{"id":147953,"date":"2022-12-14T14:17:59","date_gmt":"2022-12-14T14:17:59","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/creare-una-cultura-della-sicurezza-it-consigli-pratici-per-individuare-i-casi-di-phishing\/"},"modified":"2024-05-28T17:47:35","modified_gmt":"2024-05-28T17:47:35","slug":"creare-una-cultura-della-sicurezza-it-consigli-pratici-per-individuare-i-casi-di-phishing","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/creare-una-cultura-della-sicurezza-it-consigli-pratici-per-individuare-i-casi-di-phishing\/","title":{"rendered":"Creare una cultura della sicurezza IT: consigli pratici per individuare i casi di phishing"},"content":{"rendered":"

\"\"<\/p>\n

Esistono tecnologie il cui scopo \u00e8 limitare e individuare le mail di phishing che arrivano alle aziende. In fin dei conti, l\u2019ultima linea di difesa contro gli attacchi di social engineering come questi \u00e8 sempre rappresentata dagli esseri umani.\u00a0<\/span><\/p>\n

Prima o poi, in qualit\u00e0 di datore di lavoro o MSP finirai per \u201cessere colpito\u201d. Invece di bloccare ogni cosa e rallentare le comunicazioni aziendali, il personale, a partire dalla dirigenza in gi\u00f9, deve essere messo in condizioni di identificare le e-mail di phishing, in modo che i danni peggiori possano verificarsi solamente in un ambiente di formazione e non nella realt\u00e0. <\/span><\/p>\n

Per iniziare, i dipendenti devono essere informati in merito agli elementi che compongono un attacco di phishing di social engineering e su come possono scoprire dove vengono pubblicate le loro informazioni su Internet.\u00a0<\/span><\/p>\n

Elementi di un caso di phishing di social engineering<\/h2>\n

Esame della tua presenza digitale<\/h3>\n

I migliori criminali informatici trovano sempre il tempo necessario per studiare la loro prossima vittima. Scorrendo sui social media associati al nome della persona e cercando su Google ogni informazione disponibile sulla potenziale vittima, possono raccogliere dati relativi alle abitudini dell’individuo<\/span><\/p>\n

Per gli attacchi di phishing di social engineering di maggiori dimensioni, possiamo immaginare che le cose inizino ad assomigliare un po\u2019 a quanto segue:<\/p>\n

Tra gli esempi vi sono i luoghi frequentati, come una palestra o il ristorante preferito, e persino la raccolta di informazioni personali come date di nascita o indirizzi di casa.<\/span><\/p>\n

Immagina di pubblicare ripetutamente sui social media quanto apprezzi una caffetteria locale. Un post sulla tua caffetteria locale preferita pu\u00f2 apparire nella tua storia anche mentre leggi questo post.\u00a0<\/span><\/p>\n

L\u2019aggressore pu\u00f2 creare un\u2019e-mail di phishing convincente che sembra contenere un codice coupon proveniente dalla caffetteria locale o da un fornitore con cui questa collabora.<\/span><\/p>\n

Con questo tipo di informazioni disponibili in rete, le vittime hanno maggiori probabilit\u00e0 di cadere in truffe che sfruttano questo genere di informazioni personali.\u00a0<\/span><\/p>\n

Come esercitare pressione sociale per indurre le persone a fare clic<\/h3>\n

\u201c\u00c8 difficile modificare il comportamento umano. Gli esseri umani sono sempre vulnerabili a certe cose e con il verificarsi di eventi attuali cambia il modo in cui le persone sono vulnerabili e in cui reagiscono.\u201d<\/span><\/p><\/blockquote>\n

\"\"<\/p>\n

 <\/p>\n

Connor Swalm<\/a>, CEO e fondatore di Phin Security<\/a><\/p>\n

 <\/p>\n

In molti casi, gli aggressori utilizzano la pressione sociale per indurre l\u2019utente medio a fare clic senza pensarci due volte.\u00a0<\/span><\/p>\n

Alcuni esempi sono le e-mail di phishing, tra cui le richieste di un dirigente a un nuovo dipendente durante le prime settimane di lavoro. <\/span><\/p>\n

In altri casi invece possono fare leva sull\u2019emotivit\u00e0 di un amico o di un collega che necessita di un aiuto immediato per uscire da una brutta situazione.\u00a0<\/span><\/p>\n

Entrambi gli esempi si basano sull\u2019uso della pressione sociale e delle emozioni umane pi\u00f9 crude per far s\u00ec che la vittima dia la priorit\u00e0 al clic invece che alla formazione ricevuta in materia di sicurezza.\u00a0<\/span><\/p>\n

Consigli pratici per identificare i casi di phishing<\/strong><\/h2>\n

Se vedi qualcosa, d\u00ec qualcosa.<\/h3>\n

Segnalare una potenziale e-mail di phishing deve essere la regola base da seguire, anche se il dipendente ha gi\u00e0 aperto l\u2019e-mail o scaricato un allegato. I dipendenti devono disporre di un processo e di un ambiente che offrano supporto per la segnalazione di potenziali e-mail di phishing che hanno identificato o aperto.\u00a0<\/span><\/p>\n

Non creare un ambiente negativo o incline al nonnismo nei confronti dei dipendenti che segnalano le e-mail di phishing.\u00a0<\/span><\/p>\n

In una recente chat dal vivo per MSP che comprendeva una sfida sul phishing con altri professionisti IT, il CEO di Phin Security, Connor Swalm, si \u00e8 spinto ancora pi\u00f9 in l\u00e0, affermando quanto segue: <\/span><\/p>\n

\u201cNon informate i vostri dipendenti di un test sul phishing che si terr\u00e0 in una particolare data\/ora. Se lo fate, in quei giorni essi non apriranno alcuna e-mail, diminuendo cos\u00ec l\u2019efficacia per l\u2019azienda e la comunicazione.\u201d<\/span><\/p><\/blockquote>\n

\"\"<\/p>\n

 <\/p>\n

Connor Swalm<\/a>, CEO e fondatore di Phin Security<\/a><\/p>\n

 <\/p>\n

Connor ha parlato dei rischi della \u201cformazione punitiva sul phishing\u201d durante la nostra chat dal vivo per MSP; puoi vedere il filmato qui:<\/p>\n