Anti-Phishing Test
Rendi più resistente la tua Azienda
(bastano 30 minuti)
Come funziona il Test
- SIMULAZIONE ATTACCO
Mediante la nostra piattaforma, inviamo comunicazioni che simulano un vero tentativo di attacco (ad es. form di registrazione falsi ed email ingannevoli) - REPORT VULNERABILITÀ
L’azienda riceve una valutazione conclusiva del livello di vulnerabilità/resistenza rispetto agli attacchi reali.
Rendi più resistente la tua Azienda dagli attacchi di phishing
Richiedi una presentazione del servizioTest di sicurezza sul phishing
Sapevate che il 91% delle violazioni di dati è iniziato con un attacco di spear phishing?
Scopri la percentuale dei tuoi dipendenti a rischio phishing.
I professionisti dell’IT hanno capito che i test di simulazione di phishing sono assolutamente indispensabili come ulteriore livello di sicurezza. Oggi, fare operazioni di phishing sui propri utenti è importante quanto avere un antivirus e un firewall. È una best practice di cybersecurity semplice ed efficace, che consiste nell’applicare una patch alla vostra ultima linea di difesa: GLI UTENTI
Perché fare il Test?
Perchè, se non lo fai tu… lo faranno i malintenzionati: e non si limiteranno a fare un “test”.
Cosa vedrai nella Demo?
- L’interfaccia della piattaforma
- Alcuni tra i templates disponibili
- Un esempio di report
Cosa potrai chiedere?
- Templates personalizzati
- Quanto costa, ti risponderemo in diretta!
- I tempi di setup
La percentuale di collaboratori vulnerabili al phishing è solitamente molto più alta di quanto ci si possa aspettare, inizia subito a fare phishing con i tuoi utenti. Fai della sicurezza dei dipendenti la tua massima priorità.
Compila il modulo e comincia subito!
IL Phishing – definizione
Che cos’è il phishing?
Il phishing è il tentativo di acquisire informazioni sensibili come nomi utente, password e dati di carte di credito, mascherandosi da entità affidabile e utilizzando e-mail di massa che cercano di eludere i filtri antispam.
Le e-mail che affermano di provenire da popolari siti web sociali, banche, siti di aste o amministratori IT sono comunemente utilizzate per adescare il pubblico ignaro. Si tratta di una forma di ingegneria sociale criminale e fraudolenta.
Breve storia del phishing
Il phishing è il tentativo di acquisire dati sensibili come nomi utente, password e dettagli di carte di credito, mascherandosi da soggetto affidabile e utilizzando e-mail di massa che cercano di aggirare i filtri antispam. Ecco una breve storia di come si è evoluta la pratica del phishing dagli anni ’80 a oggi:
La tecnica di phishing è stata descritta in dettaglio in un documento e in una presentazione tenuta nel 1987 all’International HP Users Group, Interex.
I primissimi tentativi
I tentativi di phishing sono iniziati con gli hacker che rubavano le password degli utenti e generavano numeri di carte di credito casuali. Anche se i colpi di fortuna erano pochi e lontani tra loro, guadagnavano abbastanza per causare molti danni e per continuare a fare quello che stavano facendo. Aprivano account AOL fasulli con i numeri di carta di credito casuali e li utilizzavano per inviare spam agli utenti. AOHell era un’applicazione Windows che rendeva questo processo più automatico, pubblicata nel 1995. AOL adottò misure di sicurezza per impedire questa pratica e chiuse AOHell nel corso dell’anno.
I phisher sono passati poi a creare un diverso tipo di attacco di phishing, utilizzando tecniche che vediamo ancora oggi. Hanno iniziato a inviare messaggi agli utenti, sostenendo di essere dipendenti di AOL, utilizzando i sistemi di messaggistica istantanea e di posta elettronica di AOL. Molte persone hanno volontariamente “verificato i loro account” o hanno fornito i loro dati di fatturazione ai malintenzionati. Si trattò di un attacco senza precedenti, per cui le persone non sapevano a cosa fare attenzione e credevano che le richieste di informazioni fossero legittime.
Il problema si aggravò ulteriormente quando i phisher crearono degli account AIM per inviare i loro messaggi di phishing; gli account non rientravano nei Termini di servizio di AOL. Alla fine, AOL ha aggiunto degli avvisi su tutti i client di posta elettronica e di messaggistica istantanea, dichiarando che “nessuno dei collaboratori di AOL chiederà la vostra password o i vostri dati di fatturazione”. L’applicazione delle norme ha costretto a togliere dai server di AOL i file che violavano il copyright e AOL ha disattivato tutti gli account di phishing, chiudendo la comunità warez.
