Che cos'è un attacco di impersonificazione?
Un attacco di impersonificazione è una forma di frode in cui gli aggressori si fingono una persona conosciuta o fidata per ingannare un dipendente e indurlo a trasferire denaro su un conto fraudolento, a condividere informazioni sensibili (come la proprietà intellettuale, i dati finanziari o le informazioni sulle buste paga) o a rivelare le credenziali di accesso che gli aggressori possono utilizzare per entrare nella rete informatica di un'azienda. La frode del CEO, la compromissione delle business email e il whaling sono forme specifiche di attacchi di impersonificazione in cui individui malintenzionati si fingono dirigenti di alto livello all'interno di un'azienda.
Per fermare un attacco di impersonificazione sono necessarie politiche di sicurezza forti e la vigilanza da parte dei dipendenti. Ma poiché questi attacchi sono progettati per sfruttare l'errore umano, sono necessarie anche soluzioni in grado di scansionare automaticamente le e-mail e bloccare qualsiasi potenziale attacco. Ecco dove Mimecast può aiutare.
Che cos'è un attacco di impersonificazione di e-mail?
Gli attacchi di impersonificazione delle e-mail sono un tipo di attacco di phishing in cui l'aggressore si spaccia per un mittente legittimo, al fine di indurre il destinatario a cliccare su un link o un allegato dannoso.
Questi attacchi sono in genere utilizzati per rubare informazioni sensibili come le credenziali di accesso o le informazioni finanziarie. In alcuni casi, gli aggressori possono anche utilizzare l'impersonificazione delle e-mail per inviare malware al sistema della vittima.
Gli attacchi di impersonificazione e-mail possono essere difficili da individuare, in quanto l'aggressore spesso utilizza un indirizzo e-mail falso che è simile a quello del mittente legittimo. Se riceve un'e-mail da un mittente sconosciuto, o se l'e-mail contiene errori grammaticali o di ortografia, questi possono essere segnali che si tratta di un attacco di impersonificazione.
Se non è sicuro che un'e-mail sia legittima, può sempre contattare direttamente il presunto mittente per verificarne l'autenticità. Si ricordi di non cliccare mai sui link o sugli allegati contenuti in un'e-mail, a meno che non sia certo che siano sicuri.
Come funziona un attacco di impersonificazione?
Gli attacchi di impersonificazione sono in genere attacchi senza malware condotti tramite e-mail, utilizzando l'ingegneria sociale per ottenere la fiducia di un dipendente preso di mira. Gli aggressori possono ricercare una vittima online, raccogliendo informazioni dagli account dei social media e da altre fonti online che, se utilizzate nel testo di un'e-mail, possono conferire autenticità al messaggio. Un attacco di impersonificazione è in genere diretto a un dipendente che può avviare bonifici bancari o che ha accesso a dati sensibili o proprietari. Il dipendente riceve un'e-mail che sembra provenire da una fonte legittima, spesso un dirigente di alto livello all'interno dell'azienda, con la richiesta urgente di versare denaro su un determinato conto o di inviare immediatamente informazioni sensibili.
Quali sono gli attacchi comuni di impersonificazione delle e-mail?
- Richieste urgenti e di breve durata che comportano il trasferimento di denaro o di informazioni sensibili come informazioni sul conto bancario o credenziali di accesso.
- Richieste di acquisto da completare per conto del CEO, spesso carte regalo.
- Dipendenti che richiedono bruscamente modifiche alle informazioni sul deposito diretto.
- Creare e-mail con leggere deviazioni del nome, come scrivere la lettera "m" come "rn".
- Utilizzando un linguaggio che induce urgenza e senso di paura.
Come riconoscere un attacco di impersonificazione
A differenza dei comuni attacchi di phishing, che spesso sono poco specifici e pieni di errori grammaticali o di ortografia, gli attacchi di impersonificazione sono altamente mirati e ben realizzati per apparire realistici e autentici. Ci sono alcuni elementi, tuttavia, che indicano un'e-mail potenzialmente fraudolenta:
- Un tono urgente e forse minaccioso. La maggior parte degli attacchi di impersonificazione richiede o pretende che il destinatario agisca immediatamente. Alcune e-mail di impersonificazione possono minacciare conseguenze negative se il destinatario non agisce abbastanza rapidamente. Lo scopo è quello di evitare che il dipendente si prenda del tempo per ricontrollare prima di agire.
