Il phishing diventa più furtivo: 4 modi per difendere il tuo marchio

Pubblicato: 2023-02-06

Solo pochi anni fa era facile individuare il phishing. Se un'e-mail o un messaggio di testo sembrava provenire da un marchio reale, ma conteneva errori di ortografia, grammatica scorretta o loghi sfocati, potresti scommettere che qualcuno stava cercando di indurti a fare clic su un collegamento come parte di una campagna per rubare i tuoi dati, denaro , o identità.

Oggi, però, individuare comunicazioni illegittime non è così facile. La maggior parte dei criminali informatici è molto più brava a camuffare la propria identità grazie a potenti strumenti di hacking a basso costo o kit di phishing-as-a-service sul dark web. Questi strumenti, molti dei quali utilizzano l'intelligenza artificiale, possono rendere professionali le comunicazioni anche del truffatore più analfabeta.

Inoltre, con i rapidi progressi di ChatGPT di Open AI, un programma di chatbot AI gratuito creato con funzionalità di elaborazione del linguaggio naturale (NLP), gli hacker ora hanno un modo più veloce, migliore ed economico per creare comunicazioni che imitano la personalità o il tono di un marchio.

Con tutte queste innovazioni, non c'è da meravigliarsi che gli hacker siano stati in grado di lanciare 255 milioni di attacchi di phishing nel 2022, con un aumento del 61% rispetto all'anno precedente.

Gli osservatori affermano che se questa tendenza persiste, il che è probabile, potrebbe portare i consumatori a ignorare le comunicazioni di marketing più legittime.

Perché la sicurezza dei dati è fondamentale per il futuro della CX

data_security_cx.jpg Nessuna tecnologia può superare il fatto che l'esperienza del cliente è uno sforzo umano. Scopri perché la sicurezza dei dati è fondamentale per il futuro della CX.

Finito il phishing: i 10 marchi più contraffatti

Tutti i marchi sono a rischio di falsificazione, ma i truffatori spesso prendono di mira grandi aziende tecnologiche, spedizionieri e reti di social media.

Ecco i primi 10 marchi più imitati nel quarto trimestre del 2022, classificati in base al loro aspetto generale nei tentativi di phishing del marchio, secondo Check Point Software:

  1. Yahoo (20%)
  2. DHL (16%)
  3. Microsoft (11%)
  4. Google (5,8%)
  5. Linkedin (5,7%)
  6. Trasferiamo (5,3%)
  7. Netflix (4,4%)
  8. Fedex (2,5%)
  9. HSBC (2,3%)
  10. Whatsapp (2,2%)

4 modi per proteggere il tuo marchio

Il phishing rappresenta un enorme rischio per i marchi, il loro marketing e la loro reputazione.

"Tutte queste attività di phishing possono minare il valore del marchio perché quando escono quelle e-mail e i consumatori non sanno se sono valide o meno, a volte associamo erroneamente le nostre esperienze negative con l'azienda che viene impersonata", afferma Frank Dickson, un analista del settore della sicurezza informatica con IDC.

"Ma la verità è che anche le grandi aziende come Microsoft o Google possono fare solo così tanto per contrastare il phishing in modo significativo".

Quindi, se il phishing è così difficile da battere, cosa puoi fare per ridurre al minimo il suo effetto sul tuo buon marchio? Ecco alcuni suggerimenti degli esperti del settore:
  1. Adotta i protocolli di sicurezza della posta elettronica
  2. Padroneggia i tuoi domini
  3. Difendi i tuoi canali di social media
  4. Educa i tuoi clienti

Con violazioni dei dati ovunque, la gestione dei dati dei clienti diventa cruciale

Immagine di un collage di diverse fonti di identificazione del cliente: documento d'identità, carta di credito, smartphone, rilevamento della posizione. Best practice per la gestione dei dati dei clienti Le best practice per la gestione dei dati dei clienti consentono alle aziende di rafforzare il proprio impegno verso relazioni positive. Il potenziale di crescita, nel commercio e nella fiducia, è enorme.

Contrasta la minaccia con la sicurezza della posta elettronica

Sebbene il phishing sia difficile da sconfiggere, le organizzazioni possono almeno rallentarne l'avanzata implementando protocolli di sicurezza chiave a livello di server di posta elettronica.

