Dopo mesi di attesa, è stato finalmente pubblicato il Decreto Legislativo 138/2024 che recepisce la…
Segnalata campagna phishing contro le PA
Il CERT-AgID* ha recentemente segnalato una campagna di phishing mirata prevalentemente alle Pubbliche Amministrazioni italiane che, sfruttando e-mail fraudolente, hanno l’obiettivo di rubare le credenziali di accesso agli account di posta elettronica MS Outlook.
Il phishing, lo ricordiamo, è una delle minacce più insidiose nel panorama della sicurezza informatica. Utilizzando tecniche di ingegneria sociale, gli attaccanti ingannano le vittime inducendole a fornire informazioni sensibili attraverso form online che sembrano legittimi. Questi moduli possono essere creati con facilità tramite servizi gratuiti di form builder spacciandosi come richieste ufficiali di aziende note o istituzioni finanziarie. Gli attaccanti creano un modulo online che assomiglia a un servizio legittimo, come il login di una banca o il modulo di reset della password e quando gli utenti inseriscono le loro credenziali su questi moduli, le informazioni vengono inviate direttamente agli attaccanti.
I dettagli del phishing per il furto di credenziali Outlook
Nel caso specifico, come riportato dai ricercatori del CERT-AgID*, gli aggressori inviano e-mail fraudolente che promettono aggiustamenti salariali o accessi a buste paga elettroniche, inducendo le vittime a scaricare allegati con doppia estensione che conducono a pagine di phishing.
Per contrastare tali attività, il CERT-AgID* ha condiviso con le Pubbliche Amministrazioni accreditate i relativi indicatori di compromissione per supportare le misure di difesa.
Come si presentano email ed allegato
L’email in questione sollecita i destinatari a scaricare l’allegato per visualizzare i dettagli riguardanti “l’adeguamento salariale”. Questi sono gli aspetti dell’email inviata e della pagina di phishing una volta aperto l’allegato:
Prevenzione e difesa
Per difendersi dal phishing, è fondamentale educare gli utenti a riconoscere i segnali di allarme di un tentativo di phishing.
Ecco alcuni consigli:
- Verificare sempre l’URL del sito web prima di inserire dati sensibili
- Non cliccare su link sospetti ricevuti via email o messaggi
- Utilizzare soluzioni di sicurezza che includono la protezione anti-phishing
- Essere scettici riguardo a email che richiedono azioni immediate o contengono offerte troppo belle per essere vere
Alcuni indizi possono aiutare a identificare un tentativo di phishing:
- Errori grammaticali o di battitura nell’email o nel sito web
- URL che non corrispondono al nome dell’azienda legittima
- Moduli che richiedono una quantità eccessiva di informazioni personali
Conclusioni
La lotta al phishing richiede un approccio multilivello che include tecnologia, vigilanza e, soprattutto, educazione.
Mentre le soluzioni tecnologiche possono bloccare molti tentativi, l’educazione degli utenti rimane un aspetto cruciale per prevenire le truffe.
Dato che questa tecnica di attacco si basa sulla vulnerabilità delle persone, è fondamentale che le aziende adottino strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. Occorre sviluppare adeguati programmi di formazione, in modo che i dipendenti siano sempre aggiornati e consapevoli dei rischi cyber e della loro costante evoluzione.
La formazione deve fornire competenze, tecniche e metodi, sia per prevenire gli attacchi, sia per saper reagire di fronte ad eventuali situazioni critiche. Solo così si può creare una vera e propria cultura alla sicurezza informatica in azienda. Devono essere diffidenti se contattati da uno sconosciuto sospetto, fare attenzione alle email che chiedono pagamenti o aggiornamenti dati. Sembrano casi banali, ma l’ingenuità del singolo può essere sufficiente per danneggiare un’intera azienda.
Se desideri saperne di più in merito ai corsi sulla formazione dei dipendenti in materia di cybersecurity, contattaci!
* È la struttura che si occupa per conto di AgID (Agenzia per l’Italia Digitale) di mantenere e sviluppare servizi di sicurezza preventivi e attività di accompagnamento utili alle pubbliche amministrazioni per favorire la crescita e la diffusione della cultura della sicurezza informatica e delle emergenze ad essa collegate