- Un'enfasi sulla riservatezza. Alcuni attacchi di impersonificazione suggeriranno che l'azione fa parte di uno sviluppo confidenziale o di un programma segreto che non deve essere discusso con i colleghi o i superiori diretti.
- Una richiesta di invio di denaro o di condivisione di informazioni sensibili. Qualsiasi richiesta di trasferimento di denaro o di rilascio di dati finanziari sensibili, di informazioni sulle buste paga o di proprietà intellettuale deve essere corroborata attraverso più canali.
- Un problema con gli indirizzi e-mail o i link. Spesso, l'e-mail che impersona un dirigente sarà una versione leggermente alterata di un indirizzo e-mail legittimo. Inoltre, l'indirizzo di risposta potrebbe essere diverso da quello del mittente, oppure i link effettivi agli URL all'interno dell'e-mail non corrispondono al testo dei collegamenti ipertestuali nel corpo della copia dell'e-mail.
- Richieste o conti insoliti. Gli attacchi di impersonificazione richiedono spesso ai destinatari di inviare denaro a conti bancari o a conti di fornitori che hanno numeri diversi da quelli che il dipendente ha usato in passato.
Come evitare un attacco di impersonificazione?
Le truffe che comportano un attacco di impersonificazione rappresentano un pericolo significativo per le aziende di ogni dimensione. Piuttosto che utilizzare URL o allegati dannosi, un attacco di impersonificazione utilizza l'ingegneria sociale e la personalizzazione per ingannare un dipendente e indurlo a trasferire involontariamente denaro su un conto fraudolento o a condividere dati sensibili con i criminali informatici.
Un attacco di impersonificazione comporta in genere un'e-mail che sembra provenire da una fonte affidabile. A volte l'attacco via e-mail può iniziare con un messaggio che sembra provenire da un CEO, da un CFO o da un altro dirigente di alto livello - queste truffe sono chiamate anche attacchi e-mail whaling. Un attacco di impersonificazione può anche comportare un messaggio che sembra provenire da un collega fidato, da un fornitore di terze parti o da altri marchi noti di Internet. Il messaggio può richiedere al destinatario di avviare un trasferimento verso un conto bancario o un fornitore che in seguito si rivelerà fraudolento, oppure può chiedere al destinatario di inviare informazioni come i file W-2, le informazioni bancarie o le credenziali di accesso che consentono agli hacker di accedere alle finanze e ai sistemi aziendali.
Per fermare un attacco di impersonificazione sono necessarie politiche di sicurezza forti e la vigilanza da parte dei dipendenti. Ma poiché questi attacchi sono progettati per sfruttare l'errore umano, sono necessarie anche soluzioni in grado di scansionare automaticamente le e-mail e bloccare qualsiasi potenziale attacco. Ecco dove Mimecast può aiutare.
Combattere un attacco di impersonificazione con Mimecast
Mimecast rende le e-mail più sicure per le aziende, combinando le soluzioni per la sicurezza delle e-mail, email continuity e la protezione dei dati e-mail in un single servizio basato sul cloud. Semplificando l'amministrazione e fornendo un'unica piattaforma cloud che copre tutte le funzioni e-mail, Mimecast riduce i costi e la complessità della gestione delle business email.
I servizi di sicurezza e-mail SaaS di Mimecast includono la protezione contro tutte le principali minacce. Oltre a bloccare un attacco di impersonificazione, Mimecast può aiutare a prevenire un attacco ransomware, un attacco di spear-phishing e un attacco insider, oltre alle minacce di virus e malware. Oltre alle soluzioni di risposta alle minacce, l'offerta di sicurezza di Mimecast comprende anche soluzioni per l'invio sicuro di messaggi e file di grandi dimensioni, nonché per il content control e la prevenzione della perdita di dati.