Ce ne sono tre che le aziende tendono a utilizzare in tandem tra loro:

  • Domain-based Message Authentication , Reporting and Conformance (DMARC) è un sistema di convalida della posta elettronica progettato per proteggere il dominio di posta elettronica della tua azienda dall'uso per spoofing, truffe di phishing e altri crimini informatici. DMARC utilizza tecniche di autenticazione della posta elettronica come Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM).
  • Sender Policy Framework (SPF) è una tecnica di autenticazione della posta elettronica per impedire agli spammer di inviare messaggi per conto del tuo dominio. Ciò ti dà la possibilità di specificare quali server di posta elettronica sono autorizzati a inviare e-mail per conto del tuo dominio.
  • DomainKeys Identified Mail (DKIM) è una tecnica di autenticazione della posta elettronica basata sulla firma che prevede una firma digitale che consente al destinatario di verificare che un'e-mail sia stata inviata e autorizzata dal proprietario di quel dominio.

Prima di questi standard, gli hacker potevano essenzialmente inviare e-mail con gli stessi identici domini dei marchi stessi, afferma Roger Grimes, difensore della difesa per KnowBe4, una piattaforma di formazione sulla consapevolezza della sicurezza. Utilizzando questi protocolli per autenticare le e-mail prima che possano essere consegnate, molte grandi aziende lo hanno bloccato.

"Gli standard hanno avuto un tale successo che i phisher hanno quasi abbandonato l'utilizzo di domini di marchi reali e legittimi", afferma Grimes.

Questi non sono i file di dati che stai cercando: Sicurezza informatica in questa galassia

data_files.jpg I ribelli hanno violato la Morte Nera. La tua organizzazione è la prossima? La protezione dei dati dei clienti è fondamentale. Leggi le misure di sicurezza informatica che devi adottare ora.

Padroneggia i tuoi domini per sconfiggere le forze oscure

Con i protocolli di sicurezza della posta elettronica che svolgono un ottimo lavoro nel reprimere una linea di attacchi, gli hacker sono passati alla creazione dei propri domini. Probabilmente li hai visti. Spesso assomigliano molto alla realtà, ma si discostano leggermente, facendo scivolare un numero, una lettera o un simbolo in punti non ovvi.

La maggior parte degli hacker non si preoccupa di farlo manualmente perché ci sono numerosi strumenti che consentono loro di creare dozzine o addirittura centinaia di false derivazioni. Ed è quasi impossibile trovarli tutti dopo che sono stati generati, dice Grimes.

Una soluzione tecnologica consiste nell'implementare uno strumento automatizzato per l'identificazione di domini simili associati al dominio aziendale, afferma Dickson di IDC. Questi cercheranno fondamentalmente sia il Web pubblicamente esposto che il Dark Web e i siti Web profondi per vedere chi potrebbe falsificare il tuo marchio.

Un'ulteriore considerazione per diventare il padrone del tuo dominio è abbonarsi a un servizio di reputazione. Questi in genere comportano anche uno strumento di ricerca per vedere chi, se qualcuno, si finge te.

Ma possono anche avere centinaia di persone che svolgono la ricerca e servizi di supporto, come lavorare con le forze dell'ordine per rimuovere domini illegali, afferma Tony Sabaj, un portavoce di Check Point.

Pubbliche relazioni per Internet: gestione della reputazione online

Immagine delle icone del megafono e della posta elettronica, che rappresentano la gestione della reputazione online La gestione della reputazione online significa monitorare e impegnarsi in attività online per comprendere e migliorare l'impressione pubblica di un'azienda. In altre parole, pubbliche relazioni per Internet.

Aumenta la sicurezza dei social media

I marchi devono anche proteggere i loro canali di social media dagli attacchi. Se compromessi, questi canali possono quindi diventare strumenti per lanciare attacchi di phishing, afferma Grimes.

"È molto comune per un hacker irrompere in un'azienda, cercare nelle caselle di posta in arrivo dei conti fornitori e dei conti clienti, quindi inviare fatture false e modifiche alle informazioni bancarie alle persone", afferma, riferendosi alla compromissione della posta elettronica aziendale.

