Gli attacchi di phishing di richiamata sono in aumento. Se hai mai ricevuto un'e-mail che ti chiedeva di rinnovare un servizio o di pagare una fattura per un servizio che non hai mai acquistato, hai sperimentato in prima persona il phishing di richiamata.
Che cos'è il phishing di richiamata?
Un attacco di phishing di richiamata, a volte chiamato TOAD (phone-oriented attack delivery), combina due metodi di phishing. La vittima riceve un'e-mail di phishing che la avvisa di un problema. Invece di fornire maggiori informazioni sulla situazione nell'e-mail, l'autore della minaccia include un numero di contatto, sperando in una chiamata di ritorno dalla vittima.
Quando il destinatario chiama il numero di telefono menzionato, l'autore della minaccia utilizza tecniche di ingegneria sociale per attirare il vittima a condividere dati sensibili, installare malware o intraprendere qualsiasi altra azione che possa avvantaggiare l'autore della minaccia.
Come funziona il phishing di richiamata
Innanzitutto, una vittima riceve un'e-mail che la informa che è dovuto un pagamento per un abbonamento a un servizio. Spesso la fattura non è allegata alla posta. La vittima diventa quindi curiosa o furiosa nel ricevere la richiesta di pagamento per un servizio che non aveva acquistato in primo luogo, quindi chiama il numero di telefono indicato nell'e-mail.
Un attore della minaccia partecipa alla chiamata e induce la vittima a seguire passaggi specifici per annullare l'ordine. Quando la vittima segue questi passaggi, il malware viene installato sul proprio PC o l'autore della minaccia riceve informazioni sensibili.
L'autore della minaccia termina la chiamata una volta che la vittima intraprende l'azione che l'autore della minaccia vuole che intraprenda.
Perché gli hacker tentano attacchi di phishing di richiamata
Eseguendo con successo un attacco di phishing di richiamata, un attore della minaccia può:
- Rubare dati sensibili, credenziali di accesso o qualsiasi altro tipo di dati riservati.
- Installa il ransomware sul computer della vittima per crittografare i dati e ottenere il riscatto.
- Ottieni i dati della carta di credito o del conto bancario della vittima per rubare denaro.
- Installa un software di accesso remoto sul computer della vittima per rubare file sensibili.
Nella maggior parte delle campagne di phishing di richiamata, lo scopo dell'attacco è rubare dati, denaro o entrambi.
Al giorno d'oggi, la maggior parte delle persone e delle aziende utilizza soluzioni anti-phishing o anti-spam per bloccare un'e-mail che contiene un file dannoso.
Tuttavia, le e-mail di phishing di richiamata non includono allegati dannosi o collegamenti dannosi. Quindi queste e-mail tendono a bypassare i filtri e-mail e vengono recapitate ai computer delle vittime. Inoltre, gli attacchi di phishing di richiamata hanno un basso costo per target.
Quindi non c'è da sorprendersi che sempre più attori delle minacce stiano effettuando tentativi di phishing di richiamata.
Come prevenire gli attacchi di phishing di richiamata
Una campagna di phishing di richiamata riuscita può causare danni irreparabili a un individuo oa un'azienda.
Ecco alcuni modi per proteggersi dagli attacchi di phishing di richiamata.
Implementa la soluzione per la sicurezza della posta elettronica
Sebbene alcune e-mail di phishing di richiamata accuratamente predisposte possano sfuggire alle soluzioni di sicurezza e-mail, l'implementazione di una rinomata soluzione di sicurezza della posta elettronica come un gateway di posta elettronica può aiutare a migliorare la tua azienda postura di sicurezza.
Considera come un attacco BEC (Business Email Compromise) può costarti enormi quantità di denaro e perdita di reputazione. L'implementazione di una solida soluzione di sicurezza della posta elettronica può ridurre al minimo il rischio di attacchi di compromissione della posta elettronica aziendale. Nella maggior parte dei casi, una soluzione di sicurezza della posta elettronica rileverà e bloccherà lo spoofing, il phishing e le truffe della posta elettronica. Tale soluzione può anche aiutare a prevenire l'installazione di malware sul tuo PC.
