L'Email Phishing è un attacco di social engineering che spesso prende di mira i destinatari, al fine di rubare dati privati degli utenti, ottenere informazioni finanziarie (numeri di carte di credito o conti bancari), credenziali di accesso o altro materiale sensibile. È anche una tendenza in crescita.
Il cattivo attore spesso invia un'email, mascherando l'email come un'azienda o un marchio con cui il destinatario può fidarsi o avere familiarità. Ad esempio, il phisher può inviare un'email mascherata da reimpostazione della password di ActiveCampaign o una falsa pagina di accesso alla banca per indurre il destinatario a inserire le credenziali di accesso del destinatario o altre informazioni sensibili.
ActiveCampaign prende molto sul serio queste questioni. In questo articolo condivideremo i tipi comuni di attacchi di phishing e cosa puoi fare per prevenirli.
Tipi comuni di phishing via email
Di seguito sono riportate alcune descrizioni ed esempi dei tipi di attacco di phishing via email più comuni.
Problemi di fatturazione o di account
Questo tipo di email di phishing è progettato per indurre i destinatari a divulgare informazioni sensibili con il pretesto di una richiesta da parte di un marchio riconoscibile o di un'azienda ampiamente conosciuta. L'email ha spesso una sorta di urgenza e chiederà al destinatario di intraprendere alcune azioni (fare clic sul collegamento, aggiornare la carta di credito, accedere, ecc.), Che in genere porta a un sito Web impostore in cui al destinatario viene richiesto di fornire credenziali o altre informazioni personali.
Correlati al governo
In questo tipo di email di phishing, il mittente è in genere mascherato da ente governativo (IRS, FBI, dipartimento di polizia locale o agenzia governativa). Spesso il messaggio tenta di spaventare il destinatario nel fornire informazioni sensibili o credenziali di accesso. Il mittente può minacciare il destinatario se il destinatario non intraprende l'azione desiderata (ad esempio, sarai arrestato e accusato di crimine XX se non fai clic su questo link).
La tattica dell'amico, della famiglia o del collega
In questa tattica, il mittente si presenta come qualcuno che il destinatario conosce personalmente (un amico, un parente, un collega, un capo / dirigente). Di solito queste email sono molto semplici e in testo semplice. Il messaggio richiede al destinatario di intraprendere una sorta di azione come l'invio di fondi da qualche parte, fare clic su un collegamento / download o per qualche altra risposta o favore.
Virus o account compromesso
Questo tipo di email di phishing in genere avrà un avviso di virus fasullo (spesso mascherato da una società di protezione antivirus rispettabile). Il messaggio tenterà di indurre il destinatario a scaricare malware sul computer del destinatario o a fornire le credenziali del destinatario.
Banca o istituto finanziario
In uno dei tipi più comuni di email di phishing, il mittente finge di essere la banca o l'istituto finanziario del destinatario. Il mittente tenta di convincere il destinatario a rivelare le informazioni personali sensibili, le informazioni finanziarie o le credenziali di accesso del destinatario in modo che il mittente possa accedere ai conti finanziari del destinatario.
Vincitore del concorso
Questo tipo di email di phishing tenta di accedere alle informazioni personali del destinatario inducendolo a credere che il destinatario abbia vinto un concorso/premio. Per ottenere il premio, al destinatario viene chiesto di intraprendere un'azione (come l'invio di un assegno) o fare clic su un link che porterà il destinatario a un sito Web impostore in cui al destinatario verrà chiesto di fornire le proprie informazioni personali.
Come gestire il phishing via email
Quanto segue è fornito a titolo di cortesia e non costituisce consulenza legale. Per impedire gli attacchi di phishing, si consiglia di eseguire le azioni seguenti.
Cerca indizi per identificare le email di phishing
-
Verifica il nome e l'indirizzo email del mittente
- Assicurati di guardare sia il nome che l'indirizzo email del mittente
- Tieni d'occhio eventuali errori di battitura o parole intenzionalmente errate (ad esempio, la lettera "O" viene spesso digitata come "0")
-
Verificare la presenza di errori ortografici e grammaticali
- Le email di phishing contengono in genere errori di ortografia/grammatica
-
Rivedi il saluto
- Cerca saluti imbarazzanti o atipici (ad esempio, "Caro signore o signora", "Saluti cliente", ecc.)
- Presta molta attenzione a come inizia e finisce l'email
Guarda, ma non fare clic su nulla
Va bene se hai già aperto e letto il corpo dell'email, ma è importante non fare clic su collegamenti, pulsanti, download o allegati all'interno dell'email.
Non fornire alcuna informazione
È importante astenersi dal rispondere o fornire informazioni al mittente. Tieni presente che la maggior parte delle aziende non contatta i consumatori per richiedere informazioni personali / sensibili via email.
Sii consapevole e rimani vigile
Se sei sospettoso di qualcosa, fidati del tuo istinto. Molti dei cattivi attori faranno di tutto (anche usando il logo, i colori e il branding di una vera azienda) per camuffarsi al fine di commettere atti dannosi. Se non sei sicuro che un'email sia valida, contatta direttamente la vera azienda tramite le informazioni di contatto fidate dell'azienda per verificare se la comunicazione è legittima.
Risorse aggiuntive sul phishing via email
- Federal Trade Commission: come riconoscere ed evitare le truffe di phishing
- ZDNet: Cos'è il phishing? Tutto ciò che devi sapere per proteggerti dalle email truffa e altro ancora
- SecurityMetrics: i 10 principali tipi di email di phishing
- Proofpoint: 10 suggerimenti su come identificare un'email di phishing