Home » News » Cybersecurity

Phishing: come agire dopo aver risposto a un’e-mail

Phishing: come agire dopo aver risposto a un’e-mail

Rispondere per errore ad una e-mail di Phishing  è oramai molto usuale e la probabilità che un utente possa accidentalmente rispondere a questa tipologia di email  sta diventando inevitabile, secondo Proofpoint. Tra le tattiche più usate vi è lo spear – phishing. In questo ambiente, la necessità di protezione delle e-mail non può essere sottovalutata. Gli utenti devono sapere cosa fare, e come agire velocemente, dopo aver risposto magari per errore a un'email di phishing. Gli esperti di Proofpoint hanno elaborato cinque azioni da intraprendere a livello personale e aziendale per evitare danni ancor più gravi.

Le email di phishing possono prendere di mira chiunque all'interno di un'organizzazione. Quindi, è fondamentale stabilire le migliori pratiche, da far applicare a tutti gli utenti, che dovrebbero essere incluse in un programma completo di formazione sulla sicurezza in azienda.

Prima di stabilire le azioni appropriate da intraprendere dopo che un dipendente è stato ingannato da un'email di phishing, è essenziale sottolineare che queste truffe possono essere diffuse non solo attraverso email tradizionali, ma anche messaggi di testo. Gli attaccanti che utilizzano quest'ultimo metodo impersoneranno un'entità legittima esistente, come la banca di un utente. 

Le azioni delineate di seguito richiedono la cooperazione di più parti responsabili all'interno di un'organizzazione per essere efficaci. Ci dovrebbe essere un coordinamento tra le rispettive entità – la persona che ha risposto all'email, gli analisti di sicurezza e l’information security manager. Si applicano anche in caso di singoli utenti, a condizione che la parte colpita coinvolga l’autorità appropriata.

1. Modificare la password dell’account
Nel corso degli anni, gli attacchi di phishing sono diventati sempre più avanzati e furtivi. Possono essere distribuiti in diversi modi, ma il loro obiettivo principale – raccogliere nomi utente e password di accesso – è rimasto generalmente costante.

In molti casi, rispondere a un'email di phishing può includere la fornitura di credenziali di accesso a un'applicazione che l'aggressore ha impostato per spacciarsi per un'app familiare esistente, per acquisire le credenziali di accesso della vittima e usarle per perpetrare altri crimini informatici come la frode via email. Data la probabilità di questo tipo di attacco, è fondamentale che un utente compromesso cambi immediatamente la password degli accounts che potrebbero essere stati compromessi.

Chi effettua attacchi di spear-phishing di solito mette in atto processi di raccolta di informazioni approfondite dei loro obiettivi, una volta compromessi. Dopo che l'attaccante collega la vittima dell'attacco a un determinato account, cercherà di utilizzare credenziali simili sugli altri account noti dell'utente. Quindi, è fondamentale cambiare le passwords non solo per l'account compromesso, ma anche per altri associati. In molti casi, le vittime di phishing usano più volte la stessa password.

In breve, si raccomanda di cambiare le password per tutti gli account online. Le password delle email devono essere sostituite immediatamente, e quelle nuove devono essere convalidate in base alle policy delle password delle e-mail per garantire che soddisfino i requisiti di complessità. 

2. Segnalare tempestivamente l’incidente di phishing
Gli attacchi di phishing sono spesso distribuiti su larga scala, prendendo di mira molte vittime in una sola volta e nella maggior parte dei casi, coinvolgono i dipendenti della stessa organizzazione. La segnalazione tempestiva dell'incidente può aiutare a garantire che altri dipendenti – che potrebbero aver ricevuto la stessa e-mail di phishing, ma che potrebbero non aver ancora risposto, non finiscano in trappola.

Gli incidenti di phishing dovrebbero essere segnalati tramite il service desk IT o in conformità con le procedure di risposta agli incidenti informatici dell'azienda. In questa fase, la segnalazione ha lo scopo di avviare un'indagine interna riguardante l'attacco.

Una segnalazione tempestiva di un incidente, cioè non appena un utente si rende conto di aver risposto a un'email di phishing, consente al personale tecnico di sicurezza di avviare la raccolta di informazioni cruciali sull'attacco.

3. Indagare sull’attacco di phishing
Rispondere a una truffa di phishing può avere effetti dannosi sia sui singoli utenti che sull'intera organizzazione. I rischi possono includere la compromissione dell'account email, l'accesso non autorizzato alle reti e ai sistemi aziendali e l'introduzione di malware nel computer e nella rete della vittima.

Ecco perché è fondamentale avviare un'indagine preliminare dell'incidente di phishing al momento della segnalazione tramite service desk IT, con l’obiettivo di raccogliere informazioni rilevanti sull'attacco e valutarne l'impatto.

Alcuni processi da eseguire in questa fase includono l'identificazione delle email di phishing che hanno ingannato gli utenti, la localizzazione di altri messaggi dallo stesso mittente o con lo stesso link, la verifica di chi altro nell'organizzazione può aver ricevuto la stessa email, per capire quanto possa essere diffuso l'attacco, e l'estrazione di quei messaggi dalle caselle di posta degli utenti. 

Deve essere avviata anche l'analisi dell'endpoint per identificare qualsiasi software dannoso che potrebbe essere stato introdotto nel computer della vittima o nella rete associata. Chi viene colpito dovrà fare attenzione al furto d'identità.

Inoltre, quando necessario, l'account compromesso dovrebbe essere bloccato, ad esempio, un utente potrebbe chiedere alla banca di bloccare il proprio conto bancario online se direttamente compromesso da un attacco di phishing.

Dopo la notifica, i proprietari dell'e-mail “spoofed” dovrebbero anche avviare procedure di indagine per controllare attività anomale. Ad esempio, un istituto finanziario dovrebbe monitorare il conto di un cliente vittima di phishing. 

4. Avvisare le autorità di regolamentazione competenti e le forze dell'ordine
Diversi standard di settore o norme governative richiedono a un'organizzazione di segnalare gli incidenti di phishing entro un periodo stabilito dopo la sua identificazione. Per le organizzazioni che operano nel settore sanitario, un incidente che coinvolge una risposta a un'email di phishing deve essere gestito in modo da garantire la continua conformità con i requisiti dell'Health Insurance Portability and Accountability Act (HIPAA).

Oltre a rispettare la conformità con gli standard e i regolamenti del settore, c'è la necessità stringente di presentare una denuncia alle forze dell'ordine competenti, che talvolta può dipendere dall'entità del danno causato.

5. Implementare strategie correttive e difendersi da attacchi futuri
Come prima linea di difesa, gli utenti devono essere ben informati sui vettori di attacco di phishing attualmente impiegati dai cyber criminali e per garantire che ciò accada, le organizzazioni dovrebbero mettere in campo un programma di formazione completa sulla sicurezza per gli utenti. Le simulazioni interne di truffe di phishing sono una strategia efficace, ed espongono gli utenti a esempi reali di attacchi in modo che possano individuare meglio i messaggi.

Oltre a preparare e formare la forza lavoro sui rischi del phishing, le organizzazioni devono implementare controlli tecnici appropriati che includono, tra gli altri, il blocco dei messaggi di phishing attraverso l'applicazione di tecniche di protezione come email filtering, sandboxing, modelli di machine learning e isolamento del browser.

la Redazione

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.