Tecnologia Mimecast per affrontare un attacco di impersonificazione
Mimecast scansiona tutte le e-mail in entrata, in uscita e interne per fornire una protezione degli URL contro i link dannosi, nonché una protezione degli allegati che analizza i documenti allegati alla ricerca di potenziali malware. Ma poiché molti attacchi di impersonificazione sono privi di malware, la tecnologia Mimecast cerca anche nell'e-mail e nel suo contenuto i segni di un attacco di impersonificazione. Queste includono anomalie in:
- Nome visualizzato
- Nome di dominio
- Informazioni sulla risposta
- Corpo del messaggio
Se un'e-mail non supera una certa combinazione di questi test, Mimecast può essere configurato per scartare il messaggio, metterlo in quarantena o inviarlo al destinatario con un avviso che il messaggio potrebbe essere un attacco di impersonificazione.
Per saperne di più su come fermare un attacco di impersonificazione con Mimecast.
FAQ sull'attacco di impersonificazione
Chi è a rischio di un attacco di impersonificazione?
Sebbene chiunque possa essere a rischio di un attacco di impersonificazione di e-mail, i nuovi dipendenti sono spesso i bersagli principali. È meno probabile che i nuovi dipendenti abbiano familiarità con la cultura aziendale e con il modo in cui i membri dell'organizzazione comunicano o delegano i compiti, per cui, nella loro ansia di creare una buona impressione, potrebbero essere vittime di un attacco di impersonificazione.
Perché gli attacchi di impersonificazione sono difficili da rilevare?
Gli attacchi di impersonificazione sono realizzati con cura e sono unici per ogni organizzazione che prendono di mira. Mentre le e-mail generiche del ransomware di massa "" spesso presentano errori ortografici e grammaticali evidenti, gli attacchi di impersonificazione sono progettati per sembrare e suonare come se provenissero da membri importanti di un'organizzazione. Per un occhio inesperto e ignaro, può essere difficile cogliere i segni di un'e-mail di impersonificazione, o anche sapere dove cercarli.
Come fermare un attacco di impersonificazione?
Per prevenire gli attacchi di impersonificazione e altre forme di phishing e di crimine informatico, le organizzazioni fanno bene ad adottare un approccio a più livelli alla sicurezza delle e-mail, che comprende:
- Una formazione di sensibilizzazione sulla sicurezza, che istruisca i dipendenti su come si presentano gli attacchi di impersonificazione, su cosa si può fare per prevenirli e sul tipo di danno che un attacco riuscito può causare.
- Soluzioni anti-impersonazione che analizzano le e-mail alla ricerca di segni di attacchi senza malware e basati sul social engineering, che sono più comunemente associati all'impersonificazione. Queste possono includere anomalie di intestazione, somiglianza di dominio, spoofing del mittente e linguaggio sospetto nel contenuto delle e-mail.
- Un software di sicurezza e-mail che scansiona e filtra ogni link e allegato in ogni e-mail, bloccando gli utenti dal visitare URL o aprire allegati che potrebbero essere dannosi.
- Servizi di autenticazione DNS che utilizzano i protocolli DKIM, SPF e DMARC per identificare le e-mail legittime e quelle potenzialmente fraudolente.
- Protezione anti-malware e anti-spam che può impedire ad alcuni attacchi di raggiungere le caselle di posta degli utenti.
Come segnalare un attacco di impersonificazione?
Quando i dipendenti sospettano di essere stati presi di mira o di essere stati coinvolti in un attacco di impersonificazione, devono segnalare immediatamente l'incidente al proprio supervisore, al reparto IT e alla persona all'interno dell'organizzazione che è stata impersonificata. Inoltre, gli attacchi di impersonificazione possono essere segnalati alle organizzazioni governative che si occupano di prevenire la criminalità informatica. Questi includono la Federal Trade Commission(www.ftc.gov/complaint), laCybersecurity and Infrastructure Security Agency(phishing-report@us-cert.gov) e l'Anti-Phishing Working Group(https://apwg.org/reportphishing/).