"Potrebbero dire qualcosa del tipo 'ehi, vogliamo solo farti sapere che stiamo passando a una nuova banca e che dovresti inviare i tuoi pagamenti a questa nuova banca e numero di conto'".

Crescita del commercio sociale: una questione di fiducia

FCEE_Social_Commerce_1200x375 Si prevede che gli acquisti sulle piattaforme dei social media aumenteranno tre volte più velocemente rispetto all'e-commerce tradizionale, ma i marchi devono costruire la fiducia dei clienti per aumentare l'adozione.

Educa i tuoi clienti (e chiunque ascolterà)

Una delle cose più importanti che un'azienda può fare per proteggere il proprio marchio è informare i clienti sulla minaccia rappresentata dagli attacchi di phishing e su cosa possono fare al riguardo.

Informali sulle attuali tendenze del phishing, ad esempio gli hacker che inviano e-mail indesiderate dicendo di aver vinto qualcosa o che una spedizione di qualcosa che non hanno mai ordinato è stata ritardata o che il loro account è stato rilevato e richiede supporto tecnico.

Inoltre, aggiorna regolarmente i clienti su come stai lavorando in modo proattivo per combattere il phishing. Infine, cogli ogni opportunità per ricordare ai clienti che devono svolgere un ruolo nella protezione di se stessi.

Offri suggerimenti di buon senso come:

  • Sospettare comunicazioni digitali con nomi di dominio, caratteri, errori di ortografia, grammatica o immagini strani . Questi "tell" non sono così comuni come una volta, ma esistono ancora.
  • Cerca discrepanze tra presunti mittenti, indirizzi e-mail, righe dell'oggetto e il messaggio stesso. Ad esempio, di recente ho ricevuto un'e-mail mal realizzata che presumibilmente proveniva da Lowe che affermava di aver vinto un Dewalt Heater. L'indirizzo email del mittente non includeva il nome del negozio di ferramenta. Il corpo del messaggio era sormontato da un logo di EA, la società di videogiochi. E invece di dirmi come ottenere il mio riscaldatore, ha detto che avevo chiesto di cambiare la password e che avrei potuto fare clic su un collegamento per farlo accadere.
  • Sii scettico nei confronti delle comunicazioni che sembrano provenire dal nulla o che ti chiedono di fare qualcosa che non hai mai fatto prima con il presunto mittente, come condividere informazioni finanziarie o di identificazione personale (PII).
  • Non fare mai clic sui collegamenti di persone che non conosci o di cui non ti fidi, soprattutto se ti chiedono di scegliere una nuova password.
  • Inoltre, fai attenzione ai possibili video deepfake , che vengono utilizzati per il phishing. Sebbene stiano diventando più intelligenti, di solito puoi individuarli cercando distorsioni visive come movimenti insoliti della testa o del busto e problemi di sincronizzazione tra viso, labbra e audio, scrive Stu Sjouwerman, fondatore e CEO, KnowBe4.

Missione critica: perché i CMO si stanno concentrando sulla protezione dei dati dei clienti

CMOs_are_focusing_on_protecting_customer_data_FTR.jpg Nella corsa alla conformità, la fiducia dei clienti è il traguardo. Una violazione dei dati può comportare perdite massicce, quindi i CMO si stanno concentrando sulla protezione dei dati dei clienti.

Una battaglia senza fine

Alla fine, le aziende dovrebbero affrontare il fatto che combattere i phisher è una battaglia avanti e indietro. Per ogni contromisura lanciata dai marchi, i criminali informatici troveranno un altro vettore di attacco, motivo per cui rimanere attenti alle mutevoli minacce e concentrarsi su persone, processi e tecnologia è così fondamentale.

"Sicuramente è un gioco del gatto e del topo", afferma Sabaj di Check Point. "Ma ci sono molte cose che le organizzazioni possono fare per prevenire il phishing e ne hanno bisogno per proteggere il valore del loro marchio".

Vuoi perdere clienti a un ritmo incredibile?
 Non rispettare la privacy dei loro dati.
 Invece, guadagna fiducia + lealtà
 con una grande strategia di dati .