Nel gennaio 2009, un singolo attacco di phishing ha fruttato ai criminali informatici 1,9 milioni di dollari in bonifici non autorizzati attraverso i conti bancari online di Experi-Metal.
Alla fine del 2009, l’Anti-Phishing Working Group ha riferito di aver ricevuto oltre 115.000 e-mail di phishing segnalate dai consumatori nel solo terzo trimestre, con gli Stati Uniti e la Cina che ospitano oltre il 25% dei siti di phishing ciascuno.
MyFitnessPal, l’app di Under Armour per il monitoraggio della salute e del fitness, è stata colpita da una violazione dei dati nel marzo 2018. Secondo l’azienda, la violazione ha interessato circa 150 milioni di utenti, rendendoli tutti bersaglio di phishing.
Una campagna di sextortion phishing vista nel luglio 2018 è stata la prima a utilizzare le password effettivamente violate dei destinatari nelle e-mail per convincere le persone che la minaccia di hacking è reale. Dato l’enorme volume di dati personali violati e rubati ora disponibili online, questa è una grande minaccia da tenere d’occhio nel 2018.
Un rapporto di Lookout pubblicato nel luglio 2018 ha mostrato che il tasso di caduta degli utenti negli attacchi di phishing mobile è aumentato dell’85% ogni anno dal 2011 e che il 25% dei dipendenti clicca sui link trovati nei messaggi di testo. Facebook messenger è un altro mezzo utilizzato.
I criminali continuano a utilizzare domini GoDaddy dirottati per lanciare campagne di spam, nonostante GoDaddy abbia preso provvedimenti per risolvere la falla di autenticazione sfruttata dagli aggressori. Gli spammer avevano capito che potevano aggiungere domini ai loro account GoDaddy senza dimostrare di esserne i proprietari. Nel febbraio 2019 è stata osservata una campagna su larga scala che utilizzava i domini dirottati per distribuire e-mail di phishing caricate con il ransomware GandCrab.
Secondo Microsoft, ecco alcuni dei modi innovativi in cui gli attacchi di phishing si sono evoluti dal 2019 al 2020: Puntare i link delle e-mail a falsi risultati di ricerca di Google che puntano a siti web carichi di malware controllati dagli aggressori, puntare i link delle e-mail a pagine inesistenti di un sito web controllato dagli aggressori in modo da presentare una pagina 404 personalizzata che può essere utilizzata per falsificare le pagine di accesso a siti legittimi, falsificare le pagine di accesso a Office 365 specifiche per l’azienda in modo che sembrino così realistiche da indurre gli utenti a non pensarci due volte. Questi progressi nel modo in cui gli aggressori pensano al phishing per facilitare l’infezione degli endpoint o il furto di credenziali rendono necessario che le organizzazioni non considerino più le loro soluzioni di sicurezza come l’unica linea di difesa.
Una nuova serie di attacchi di phishing rivolti a vittime interessate ai film nominati agli Oscar ruba carte di credito e installa malware. Secondo i ricercatori di Kaspersky, sono stati identificati oltre 20 siti di phishing legati al cinema, con oltre 900 file dannosi offerti come download di film. Film come Joker, 1917, The Irishman e Once Upon a Time in Hollywood sono i più ricercati dai truffatori. Sfruttando i social media e presentando un’offerta di visione del film, gli utenti vengono portati in un viaggio che comprende sondaggi, fornitura di dati personali e raccolta di informazioni sulla carta di credito.
Le principali tecniche di phishing
Esistono diverse tecniche utilizzate per ottenere informazioni personali dagli utenti. Con l’avanzare della tecnologia, anche le tecniche utilizzate dai criminali informatici sono sempre più avanzate.
Per prevenire il phishing su Internet, gli utenti dovrebbero conoscere le modalità di azione dei criminali informatici e conoscere le tecniche anti-phishing per proteggersi dalle vittime.
Spear Phishing
Considerate lo spear phishing come un phishing professionale. Le campagne di phishing classiche inviano e-mail di massa a quante più persone possibile, ma lo spear phishing è molto più mirato. L’hacker ha un determinato individuo o azienda che vuole colpire ed è alla ricerca di informazioni più preziose dei dati della carta di credito. Effettua ricerche sull’obiettivo per rendere l’attacco più personalizzato e incrementare le probabilità di successo.
Content Injection
Web Based Delivery
Link Manipulation
La manipolazione dei link è la tecnica con cui il phisher invia un collegamento a un sito Web falso. Quando l’utente clicca sul link ingannevole, si apre il sito web del phisher invece di quello indicato nel link. Passare il mouse sul link per visualizzare l’indirizzo reale impedisce agli utenti di cadere nella manipolazione dei link.
