e sulle misure di protezione può contribuire ad aumentare la resilienza delle organizzazioni e ridurre il rischio di violazioni della sicurezza. È fondamentale implementare politiche di sicurezza solide e fornire formazione continua ai dipendenti per creare una cultura di sicurezza informatica all’interno dell’organizzazione.

Regole essenziali per i dipendenti per proteggersi da social engineering

Nell’ottica di contrastare efficacemente i molteplici tipi di attacchi di social engineering, ci sono alcune pratiche fondamentali che tutti i dipendenti dovrebbero adottare:

1. Prendere il tempo necessario: i truffatori spesso sfruttano l’urgenza per manipolare le vittime. Pertanto, è importante non lasciarsi prendere dalla fretta delle richieste e agire in modo ponderato. Evitare di cliccare su link presenti in messaggi di testo e visitare invece il sito web ufficiale dell’organizzazione per verificare la legittimità della comunicazione.
2. Diffidare dei numeri sconosciuti: verificare sempre le chiamate o i messaggi di testo provenienti da numeri sconosciuti o sospetti. Evitare di divulgare informazioni personali o di cliccare su link provenienti da mittenti non riconosciuti. Questo comportamento permette di ridurre al minimo le possibilità di cadere vittima di truffe.
3. Mantenere riservate le informazioni personali: è fondamentale non divulgare mai dati sensibili come numeri di conto, numeri di previdenza sociale, password o codici di autenticazione a più fattori (MFA) a persone sconosciute al telefono o tramite messaggi. È importante tenere presente che organizzazioni autentiche non richiederebbero tali dati tramite chiamate o messaggi non richiesti.
4. Verificare l’identità: se si riceve un messaggio da qualcuno che afferma di rappresentare un’azienda o un ente governativo, è consigliabile evitare di interagire direttamente. Per verificare l’autenticità del mittente, si consiglia di contattare autonomamente l’organizzazione utilizzando le informazioni di contatto ufficiali reperibili sul suo sito web.
5. Attivare solide misure di sicurezza: per proteggere i propri account, è essenziale utilizzare password forti e uniche. Si consiglia anche di considerare l’utilizzo di generatori e gestori di password per creare password complesse e di conservarle in modo sicuro. Se possibile, è opportuno attivare l’autenticazione a più fattori (MFA) per aggiungere un ulteriore strato di protezione.