Nonostante sia nato quasi tre decenni fa, il phishing rimane una minaccia informatica attuale e in continua evoluzione. Le tecniche utilizzate dai cybercriminali si sono infatti affinate nel tempo, sfruttando le nuove tecnologie e l’intelligenza artificiale per creare truffe sempre più sofisticate e dannose, sia per gli individui che per le aziende.
Secondo il Data Breach Investigations Report 2023 di Verizon, nel 74% delle truffe messe a segno la falla del sistema è causata dall’errore umano. Un esempio classico è la “truffa del CEO”, in cui i criminali si spacciano per dirigenti aziendali per convincere i dipendenti ad effettuare bonifici urgenti o a divulgare dati confidenziali.
Altre tattiche comuni includono false e-mail o SMS con offerte o promozioni allettanti, queste e-mail o SMS contengono spesso un link dannoso che, se cliccato, può reindirizzare l’utente su un sito web fasullo che imita quello di un’azienda legittima. Una volta sul sito falso, all’utente viene chiesto di inserire le proprie credenziali o altri dati personali.
Altre prevedono messaggi vocali fraudolenti, grazie all’intelligenza artificiale, i cybercriminali sono in grado di generare messaggi vocali estremamente realistici che imitano la voce di persone conosciute dalla vittima, come un familiare o un amico. In questo modo, possono indurre la vittima a fornire denaro o a compiere altre azioni dannose.
Molto diffusi i deepfake, video manipolati che mostrano personaggi famosi che promuovono prodotti o servizi finanziari fasulli. I deepfake sono molto convincenti e possono ingannare anche persone attente.
Le aziende nel mirino dei cybercriminali
Oltre agli individui, anche le aziende sono sempre più bersaglio di attacchi di phishing. I cybercriminali prendono di mira le aziende per rubare dati sensibili, come informazioni sui clienti o sui dipendenti, o per interrompere le loro attività.
Un metodo di attacco molto diffuso è il “malware di spear phishing”. Questo tipo di malware viene inviato via e-mail a specifici dipendenti di un’azienda, spesso con un messaggio personalizzato che sembra provenire da un mittente legittimo. Se il dipendente clicca sull’allegato o sul link contenuto nell’e-mail, il malware viene installato sul suo computer e può rubare dati o prendere il controllo del sistema.
Come difendersi dal phishing
Per difendersi dal phishing è importante essere consapevoli dei rischi e adottare alcune semplici precauzioni:
- Non cliccare mai su link o allegati sospetti nelle e-mail o negli SMS.
- Non fornire mai informazioni personali o finanziarie a siti web o persone che non conosci.
- Installa un antivirus e un firewall sul tuo computer e tienili aggiornati.
- Utilizza password forti e diverse per tutti i tuoi account online.
- Fai attenzione ai siti web che visiti e assicurati che siano sicuri.
- Tieniti informato sulle ultime minacce di phishing.
Le aziende possono anche adottare diverse misure per proteggersi dagli attacchi di phishing, tra cui:
- Fornire ai propri dipendenti una formazione sulla sicurezza informatica.
- Implementare un sistema di posta elettronica che blocchi le e-mail di phishing.
- Effettuare regolarmente backup dei dati.
- Avere un piano di risposta agli incidenti in caso di attacco di phishing.