Come identificare un'e-mail di phishing

Un'e-mail di phishing impersona un mittente legittimo per indurre gli utenti a divulgare informazioni sensibili.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Spiega come la posta elettronica viene utilizzata negli attacchi di phishing
  • Identifica gli elementi comuni di una e-mail di phishing
  • Scopri le strategie per evitare le e-mail di phishing

Copia link dell'articolo

Che cos'è il phishing via e-mail?

Il phishing è un attacco informatico in cui un utente malintenzionato nasconde la propria vera identità per indurre la vittima a completare l'azione desiderata. Come la pesca, il phishing utilizza "esche" (un indirizzo e-mail apparentemente legittimo, una promessa di pagamento monetario, una minaccia basata sul tempo, ecc.) per indurre la vittima a rinunciare a informazioni riservate o a concedere l'accesso a risorse protette, come una rete aziendale .

Spesso, un attacco di phishing utilizza le e-mail per convincere gli obiettivi che un messaggio proviene da una fonte attendibile, come un istituto finanziario rispettabile o un datore di lavoro. Poiché il messaggio sembra legittimo, è più probabile che l'utente condivida dati preziosi sull'account o interagisca con malware, in genere presentato come un allegato o un collegamento mimetizzato all'interno dell'e-mail.

Qual è lo scopo di un attacco di phishing?

Gli attacchi di phishing generalmente mirano a indurre un utente a rivelare informazioni riservate, a interagire con malware o a concedere l'accesso a un account o un'applicazione. In caso di successo, un tentativo di phishing consente agli aggressori di rubare le credenziali dell'utente, infiltrarsi in una rete, commettere furto di dati o intraprendere azioni più estreme contro una vittima (ad es. eseguire un attacco ransomware).

Per saperne di più sulle tecniche di phishing, consulta Cos'è un attacco di phishing?

Come viene utilizzata la posta elettronica per eseguire un attacco di phishing?

Nel phishing via e-mail, un termine ampio per qualsiasi attacco di phishing basato su posta elettronica, l'autore di attacchi invia un messaggio di posta elettronica impersonando un mittente affidabile, come un'organizzazione governativa o una nota azienda.

Alcune tattiche di phishing tentano di raccogliere informazioni direttamente dal destinatario sostenendo che un account è stato violato in qualche modo (ad esempio, richieste fraudolente di reimpostazione della password) o offrendo una ricompensa in denaro (ad esempio, carte regalo false).

Altre e-mail di phishing contengono malware all'interno degli allegati o dei collegamenti visualizzati nel corpo dell'e-mail. Interagendo con il malware, ad esempio, aprendo o scaricando un allegato che contiene un payload dannoso, l'utente può infettare inconsapevolmente il proprio dispositivo o la propria rete, consentendo agli aggressori di accedere ad applicazioni e dati protetti.

Come identificare un'e-mail di phishing

Poiché le e-mail di phishing sono progettate per imitare individui e organizzazioni legittime, potrebbe essere difficile identificarle a prima vista. Ecco alcuni segnali di pericolo comuni a cui prestare attenzione:

  • L'e-mail non supera i controlli SPF, DKIM o DMARC. Tre record DNS, Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC), sono utilizzati per autenticare l'origine di una e-mail. Quando un messaggio di posta elettronica non supera uno o più di questi controlli, viene spesso contrassegnato come spam o non viene consegnato al destinatario previsto. Per questo motivo, è raro trovare e-mail legittime nelle cartelle di spam.
  • L'indirizzo e-mail del mittente non è associato a un nome di dominio legittimo. Il dominio deve corrispondere al nome dell'organizzazione da cui l'e-mail afferma di provenire. Ad esempio, se tutti gli indirizzi e-mail di Legittime Internet Company sono formattati come "employee@legitinternetcompany.com", un'e-mail contraffatta potrebbe essere inviata da un indirizzo dal suono simile come "employee@legitinternetco.com".
  • Al posto del nome viene utilizzato un saluto generico. Parole come "cliente", "titolare dell'account" o "caro" possono indicare che l'e-mail fa parte di un tentativo di phishing di massa, piuttosto che un messaggio personale da un mittente legittimo.
  • C'è un limite di tempo o un insolito senso di urgenza. Le e-mail di phishing generano spesso un falso senso di urgenza per convincere gli utenti ad agire. Ad esempio, possono promettere una carta regalo se l'utente risponde entro 24 ore o denunciare una violazione dei dati per convincere l'utente ad aggiornare la propria password. È raro che queste tattiche siano legate a scadenze o conseguenze reali, poiché hanno lo scopo di costringere un utente ad agire prima che diventi sospettoso.
  • Il messaggio del corpo è pieno di errori. Una grammatica, un'ortografia e una struttura delle frasi scadenti possono suggerire che un'e-mail non proviene da una fonte attendibile.
  • I link nel corpo del messaggio non corrispondono al dominio del mittente. La maggior parte delle richieste legittime non indirizzerà gli utenti a un sito Web diverso dal dominio del mittente. Al contrario, i tentativi di phishing spesso reindirizzano gli utenti a un sito dannoso o mascherano collegamenti dannosi nel corpo dell'e-mail.
  • Il CTA include un link al sito Web del mittente. Anche quando i collegamenti sembrano puntare a siti Web legittimi, possono reindirizzare le vittime a un sito dannoso o attivare il download di malware. La maggior parte delle organizzazioni rispettabili non chiederà agli utenti di divulgare informazioni sensibili (ad esempio, numeri di carta di credito) facendo clic su un link.*

