Un'e-mail di phising di richiamata non è effettivamente pericolosa. E' il modo in cui rispondi che ti rende vulnerabile.
Gli attacchi di phising di richiamata sono in aumento. Se hai mai ricevuto un'e-mail che ti chiedeva di rinnovare un servizio o di pagare una fattura per un servizio che non hai mai acquistato, hai sperimentato in prima persona il phising di richiamata.
Che cos'è il phising di richiamata?
Un attacco di phising di richiamata, a volte chiamato TOAD (phone-oriented attack delivery), combina due metodi di phising. La vittima riceve un'e-mail di phising che la avvisa di un problema. Invece di fornire maggiori informazioni sulla situazione nell'email, l'autore della minaccia include un numero di contatto, sperando in una chiamata di ritorno della vittima.
Quando il destinatario chiama il numero di telefono menzionato, l'autore della minaccia utilizza tecniche di ingegneria sociale per indurre la vittima a condividere dati sensibili, installare malware o intraprendere qualsiasi altra azione che possa avvantaggiare l'autore della minaccia.
Come funziona il phising di richiamata
Innanzitutto, una vittima riceve un'e-mail che la informa che è dovuto un pagamento per un abbonamento a un servizio. Spesso la fattura non è allegata alla posta. La vittima diventa quindi curiosa o furiosa nel ricevere la richiesta di pagamento per un servizio che non aveva acquistato in primo luogo, quindi chiama il numero di telefono indicato nell'e-mail.
Un attore della minaccia partecipa alla chiamata e induce la vittima a seguire passaggi specifici per annullare l'ordine. Quando la vittima segue questi passaggi, il malware viene installato sul proprio PC o l'autore della minaccia riceve informazioni sensibili.
L'autore della minaccia termina la chiamata una volta che la vittima intraprende l'azione che l'autore vuole che intraprenda.
Perché gli hacker tentano attacchi di phising di richiamata
Eseguendo con successo un attacco di phising di richiamata, un attore della minaccia può:
- Rubare dati sensibili, credenziali di accesso o qualsiasi altro tipo di dati riservati.
- Installa il rasomware sul computer della vittima per crittografare i dati e ottenere il riscatto.
- Ottieni i dati della carta di credito o del conto bancario della vittima per rubare denaro.
- Installa un software di accesso remoto sul computer della vittima per rubare file sensibili.
Nella maggior parte delle campagne di phising di richiamata, lo scopo dell'attacco è rubare dati, denaro o entrambi.
Al giorno d'oggi, la maggior parte delle persone e delle aziende utilizza soluzioni anti-phising o anti-spam per bloccare un'e-mail che contiene un file dannoso.
Tuttavia, le e-mail di phising di richiamata non includono allegati dannosi o collegamenti dannosi. Quindi queste e-mail tendono a bypassare i filtri e-mail e vengono recapitate ai computer delle vittime. Inoltre, gli attacchi di phising di richiamata hanno un basso costo per target.
Quindi non c'è da sorprendersi che sempre più attori delle minacce stiano effettuando tentativi di phising di richiamata.
Come prevenire gli attacchi di phising di richiamata
Una campagna di phising di richiamata riuscita può causare danni irreparabili a un individuo o un'azienda.
Ecco alcuni modi per proteggersi dagli attacchi di phising di richiamata.
Implementa la soluzione per la sicurezza della posta elettronica
Sebbene alcune e-mail di phising di richiamata accuratamente predisposte possano sfuggire alle soluzioni di sicurezza e-mail, l'implementazione di una soluzione di sicurezza e-mail rinomata come un gateway e-mail può aiutare a migliorare la posizione di sicurezza della tua azienda.
Considera come un attacco BEC (Business Email Compromise) può costarti enormi quantità di denaro e perdita di reputazione. L'implementazione di una solida soluzione di sicurezza della posta elettronica può ridurre al minimo il rischio di attacchi di compromissione della posta elettronica aziendale. Nella maggior parte dei casi, una soluzione di sicurezza della posta elettronica rileverà e bloccherà lo spoofing, il phising e le truffe di posta elettronica. Tale installazione può anche aiutare a prevenire l'installazione di malware sul tuo PC.
