1. Cybersecurity: il “phishing”.
Il “phishing” è una particolare tipologia di truffa informatica, realizzata sulla rete Internet attraverso
l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica illusori.
Tali messaggi, solo in apparenza provenienti da fonti attendibili (vertici aziendali, colleghi, fornitori,
clienti, istituti bancari, ecc...), contengono spesso collegamenti a siti internet fittizi o allegati infetti
da virus (c.d. ransomware).
La finalità è quella di sottrarre dati sensibili all’azienda (password, chiavi di accesso, riferimenti
bancari,ecc...) per utilizzarli a scopo fraudolento e/o indurre l’utente a compiere azioni
potenzialmente dannose quali ad esempio: effettuare e/o autorizzare pagamenti, cambiare le
coordinate bancarie di un fornitore, ecc...
Le tecniche di “phishing”, si stanno evolvendo e affinando molto velocemente, con messaggi sempre
più curati e convincenti, poiché indirizzati a persone ben identificate all’interno della Struttura
Organizzativa Aziendale, di cui l’hacker si è preventivamente procurato informazioni personali e/o
riguardanti l’attività lavorativa (ad esempio tramite i social media).
Come difendersi dal phishing ?
1. Rifiutarsi di eseguire, in qualsiasi caso, l’esecuzione di operazioni in aperta violazione delle
leggi vigenti, delle Procedure e dei Regolamenti Aziendali interni (es. Codice Etico),
rivolgendosi al proprio Responsabile o all’ufficio del Personale.
2. Verificare, tramite contatto diretto con il mittente o da altra fonte attendibile, la veridicità dei
messaggi ricevuti. che richiedano lo svolgimento di attività “a rischio”quali:
a) condivisioni di dati sensibili;
b) registrazione a siti internet e/o download di allegati;
c) effettuazione/autorizzazione di pagamenti,
d) variazione delle coordinate bancarie di un fornitore, ecc...
3. Controllare sempre che i collegamenti a siti Internet contenuti nel testo del messaggio siano
effettivamente quelli dichiarati nel messaggio. Suggerimento: in Lotus Notes, passando il
puntatore del mouse sopra i link ad Internet (senza cliccare), si visualizza nella barra grigia in
fondo allo schermo il vero indirizzo a cui punta il collegamento: se il vero indirizo è differente
da quello riportato nel testo allora è alta la probabilità di collegamento ad un sito infetto;
4. Rifiutare sempre di fornire qualsiasi tipologia di informazione sensibile (password, chiavi di
accesso, dati bancari, ecc...) tramite email;
5. In caso di dubbio, prima di aprire una email sospetta, contattare l’HelpDesk IT.