In generale, più sofisticato è un tentativo di phishing, meno è probabile che questi elementi vengano visualizzati in un'e-mail. Ad esempio, alcune e-mail di phishing utilizzano i loghi e la grafica di aziende note per far sembrare legittimo il loro messaggio, mentre altri aggressori possono codificare l'intero campo del corpo come collegamento ipertestuale dannoso.

*Le eccezioni a questa regola possono includere richieste di reimpostazione della password e verifica dell'account. Tuttavia, anche i tentativi di phishing possono falsificare questo tipo di richieste, quindi è consigliabile ricontrollare l'indirizzo e-mail del mittente prima di fare clic su qualsiasi cosa.*

Come prevenire gli attacchi di phishing

Come con qualsiasi tipo di e-mail non richiesta (spesso denominata "spam"), le e-mail di phishing non possono essere completamente eliminate da uno strumento di sicurezza o da un servizio di filtraggio. Tuttavia, ci sono diverse azioni che gli utenti possono intraprendere per ridurre le possibilità di un attacco riuscito:

  • Valuta le email in base agli elementi sospetti. Le intestazioni delle e-mail possono rivelare nomi di mittenti o indirizzi e-mail formulati in modo ingannevole, mentre il corpo può includere allegati e collegamenti che mascherano codice dannoso. Gli utenti dovrebbero peccare per eccesso di cautela quando aprono un messaggio da un mittente sconosciuto.
  • Non condividere informazioni personali. Anche quando si comunica con una persona di fiducia, le informazioni personali, ad esempio codice fiscale, informazioni bancarie, password e altro, non dovrebbe mai essere scambiate nel corpo di un'e-mail.
  • Blocca lo spam. La maggior parte dei client di posta elettronica è dotata di filtri antispam integrati, ma i servizi di filtraggio di terze parti possono offrire agli utenti un controllo più granulare sulla propria posta elettronica. Altri suggerimenti per evitare le e-mail di spam includono l'annullamento dell'iscrizione alle mailing list, il rifiuto di aprire e-mail di spam e il mantenimento degli indirizzi e-mail privati (ad esempio, non elencandoli sul sito Web esterno di un'organizzazione).
  • Utilizza protocolli di sicurezza della posta elettronica. I metodi di autenticazione dell'e-mail come i record SPF, DKIM e DMARC aiutano a verificare l'origine di un'e-mail. I proprietari di domini possono configurare questi record per rendere difficile per gli aggressori impersonare i propri domini in un attacco di spoofing del dominio.
  • Esegui un servizio di isolamento del browser. I servizi di isolamento del browser isolano ed eseguono il codice del browser nel cloud, proteggendo gli utenti dall'attivazione di allegati e collegamenti malware che possono essere consegnati tramite un client di posta elettronica basato sul Web.
  • Filtra il traffico dannoso con un gateway Web sicuro. Un gateway Web sicuro (SWG)esamina i dati e il traffico di rete alla ricerca di malware noto, quindi blocca le richieste in arrivo in base a criteri di sicurezza predeterminati. Può anche essere configurato per impedire agli utenti di scaricare file (come quelli che potrebbero essere allegati a un'e-mail di phishing) o condividere dati sensibili.
  • Verifica il messaggio con il mittente. Se un messaggio di posta elettronica sembra ancora sospetto, potrebbe essere necessario confermare in modo indipendente che il messaggio è stato inviato da un individuo o un'organizzazione legittima. Esistono diversi metodi di verifica che possono essere utilizzati per farlo, come una telefonata o un messaggio di testo. In caso di dubbio, chiedi al mittente se esiste un modo più sicuro per trasmettere le informazioni sensibili che potrebbe aver richiesto.

In che modo Cloudflare protegge dal phishing via e-mail?

La sicurezza della posta elettronica di Cloudflare Area 1 rileva e blocca i tentativi di phishing in tempo reale. Esamina in modo proattivo Internet alla ricerca di infrastrutture e campagne di attacco, scopre tentativi di frode e-mail e fornisce visibilità su account e domini compromessi.

Scopri come bloccare gli attacchi di phishing con Cloudflare Area 1.