Phishing in azienda: esempi pratici e qualche regola d’oro

12 Novembre 2020

“Ciao, sono il capoufficio, sto per prendere un volo e non posso chiamare, mi manderesti il numero della carta di credito aziendale il prima possibile? L’ho dimenticata”.

Se pensi che non ci cascheresti mai, sappi che in realtà è uno scenario estremamente comune ed efficace.

Il phishing è un attacco alla sicurezza informatica che si basa su un punto debole che nessun antivirus riuscirà mai a contrastare: la persona. Per questo è ormai prassi comune formare i propri dipendenti dai tentativi di phishing e creare delle lunghe e accurate procedure di cybersecurity.

Ma la creatività degli hacker è spesso sorprendente.

L’urgenza della richiesta

Tornando all’esempio sopra, quanti risponderebbero picche a un manager che scrive direttamente dalla mail aziendale? Non si può aspettare, perché sta per prendere il volo, la carta di credito gli/le servirà.

Da notare come la caratteristica di urgenza è comune a moltissime truffe, anche prima dell’avvento dell'informatica. L’urgenza però è anche una costante delle comunicazioni aziendali, e non possiamo usarla come unico campanello d’allarme.

Un altro esempio di phishing in azienda molto comune è la richiesta di cambio di IBAN. Inutile dirlo, è una mail urgentissima, dall’indirizzo mail abituale del fornitore, che chiede di cambiare il nuovo iban con decorrenza immediata, e di far confluire lì tutti i pagamenti successivi.

Quanto tempo ci vorrà prima di accorgersi della truffa? Mesi, probabilmente.

Spesso queste mail fanno scattare complicate procedure di autenticazione multipla, che ogni azienda studia secondo le proprie necessità. Ma capita sempre più spesso che i dipendenti, di fretta o non insospettiti dal tono della mail, oppure già confusi e stressati dalle procedure anti-Covid, cambino l’IBAN senza farsi troppi problemi.

Mi ripeti le tue credenziali di accesso?

Altro caso di phishing molto comune è quello delle credenziali di accesso. Il caso noto più recente risale ad aprile 2020, ai danni di persone collegate all’università di Oxford. Gli hacker hanno dirottato il server mail dell’Università, mandando messaggi agli utenti che re-indirizzavano verso un server all’apparenza sicuro. Qui, le vittime inserivano fiduciose le proprie credenziali di accesso a Office.

La modalità del re-indirizzamento è una delle più sofisticate, perché se il dominio che si vede è affidabile, perché non si dovrebbero re-inserire le proprie credenziali? Oppure, ancora, si potrebbe ricevere una mail con un link o un allegato al suo interno. Ovviamente, da un destinatario conosciuto.

Regole d’oro anti-phishing in azienda

Le possibili contromisure sono di norma stabilite dai singoli business, ma valgono alcune regole comuni:

  • Non inserire le credenziali del tuo account se non sei sicuro al 100% di quello che stai facendo;
  • Verifica sempre l'indirizzo web della pagina a cui stai accedendo: se devi accedere al sito della tua banca è sempre preferibile inserire manualmente l'indirizzo nel browser (digitando ad esempio www.tuabanca.it), piuttosto che seguire un link. Se la barra degli indirizzi indica invece qualcosa come "oaweweijoei.tuabanca.ws", probabilmente sei su un sito di phishing;
  • Se hai ancora dei dubbi, verifica la presenza del lucchetto vicino all'indirizzo web (che indica una connessione sicura) e cliccaci sopra per controllare che il certificato sia autentico. Ad esempio, se stai accedendo al tuo conto Paypal, il certificato indicato dovrebbe essere questo:

  • Verifica la mail: scorri sull’indirizzo del presunto mittente, e verifica che non ci siano accenti e simboli strani. Sembra banale buon senso, ma i casi di phishing andato a segno con questa tecnica si sprecano;
  • Telefona! Soprattutto se il tono della mail è insolito, se il mittente mostra un’insolita fretta, o se il testo ha una grammatica strana, come se fosse stato tradotto con uno strumento automatizzato;
  • Non inviare password e credenziali ai clienti, nemmeno se lo chiedono. Ogni sistema dovrebbe dotarsi di un ripristino credenziali automatico. A questo proposito, ti consigliamo di leggere il nostro approfondimento sull’autenticazione a due fattori.
  • Formazione, formazione e formazione: da integrare con delle buone pratiche di cybersecurity, è l’unico modo per consentire ai propri dipendenti e manager di essere aggiornati sulle nuove tendenze in fatto di phishing aziendale.

Infine, se pensi di essere stato vittima di un attacco di phishing, non fare finta di niente. La cosa migliore è parlarne subito con i responsabili in azienda. Inoltre, consigliamo di segnalare subito eventuali siti dannosi: a questo scopo la Polizia Postale mette a disposizione un'utilissima pagina  di segnalazione.

Altri articoli dal nostro Tech Blog

7 Maggio 2025
Alternative a Stripe (con commissioni più basse!)

Inutile dire che se Stripe è diventato tra i metodi di pagamento web più usati, un motivo c’è. Stripe è infatti un gateway di pagamento affidabile, con API moderne e che offre una user experience ottimale, però le sue commissioni non sono le più basse sul mercato. Se stai cercando delle alternative a Stripe, altrettanto […]

14 Aprile 2025
Startup tecnologiche più interessanti nel 2025, parola di Pizero!

I fatti di cronaca sembrano dipingere in ogni settore un trionfo dei business in qualche modo legati all'Intelligenza Artificiale. Non lasciamoci trascinare da facili entusiasmi: conviene basarsi sui dati per delineare le startup tecnologiche più interessanti del 2025. L'innovazione tecnologica è ormai una caratteristica costante, a ritmi che 20 anni fa sarebbero stati impensabili, e […]

10 Aprile 2025
RAG: cos'è, come implementarla e perché rivoluzionerà i tuoi progetti di AI

Le RAG (Retrieval-Augmented Generation) sono una delle tecnologie più innovative nell'ambito dell'intelligenza artificiale, che combinano la potenza della ricerca documentale (retrieval) con le capacità generative dei modelli linguistici più avanzati, come GPT-4. Questa combinazione permette di creare risposte altamente accurate, contestualizzate e aggiornate, rendendo i sistemi basati su AI significativamente più affidabili. In questo approfondimento […]

24 Marzo 2025
Cos'è una VPN e perchè potrebbe servirti (aggiornato al 2025)

Devi connetterti al tuo server aziendale? Aggirare un blocco dell’IP (ovviamente, per fini etici)? Oppure anche solo assicurarti che la connessione su cui stai navigando mantenga i tuoi dati al sicuro? Per ognuno di questi casi, e per molti altri, la VPN è la tecnologia di cui hai bisogno. Se ne hai sentito parlare e […]

Richiedi un incontro

Compila il form per ottenere una consulenza personalizzata per il tuo progetto.

Compila i campi per essere ricontattato

© Pizero Design srl, tutti i diritti riservati - P.I. 02313970465 - REA LU-215417
X
lockuserscartcalendar-fullsmartphonelaptopbriefcase