background

Phishing - Le Buone Pratiche

Uomo avvisato, mezzo salvato!

Impara a sventare le trappole del Phishing

icon

Checklist
Globale
icon

Link e
Allegati
icon

Urgenza e
Pressione
icon

Password e
MFA
icon

Phishing in
Azienda
icon

Phishing in
Evoluzione

Non cadere più nella trappola: Verifica Link e Allegati

1. Come verificare un link (PRIMA di cliccare)

Passa il mouse sopra

Su un computer, passa semplicemente il cursore del mouse sul link SENZA cliccare. L'indirizzo URL reale verrà visualizzato generalmente in basso a sinistra del tuo browser.

Tieni premuto a lungo su mobile

Su uno smartphone o un tablet, premi e tieni premuto il dito sul link. Una finestra pop-up mostrerà l'URL completo.

  • Assomiglia esattamente al sito previsto? (Es: `banca.it` e non `banca-sicura.com` o `banca.it.info.net`)
  • Ci sono errori di ortografia? (Es: `googlle.com` invece di `google.com`)
  • Utilizza il protocollo sicuro HTTPS (indicato da un lucchetto nella barra degli indirizzi una volta sul sito)?

Analysez l'URL affichée

In caso di dubbio

Non aprire il link. Vai direttamente sul sito interessato digitando l'indirizzo nel browser o utilizzando un preferito salvato.

2. Precauzioni con gli allegati

Ti aspetti l'allegato?

Se non ti aspettavi di ricevere un documento da questo mittente, sii estremamente prudente.

Fai attenzione ai tipi di file sospetti

Sii molto vigile con i file eseguibili (.exe), gli archivi (.zip, .rar), o i documenti Office (.doc, .docx, .xls, .xlsx, .ppt, .pptx) se provengono da una fonte inattesa, soprattutto se chiedono di attivare le macro.

Analizza il contesto

Il contenuto dell'email giustifica la presenza di un allegato? Il nome del file è logico?

In caso di dubbio

Non scaricare e non aprire l'allegato. Contatta il mittente con un altro mezzo (telefono, nuova email digitata manualmente) per confermare l'invio.

La tua vigilanza è la tua migliore protezione contro gli attacchi informatici.

Il Phishing si Evolve: Conosci le Diverse Forme

1. Alcune forme comuni di Phishing

Spear Phishing

Attacco molto mirato che punta a una persona o a un piccolo gruppo all'interno dell'azienda. L'email è molto personalizzata e utilizza informazioni specifiche sul bersaglio per sembrare legittima.

Whaling

Mira specificamente ai dirigenti di alto livello o a persone con accesso privilegiato a informazioni finanziarie o sensibili.

Smishing

Phishing realizzato tramite SMS. Il messaggio contiene un link dannoso o chiede di richiamare un numero fraudolento.

Vishing

Phishing tramite chiamata telefonica (Voice Phishing). Il truffatore si finge un interlocutore di fiducia (banca, supporto tecnico, amministrazione) per estorcerti informazioni.

Pharming

Tecnica che reindirizza il traffico di un sito web legittimo verso un sito falso senza che la vittima clicchi su un link, spesso tramite la modifica di file di sistema sul computer.

Business Email Compromise (BEC)

Frode del CEO o frode del fornitore. L'aggressore si finge un dirigente o un partner commerciale per ordinare un bonifico urgente.

Rimani informato/a sulle nuove tattiche per sventarle meglio.

Checklist: Come verificare se un'email è legittima?

1. Alcune forme comuni di Phishing

Mittente

Controlla l'indirizzo email completo. È l'indirizzo ufficiale dell'organizzazione o ci sono sottili variazioni?

Ortografia e Grammatica

L'email contiene errori di ortografia, di grammatica o frasi strane?

Formula di saluto

È impersonale ("Gentile cliente", "Ciao utente") o usa il tuo nome?

Destinazione del link

Passa il mouse sul link (senza cliccare!) per vedere l'URL reale. Corrisponde al sito ufficiale previsto?

Allegati

Ti aspetti questo allegato? Il tipo di file è sospetto?

Urgenza o Minaccia

Il messaggio crea un senso di urgenza o contiene minacce per spingerti ad agire in fretta?

Richiesta insolita

La richiesta (bonifico, informazione, azione...) è strana o inaspettata in questo contesto?

Richiesta di dati sensibili

L'email ti chiede la password, le coordinate bancarie o altre informazioni confidenziali?

Verifica esterna

In caso di dubbio, verifica l'informazione contattando l'organizzazione direttamente tramite il loro sito ufficiale o per telefono (non rispondere all'email sospetta).

Segnalazione

Se l'email ti sembra sospetta, segnalala al tuo reparto IT.

Applicando queste verifiche, aumenterai notevolmente la tua capacità di identificare i tentativi di phishing.

Incidente di Phishing in Azienda: La Reazione Giusta

1. I passaggi da seguire IMMEDIATAMENTE

Non farti prendere dal panico, ma agisci in fretta

Il tempo è un fattore chiave per limitare i danni.