Inoltre, una buona soluzione per la sicurezza della posta elettronica può avvisarti del comportamento sospetto dell'utente. Quindi assicurati di avere uno dei migliori suite di posta elettronica per la configurazione sicura della posta in arrivo.
Anche se non lavori in un ambiente professionale, avere un buon software antivirus installato sul tuo dispositivo può offrirti una sicurezza ottimale dalle e-mail di phishing e da molte altre minacce alla sicurezza informatica.
Controlla attentamente le e-mail per evidenti segnali di phishing
Sebbene le e-mail di phishing di richiamata non contengano allegati o collegamenti dannosi, ne hanno alcuni principali segni di phishing a cui dovresti stare attento.
È probabile che un'e-mail sia un'e-mail di phishing con un mittente insolito. Ad esempio, l'e-mail può affermare di provenire da un'azienda legittima, ma non ha un indirizzo e-mail con marchio. Invece, ha un indirizzo email generico come google.com o yahoo.com.
Puoi anche essere sospettoso delle e-mail piene di errori di ortografia e grammaticali. Nessuna azienda legittima invia e-mail piene di errori testuali. Cerca anche i messaggi che danno una breve finestra per eseguire un'attività. Ad esempio, un indirizzo email ti fornisce alcune ore per effettuare un pagamento per mantenere attivo un abbonamento.
Un'e-mail di phishing potrebbe essere contrassegnata dal tuo provider di posta elettronica. Alcuni provider di posta elettronica dispongono di una tecnologia antispam integrata per avvisare gli utenti di e-mail di phishing e spam.
Ora, gli attori delle minacce combinano varie tattiche di ingegneria sociale per indurre le vittime a chiamarle. Quindi dovresti stare molto attento quando intraprendi azioni basate su e-mail che destano sospetti.
Sii sospettoso se si tratta di soldi
Un modo infallibile per evitare di cadere preda di un attacco di phishing di richiamata è controllare due volte se un messaggio riguarda denaro o credenziali di accesso.
Se un'e-mail proveniente da un'azienda apparentemente legittima crea un senso di urgenza e ti chiede di inviare denaro, sii sospettoso.
Nel caso in cui l'e-mail non contenga informazioni dettagliate ad eccezione del numero di telefono del suo rappresentante del servizio clienti, è probabile che faccia parte di una campagna di phishing di richiamata.
Organizzare programmi di formazione sul phishing
Il callback phishing, una parte degli attacchi di ingegneria sociale, si basa sull'errore umano piuttosto che sulle vulnerabilità del sistema.
Pertanto, l'esecuzione regolare di programmi di formazione sulla consapevolezza della sicurezza informatica dei dipendenti può ridurre al minimo il rischio di attacchi di phishing di richiamata.
Ecco le aree chiave su cui dovresti concentrarti quando costruire un programma di formazione sulla consapevolezza della sicurezza. Per cominciare, un programma di formazione sulla consapevolezza della sicurezza dovrebbe offrire istruzione su varie cybersecurity attacchi, inclusi phishing di richiamata, spam, malware, metodi di ingegneria sociale, attacchi basati su script e molti altri. Ci dovrebbe essere abbastanza attenzione su come individuare e-mail di phishing, URL dannosi, siti Web non autorizzati, ecc.
I dipendenti non devono utilizzare un indirizzo e-mail aziendale per scaricare strumenti tecnologici affidabili legittimi da siti Web fasulli o abbonarsi a servizi online casuali. In questo modo è un modo sicuro per invitare e-mail di phishing o spam. Dovresti assicurarti che i tuoi dipendenti seguano le migliori politiche di sicurezza delle password. Dovrebbero anche utilizzare autenticazioni a più fattori per aggiungere un livello di sicurezza ai propri account.
Il tuo programma di formazione dovrebbe includere anche finti test di phishing per valutare la preparazione dei tuoi dipendenti a combattere le campagne di phishing di richiamata. E assicurati che i tuoi dipendenti seguano le migliori pratiche per proteggere gli account di posta elettronica aziendali per evitare truffe.
Spiegazione del phishing di richiamata
Ora sai cos'è il phishing di richiamata e come prevenirlo. Resta vigile per evitare di cadere preda di un attacco di phishing di richiamata. Inoltre, dovresti saperne di più per capire come appare un'e-mail di spam per individuare rapidamente un'e-mail di questo tipo.