Inoltre, una buona soluzione per la sicurezza della posta elettronica può avvisarti del comportamento sospetto dell'utente. Quindi assicurati di disporre di una delle migliori suite di posta elettronica per la configurazione sicura della posta in arrivo.
Anche se non lavori in un ambiente professionale, avere un buon software antivirus installato sul tuo dispositivo può offrirti una sicurezza ottimale delle e-mail di phising e da molte altre minacce alla sicurezza informatica.
Controlla attentamente le e-mail per evidenti segnali di phising
Sebbene le e-mail di phising di richiamata non contengano allegati o collegamenti dannosi, presentano alcuni dei principali segnali di phising a cui dovresti prestare attenzioni.
E' probabile che un'e-mail sia un'e-mail di phising con un mittente insolito. Ad esempio, l'e-mail può affermare di provenire da un'azienda legittima, ma non ha un indirizzo e-mail con marchio. Invece, ha un indirizzo email generico come google.com o yahoo.com
Puoi anche essere sospettoso delle e-mail piene di errori di ortografia e grammaticali. Nessuna azienda legittima invia e-mail piene di errori testuali. Cerca anche i messaggi che danno una breve finestra per eseguire un'attività. Ad esempio, un indirizzo email ti fornisce alcune ore per effettuare un pagamento per mantenere attivo un abbonamento.
Un'e-mail di phising potrebbe essere contrassegnata dal tuo provider di posta elettronica. Alcuni provider di posta elettronica dispongono di una tecnologia antispam integrata per avvisare gli utenti di e-mail di phising e spam.
Ora, gli attori delle minacce combinano varie tattiche di ingegneria sociale per indurre le vittime e chiamarle. Quindi dovresti stare molto attento quando intraprendi azioni basate su e-mail che destano sospetti.
Sii sospettoso se si tratta di soldi
Un modo infallibile per evitare di cadere preda di un attacco di phising di richiamata è controllare due volte se un messaggio riguarda denaro o credenziali di accesso.
Se un'e-mail proveniente da un'azienda apparentemente legittima crea un senso di urgenza e ti chiede di inviare denaro, sii sospettoso.
Nel caso in cui l'e-mail non contenga informazioni dettagliate ad eccezione del numero di telefono del suo rappresentante del servizio clienti, è probabile che faccia parte di una campagna di phising di richiamata.
Organizzare programmi di formazione sul phising
Il callback phising, una parte degli attacchi di ingegneria sociale, si basa sull'errore umano piuttosto che sulle vulnerabilità del sistema.
Pertanto, l'esecuzione regolare di programmi di formazione sulla consapevolezza della sicurezza informatica dei dipendenti può ridurre al minimo rischio di attacchi di phising di richiamata.
Ecco le aree chiave su cui dovresti concentrarti quando crei un programma di formazione sulla consapevolezza della sicurezza. Per cominciare, un programma di formazione sulla consapevolezza della sicurezza dovrebbe offrire istruzione su vari attacchi alla sicurezza informatica, tra cui phishing di richiamata, spam, malware, metodi di ingegneria sociale, attacchi basati su script e molti altri. Ci dovrebbe essere abbastanza attenzione su come individuare e-mail di phishing, URL dannosi, siti Web non autorizzati, ecc...
I dipendenti non devono utilizzare un indirizzo e-mail aziendale per scaricare strumenti tecnologici affidabili legittimi da siti Web fasulli o abbonarsi s servizi online casuali. In questo modo è un modo sicuro per invitare e-mail di phishing o spam. Dovresti assicurarti che i tuoi dipendenti seguano le migliori politiche di sicurezza delle password. Dovrebbero anche utilizzare autenticazioni a più fattori per aggiungere un livello di sicurezza ai propri account.
Il tuo programma di formazione dovrebbe includere anche finti test di phishing per valutare la preparazione dei tuoi dipendenti a combattere le campagne di phishing di richiamata. E assicurati che i tuoi dipendenti seguano le migliori pratiche per proteggere gli account e-mail aziendali per evitare truffe.