Keyloggers
I keylogger si riferiscono al malware utilizzato per identificare gli input provenienti dalla tastiera. Le informazioni vengono inviate agli hacker che decifrano le password e altri tipi di informazioni. Per evitare che i key logger accedano alle informazioni personali, i siti web sicuri offrono l’opzione di utilizzare i clic del mouse per immettere dati attraverso la tastiera virtuale.
Trojan
Un cavallo di Troia è un tipo di malware progettato per ingannare l’utente con un’azione che sembra legittima, ma che in realtà consente l’accesso non autorizzato all’account utente per raccogliere le credenziali attraverso la macchina locale. Le informazioni acquisite vengono poi trasmesse ai criminali informatici.
Malvertising
Il malvertising è una pubblicità dannosa che contiene script attivi progettati per scaricare malware o forzare contenuti indesiderati sul computer. Gli exploit in Adobe PDF e Flash sono i metodi più comuni utilizzati nelle pubblicità dannose.
Website Forgery
I siti web contraffatti sono costruiti dagli hacker in modo da sembrare esattamente come siti web autentici. L’obiettivo della contraffazione di siti web è quello di indurre gli utenti a inserire informazioni che potrebbero essere utilizzate per truffare o lanciare ulteriori attacchi contro la vittima.
Evil Twin Wi-Fi
Gli hacker utilizzano dispositivi come l’ananas, uno strumento utilizzato dagli hacker che contiene due radio per impostare la propria rete wi-fi. Usano un nome molto diffuso come AT&T Wi-Fi, che è piuttosto comune in molti luoghi pubblici. Se non si fa attenzione e si accede alla rete controllata dagli hacker, questi ultimi possono intercettare qualsiasi dato inserito nella sessione, come ad esempio i dati bancari.
Session Hijacking
Email/Spam
Utilizzando la tecnica di phishing più comune, la stessa e-mail viene inviata a milioni di utenti con la richiesta di inserire dati personali. Questi dati saranno utilizzati dai phisher per le loro attività illecite. La maggior parte dei messaggi contiene una dicitura urgente che richiede all’utente di inserire le proprie credenziali per aggiornare le informazioni dell’account, modificare i dettagli o verificare gli account. A volte può essere richiesto di compilare un form per accedere a un nuovo servizio attraverso un link fornito nell’e-mail.
Phishing through Search Engines
Alcune truffe di phishing interessano i motori di ricerca, dove l’utente viene indirizzato verso siti di prodotti che possono offrire articoli o servizi a basso costo. Quando l’utente cerca di acquistare il prodotto inserendo i dati della carta di credito, questi vengono raccolti dal sito di phishing. Esistono molti siti web di banche fittizie che offrono carte di credito o prestiti agli utenti a un tasso basso, ma in realtà si tratta di siti di phishing.
Vishing (Voice Phishing)
Nel phishing vocale, il truffatore telefona all’utente e gli chiede di comporre un numero. Lo scopo è quello di ottenere informazioni personali sul conto bancario attraverso il telefono. Il vishing viene effettuato per lo più con un falso ID del chiamante.
Smishing (SMS Phishing)
Phishing condotto tramite Short Message Service (SMS), un servizio di messaggistica di testo telefonico. Un SMS di smishing, ad esempio, tenta di indurre la vittima a rivelare informazioni personali attraverso un link che conduce a un sito Web di phishing.
Malware
Le truffe di phishing che coinvolgono il malware prevedono che questo venga eseguito sul PC dell’utente. Il malware è solitamente allegato all’e-mail inviata all’utente dai phisher. Una volta cliccato sul link, il malware entra in funzione. A volte, il malware può anche essere allegato a file scaricabili.
Ransomware
Il ransomware nega l’accesso a un dispositivo o ai file fino al pagamento di un riscatto. Il ransomware per PC è un malware che viene installato sulla workstation di un utente tramite un attacco di social engineering in cui l’utente viene ingannato a fare clic su un link, ad aprire un allegato o a fare clic su una pubblicità negativa.
Spoofing del dominio
Un esempio è la frode del CEO e attacchi simili. La vittima riceve un’e-mail che sembra provenire dal capo o da un collega e l’aggressore chiede informazioni come i dati W-2 o i trasferimenti di fondi. Abbiamo un test gratuito per verificare se la vostra organizzazione è vulnerabile a questa tecnica.
Social Engineering
Gli utenti possono essere indotti a cliccare su contenuti discutibili per diversi motivi tecnici e sociali. Ad esempio, un allegato dannoso potrebbe sembrare a prima vista una fattura relativa al vostro lavoro. Gli hacker contano sul fatto che le vittime non ci pensino due volte prima di infettare la rete.