Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

Non solo phishing

Più education in ambito cyber: la formazione rende sicura la navigazione web

Crescono il livello di sofisticazione degli attacchi e la tendenza degli utenti a sottovalutare le minacce pur essendone consci. Bisogna educare alla navigazione web sicura

Pubblicato il 30 Ago 2023

Mirella Castigli

Giornalista

Più education in ambito cyber: la formazione rende sicura navigazione web

Mentre le cyber minacce diventano più subdole e capaci di eludere le difese, occorre educare alla navigazione web sicura.

“Dal rapporto di Proofpoint emergono due aspetti preoccupanti”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “il crescente livello di sofisticazione degli attacchi e la tendenza degli utenti a sottovalutare le minacce pur essendone consapevoli“.

Dunque, la consapevolezza non manca, ma serve maggiore formazione.

Navigazione web sicura: le lacune dei lavoratori

Secondo il report State of the Phish 2023 condotto da Proofpoint, che mette sotto la lente lo scenario delle minacce del 2022, è altissima la percentuale dei lavoratori ha compiuto almeno un’azione a rischio.

“Preoccupa infatti l’impatto soprattutto nel contesto aziendale, con oltre un terzo dei lavoratori che ha compiuto almeno un’azione rischiosa, come cliccare su un link malevolo“, avverte Paganini: “Questi comportamenti sono la causa della quasi totalità del successo degli attacchi di cui abbiamo notizia. Aprire un allegato apparentemente innocuo o cliccare su un link in una mail sono azioni che possono dare il via ad un processo di infezione e conseguentemente compromissione dei nostri sistemi”.

Inoltre, “dal rapporto emerge che ancora troppi lavoratori non conoscono i fondamentali di cyber security né le metodiche di attacco. Oltre il 60% dei lavoratori non sa che il testo del link di una mail potrebbe non corrispondere al sito web su cui atterra, e questo è decisamente imbarazzante quanto pericoloso”.

“Proprio le operazioni di routine“, mette in guardia l’esperto di cyber sicurezza, “quelle che quotidianamente si compiono al lavoro o a casa, sono quelle prese di mira dagli attaccanti“.

Il phishing mina la navigazione web sicura

Alcune lacune di conoscenza risultano allarmanti. La ricerca dimostra che l’84% delle aziende ha subito un attacco di phishing nel 2022, nella maggior parte dei casi in seguito a click avventati su elementi pericolosi, da parte di utenti distratti o inconsapevoli.

“Nel compiere tali operazioni online”, continua Paganini, “la maggior parte di utenti abbassa la guardia a causa di un errato senso di sicurezza dovuto alla ripetitività di operazioni come pagamenti o accessi a servizi online. Nel compiere tali operazioni online, la maggior parte di utenti abbassa la guardia a causa di un errato senso di sicurezza dovuto alla ripetitività di operazioni come pagamenti o accessi a servizi online”.

Le persone rappresentano la prima linea di cyber difesa aziendale, proprio perché passano molto tempo sul web. Ma le minacce sono sempre più sofisticate: si spazia dai chatbot alimentati dalla IA come ChatGPT al phishing Multi-Factor Authentication (MFA), fino ad attacchi Browser-in-the-Browser (BitB).

Ecco i pericoli più insidiosi.

Chatbot AI

Le chatbot basate su intelligenza artificiale (AI) sono popolari, da ChatGPT a Microsoft Bing, fino a Google Bard. Gli utenti potrebbero digitare informazioni personali nel browser, per rispondere a una chatbot AI. Ma, come con le iniezioni bancarie, ogni trasmissione di dati sensibili potrebbe finire nel mirino di attaccanti. Le chatbot raccolgono i dati per migliorare le loro prestazioni e personalizzare le interazioni, sollevando anche problemi di privacy riguardo alle informazioni di identificazione personale (PII). Se l’archiviazione dei dati non avviene in modo sicuro o crittografata adeguatamente, accessi non autorizzati potrebbero causare furti di identità o violazioni.