Segnala l'incidente SENZA RITARDO

  • Informa immediatamente il tuo superiore gerarchico.
  • Contatta il reparto IT o il responsabile della sicurezza (CISO) dell'azienda. Utilizza i canali di comunicazione ufficiali (telefono, strumento di segnalazione interno) e non l'email potenzialmente compromessa.
  • Descrivi precisamente cosa è successo (clic, apertura di allegato, informazioni inserite, ecc.).

Isola il tuo dispositivo

Scollegati dalla rete aziendale (scollega il cavo Ethernet, disattiva il Wi-Fi). Non spegnere il computer a meno che non ti venga detto dall'IT, poiché ciò potrebbe impedire la raccolta di prove.

Non eliminare nulla

Non eliminare l'email sospetta o i file potenzialmente scaricati. Sono importanti per l'analisi dell'incidente.

Cambia le tue password

Se hai inserito la password della tua sessione o qualsiasi altra password professionale, cambiala immediatamente. Idealmente, fallo da un altro dispositivo sicuro se possibile.

Sii pronto/a a cooperare

Il messaggio crea un senso di urgenza o contiene minacce per spingerti ad agire in fretta?

Richiesta insolita

Il team IT avrà bisogno della tua collaborazione per investigare e pulire i sistemi se necessario.

2. Perché segnalare è essenziale

Identificazione

Consente di identificare e bloccare rapidamente la minaccia per proteggere gli altri dipendenti.

Propagazione

Limita la diffusione di eventuali malware sulla rete aziendale.

Aiutare

Aiuta il team di sicurezza a comprendere le tattiche utilizzate e a rafforzare le difese.

La tua onestà e la tua reattività sono essenziali per la sicurezza collettiva.

La Tua Linea di Difesa: Password Forti e MFA

1. Password Forti

Lunghezza

Una password dovrebbe idealmente contenere almeno 12 caratteri.

Complessità

Mescola maiuscole, minuscole, numeri e caratteri speciali (!@#$%^&*).

Unicità

NON usare MAI la stessa password per account diversi, soprattutto professionali e personali.

Evita informazioni personali

Non usare il tuo nome, data di nascita, nome di un parente, nome di un animale domestico...

Usa una passphrase

Una frase facile da ricordare per te ma difficile da indovinare (Es: "IlMioGattoAmaLeCrocchetteBlu!7").

Considera un gestore di password

Uno strumento sicuro per generare e memorizzare le tue password complesse.

2. Autenticazione a Più Fattori (MFA)

Cos'è?

L'MFA richiede almeno due prove della tua identità per accedere (qualcosa che sai - password, qualcosa che hai - telefono/token, qualcosa che sei - impronta digitale/riconoscimento facciale).

Perché è cruciale?

Anche se un truffatore ottiene la tua password (ad esempio tramite phishing), non potrà accedere senza il secondo fattore di autenticazione.

Attivala ovunque

Attiva l'MFA su tutti i tuoi account professionali e personali che la offrono (email, VPN, app, banche, social network...).

Password forti + MFA = Una sicurezza notevolmente rafforzata.

Attenzione alle Tattiche di Phishing: Urgenza e Pressione

1. Come riconoscere questa tattica

Scadenze molto brevi

"Hai 24 ore per rispondere", "Il tuo account verrà eliminato a breve se non agisci".

Minacce

"Il tuo account è stato compromesso", "Rischi una multa", "La tua consegna non potrà essere effettuata".

Richieste insolite e urgenti

Un superiore che chiede un bonifico bancario urgente via email, una richiesta immediata di una carta regalo, ecc.

Tono allarmistico

Uso di maiuscole, punti esclamativi eccessivi, formulazioni drammatiche.

2. Come reagire all'urgenza

Prenditi il tuo tempo

Un'email importante generalmente non richiede un'azione immediata sotto pena di conseguenze disastrose. Respira e analizza con calma il messaggio.

Non cliccare

Evita di cliccare sui link o di aprire gli allegati se senti pressione.

Verifica tramite un altro canale

Se il messaggio afferma di provenire da una persona o da un'organizzazione che conosci, contattali direttamente tramite un mezzo abituale (telefono, app ufficiale, sito web) per verificare l'informazione. NON usare i recapiti forniti nell'email sospetta.

Parlaci

Se hai dubbi su un'email, parlane con un collega o contatta il tuo reparto IT prima di agire.

Non lasciare che la pressione ti faccia commettere un errore. La verifica è la chiave.

Forma i tuoi team

Forma i tuoi team con PhishTrainer.

Con PhishTrainer, trasforma i tuoi collaboratori nella prima linea di difesa contro il phishing. Simula, sensibilizza e proteggi la tua azienda in modo duraturo grazie a campagne di phishing realistiche e coinvolgenti.

Vedi la dimostrazione

ContattaCi

Tratteremo le tue informazioni personali in conformità con la nostra politica sulla privacy.

Grazie, il tuo messaggio è stato inviato con successo.
Errore! Il messaggio non ha potuto essere inviato.