Rispondere per errore ad una e-mail di Phishing può capitare a tutti. Questa tipologia di attacco è sempre più dilagante, con lo spear – phishing identificato tra le tattiche principali usate. In questo ambiente, la necessità di protezione delle e-mail non può essere sottovalutata. Gli utenti devono sapere cosa fare, e come agire velocemente, dopo aver risposto per errore a un’email di phishing.
Gli esperti di Proofpoint hanno elaborato cinque azioni da intraprendere a livello personale e aziendale per evitare danni ancor più gravi.
- Cambiare la password dell’account
«Nel corso degli anni, gli attacchi di phishing sono diventati sempre più avanzati e furtivi. Possono essere distribuiti in diversi modi, ma il loro obiettivo principale – raccogliere nomi utente e password di accesso – è rimasto generalmente costante. In molti casi, rispondere a un’email di phishing può includere la fornitura di credenziali di accesso a un’applicazione che l’aggressore ha impostato per spacciarsi per un’app familiare esistente, per acquisire le credenziali di accesso della vittima e usarle per perpetrare altri crimini informatici come la frode via email. Data la probabilità di questo tipo di attacco, è fondamentale che un utente compromesso cambi immediatamente la password degli account che potrebbero essere stati compromessi.
Chi effettua attacchi di spear-phishing di solito mette in atto processi di raccolta di informazioni approfondite dei loro obiettivi, una volta compromessi. Rspondere a un’email di phishing, potrebbe avere come conseguenza il collegamento tra l’attaccante e l’account della vittima; questo permetterà all’hacker di utilizzare credenziali simili sugli altri account noti dell’utente. Quindi, è fondamentale cambiare le password non solo per l’account compromesso, ma anche per altri associati. In molti casi, le vittime di phishing usano più volte la stessa password.
In breve, si raccomanda di cambiare le password per tutti gli account online. Le password delle email devono essere sostituite immediatamente, e quelle nuove devono essere convalidate in base alle policy delle password delle e-mail per garantire che soddisfino i requisiti di complessità.
- Segnalare l’incidente di phishing
Gli attacchi di phishing sono spesso distribuiti su larga scala, prendendo di mira molte vittime in una sola volta e nella maggior parte dei casi, coinvolgono i dipendenti della stessa organizzazione. La segnalazione tempestiva dell’incidente può aiutare a garantire che altri dipendenti – che potrebbero aver ricevuto la stessa e-mail di phishing, ma che potrebbero non aver ancora risposto, non finiscano in trappola.
Rispondere a un’email di phishing per errore può capitare a tutti, ma è importante che questi incidenti vengano tempestivamente segnalati tramite il service desk IT o in conformità con le procedure di risposta agli incidenti informatici dell’azienda. In questa fase, la segnalazione ha lo scopo di avviare un’indagine interna riguardante l’attacco. Una segnalazione tempestiva di un incidente consente al personale tecnico di sicurezza di avviare la raccolta di informazioni cruciali sull’attacco.
- Effettuare indagini sull’attacco di phishing
Rispondere a un’email di phishing può avere effetti dannosi sia sui singoli utenti che sull’intera organizzazione. I rischi possono includere la compromissione dell’account email, l’accesso non autorizzato alle reti e ai sistemi aziendali e l’introduzione di malware nel computer e nella rete della vittima. Ecco perché è fondamentale avviare un’indagine preliminare dell’incidente di phishing al momento della segnalazione tramite service desk IT, con l’obiettivo di raccogliere informazioni rilevanti sull’attacco e valutarne l’impatto.
Alcuni processi da eseguire in questa fase includono l’identificazione delle email che hanno portato gli utenti a rispondere a un’email di phishing, la localizzazione di altri messaggi dallo stesso mittente o con lo stesso link, la verifica di chi altro nell’organizzazione può aver ricevuto la stessa email, per capire quanto possa essere diffuso l’attacco, e l’estrazione di quei messaggi dalle caselle di posta degli utenti. Deve essere avviata anche l’analisi dell’endpoint per identificare qualsiasi software dannoso che potrebbe essere stato introdotto nel computer della vittima o nella rete associata. Chi viene colpito dovrà fare attenzione al furto d’identità.
Inoltre, quando necessario, l’account compromesso dovrebbe essere bloccato, ad esempio, un utente potrebbe chiedere alla banca di bloccare il proprio conto bancario online se direttamente compromesso da un attacco di phishing.
Dopo la notifica, i proprietari dell’e-mail “spoofed” dovrebbero anche avviare procedure di indagine per controllare attività anomale. Ad esempio, un istituto finanziario dovrebbe monitorare il conto di un cliente vittima di phishing.
- Coinvolgere le autorità di regolamentazione competenti e le forze dell’ordine
Diversi standard di settore o norme governative richiedono a un’organizzazione di segnalare gli incidenti di phishing entro un periodo stabilito dopo la sua identificazione. Per le organizzazioni che operano nel settore sanitario, rispondere a un’email di phishing è un incidente che deve essere gestito in modo da garantire la continua conformità con i requisiti dell’Health Insurance Portability and Accountability Act (HIPAA).
Oltre a rispettare la conformità con gli standard e i regolamenti del settore, c’è la necessità stringente di presentare una denuncia alle forze dell’ordine competenti, che talvolta può dipendere dall’entità del danno causato.
- Implementare strategie di remediation e proteggersi da attacchi futuri
Come prima linea di difesa, gli utenti devono essere ben informati sui vettori di attacco di phishing attualmente impiegati dai cyber criminali e per garantire che ciò accada, le organizzazioni dovrebbero mettere in campo un programma di formazione completa sulla sicurezza per gli utenti. Le simulazioni interne di truffe di phishing sono una strategia efficace, ed espongono gli utenti a esempi reali di attacchi in modo che possano individuare meglio i messaggi.
Rispondere a un’email di phishing dovrebbe essere un errore da non commettere per evitare gravissimi e irreparabili danni. Per ovviare a questo bisognerebbe, non solo preparare e formare la forza lavoro sui rischi del phishing, ma le organizzazioni devono implementare controlli tecnici appropriati che includono, tra gli altri, il blocco dei messaggi di phishing attraverso l’applicazione di tecniche di protezione come email filtering, sandboxing, modelli di machine learning e isolamento del browser».
https://www.bitmat.it/blog/featured/rispondere-a-unemail-di-phishing-per-errore-come-comportarsi/