Qualche anno fa gli hacker inviavano email facilmente riconoscibili per gli errori grammaticali e per delle richieste che apparivano assurde; oggi le email truffa sono più sofisticate, non si riconoscono più per gli errori grammaticali e si focalizzano su richieste di denaro con importi minimi , e soprattutto si è passati dal “Phishing” al “Whaling”.
Il “Phishing” è una tecnica mediante la quale un utente, ricevendo una e-mail apparentemente legittima è indotto a fornire informazioni personali e riservate e sono indirizzate ad un numero enorme di destinatari, con la speranza degli attaccanti che qualcuno “abbocchi”.
Lo Spear Phishing è una tecnica di campagne mirata su uno specifico target: gli attaccanti raccolgono informazioni sulla vittima con tecniche di Social Engineering mirate a colpire uno specifico bersaglio (spesso in casi di spear phishing il criminale è una persona vicina alla vittima o un dipendente della stessa azienda o un ex dipendente).
Il “Whaling”, a differenza dei classici attacchi, prende di mira uno specifico soggetto che all’interno di una determinata organizzazione ha un ruolo ai vertici, ad esempio un CEO o un CFO, e una volta sottratte le credenziali personali gli vengono inviate mail con lo scopo di indurlo ad effettuare trasferimenti di denaro verso le organizzazioni criminali.
Per difendersi da tutto ciò la tecnologia non basta, occorre mettere in grado gli utenti di riconoscere quando una mail è malevola, attraverso un corretto percorso di Security Awareness che preveda, oltre alla tecnologia, analisi, formazione e monitoraggio alza notevolmente il grado di protezione di una Azienda.