Le tecniche di phishing MFA

Inoltre le tecniche di phishing MFA “man-in-the- middle” stanno evolvendo per rubare i token MFA. Una volta indotta ad accedere a pagine contraffatte con reverse proxy per visualizzare l’interfaccia di login di un servizio legittimo, la vittima crede che l’accesso sia normale, ma il reverse proxy intercetta e ruba il token appena l’utente digita il codice MFA e le altre credenziali. A questo punto l’aggressore è in grado di aggirare il livello di sicurezza MFA, entrando nell’account con la possibilità di accedere a dati sensibili, informazioni personali e finanziarie, rubare l’identità o utilizzare l’account per accedere ad altri sistemi e dati privati.

Attacchi browser-in-the-browser (BitB)

Gli attacchi browser-in-the-browser (BitB) infine sono una subdola forma avanzata di phishing delle credenziali. La tecnica coinvolge una pagina di phishing convincente e una finta finestra pop-up di Single Sign On (SSO), che appare quando la vittima desidera di accedere a un servizio con le credenziali di siti affidabili come Google, Apple o Twitter. Il falso login SSO sfrutta una modifican del codice del sito web di phishing per introdurre un’altra pagina web separata e incorporata in quella malevola. Se l’utente immette le proprie credenziali per il sito legittimo, l’aggressore le raccoglie, guadagnando l’accesso a un componente chiave dell’identità digitale della vittima.

Come mitigare i rischi cyber

Per proteggere la propria navigazione web sicura, bisogna prestare attenzione ad elementi insoliti:

  1. popup che si travestono da messaggi del browser, ma chiedono di installare o aggiornare un software;
  2. download gratuiti (film, musica o video) che celano software malevolo;
  3. offerte allettanti gratuite con richiesta di informazioni personali in cambio di un omaggio;
  4. la presenza di brand noti che creano le’effetto di un falso senso di sicurezza: il nome è riconoscibile, ma se le immagini non sembrano legittime, è meglio diffidare;
  5. il nome del dominio principale del sito appare corretto (ad esempio “microsoft.com”), ma il resto dell’URL presenta parole o ortografia insolite;
  6. URL che si trovano nei risultati di ricerca ma non sono link legittimi;
  7. altri URL abbreviati da servizi come Bitly e TinyURL in grado di mascherare la vera identità di un link;
  8. messaggi di avviso del browser che segnalano che un sito è insicuro o non può essere autenticato;
  9. opzioni del browser sospette dove è assente il certificato di sicurezza;
  10. un sito che chiede di inserire informazioni sensibili o finanziarie.

Il Cybersecurity Awareness Month, che ogni anno cade ad ottobre, è una buona iniziativa. Ma non basta.

“È cruciale investire in formazione per innalzare il livello di sicurezza e resilienza delle nostre imprese”, conclude Paganini: “Grazie alla formazione possiamo essere preparati a rispondere ai crescenti attacchi di ingegneria sociale, seppur concepiti con il supporto di una intelligenza artificiale generativa”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • I tool per il data masking, oltre ad avere uno scopo per la compliance, riducono i rischi di data leaking

  • soluzioni aziendali

    Cos’è il data masking e quali strumenti si possono usare

    30 Lug 2025

    di Giuditta Mosca

    Condividi
  • Come attivare l'autenticazione a 2 fattori e come l'2FA protegge gli account

  • la guida

    Autenticazione a due fattori: quando attivarla e come protegge i nostri account

    13 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi
  • L'FBI ha diramato un comunicato per avvertire sui rischi delle IA generative per la cyber security

  • deepfake

    L'FBI invita ad alzare la guardia contro le frodi fatte con le IA: ecco come difendersi

    11 Dic 2024

    di Giuditta Mosca

    Condividi
  • Le migliori VPN per Windows

  • LA GUIDA

    Privacy online a rischio? Le migliori VPN per Windows

    16 Set 2025

    di redazione affiliazioni Nextwork360

    Condividi