Il phishing è una tecnica in cui attori malintenzionati si spacciano per marchi affidabili, incluso il tuo, per ingannare le persone e farle condividere informazioni sensibili come password, dettagli di pagamento o credenziali di account.
Poiché i clienti di Duda creano e gestiscono siti web per i propri clienti, gli attacchi di phishing nell'ecosistema di Duda possono colpire più livelli: direttamente tu o i tuoi clienti tramite l'impersonificazione della tua azienda. Questa guida fornisce passaggi pratici per proteggere sia il tuo account Duda che i tuoi clienti.
I sistemi di Duda non sono stati compromessi. Queste campagne di phishing sono condotte da attori esterni che utilizzano informazioni aziendali pubbliche per impersonare i clienti di Duda. Questa guida è fornita solo a scopo informativo e non costituisce un'assunzione di responsabilità o responsabilità da parte di Duda.
-
Duda non chiederà mai la password del tuo account via email, telefono o chat.
-
Duda non richiederà mai informazioni di pagamento tramite link via email.
-
Duda non contatterà mai te o i tuoi clienti tramite i moduli del tuo sito o il toolCRM.
Se ricevi un messaggio che fa una delle due cose, non viene da Duda.
-
Controlla l'indirizzo email del mittente. Cerca errori di ortografia, caratteri extra o domini che imitano indirizzi legittimi (ad esempio,
support@dudda.coinvece di@duda.co). -
Fai attenzione all'urgenza o alle minacce. Messaggi che ti spingono ad "agire immediatamente" o che avvertono di sospensione dell'account sono tattiche comuni.
-
hover prima che tu clicchi. Anteprima le destinazioni dei link senza cliccare — se l'URL non punta a un dominio che riconosci, non cliccarci.
-
Verifica in modo indipendente. Se un messaggio dice di provenire da Duda, accedi direttamente al tuo account Duda (non tramite email) per confermare.
-
Usa SSO se disponibile per centralizzare la gestione degli accessi e far rispettare le politiche di sicurezza della tua organizzazione.
-
Al minimo, abilita l'autenticazione a due fattori (2FA) sul tuo account Duda e su tutti i servizi associati — email, registrar di dominio, hosting e fornitori di pagamento.
-
Usa password forti e uniche per ogni servizio. Cambiali immediatamente se sospetti che possano essere compromessi.
-
Audita regolarmente i permessi degli utenti e rimuovi l'accesso a chiunque non ne abbia più bisogno.
L'autenticazione email correttamente configurata è uno dei modi più efficaci per impedire agli attaccanti di inviare email che sembrano provenire dal tuo dominio:
-
SPF (Sender Policy Framework) — specifica quali server di posta sono autorizzati a inviare email per il tuo dominio.
-
DKIM (DomainKeys Identified Mail) — firma crittograficamente le email in uscita affinché i destinatari possano verificare che provengono davvero dal tuo dominio.
-
DMARC (Autenticazione, Reportistica e Messaggi Basati sul Dominio; Conformità) — istruisce i server di posta riceventi su come gestire i messaggi che non superano i controlli SPF/DKIM e ti offre visibilità sui mittenti non autorizzati.
Rivedi regolarmente i tuoi report DMARC per rilevare l'uso non autorizzato del tuo dominio.
-
Mantieni aggiornati sistemi operativi, browser e plugin.
-
Usa software antivirus / di protezione endpoint affidabili.
-
Abilita la crittografia del disco su tutti i dispositivi utilizzati per gestire i siti dei client.
-
Limita le estensioni browser a quelle affidabili e necessarie — le estensioni dannose sono un vettore comune di furto di credenziali.
Poiché gli attacchi di phishing possono colpire i tuoi clienti impersonando la tua azienda, ti consigliamo:
-
Dì ai tuoi clienti cosa farai e cosa non farai. Fai sapere che non chiederai mai password o informazioni di pagamento via email.
-
Incoraggia i clienti a verificare prima di agire. Se ricevono un'email inaspettata che sembra provenire dalla tua azienda, dovrebbero contattarti direttamente tramite un numero di telefono o un'email noto — non tramite i link presenti nel messaggio sospetto.
-
Chiedi ai clienti di inoltrarti email sospette così da poter valutare, segnalare e avvisare altri clienti se necessario.
-
Cambia immediatamente tutte le password degli account interessati.
-
Contatta il tuo registrar di dominio per garantire l'accesso al dominio e abilitare i blocchi a livello di registrar.
-
Esegui una scansione completa di malware o antivirus su qualsiasi dispositivo che possa aver interagito con il contenuto del phishing.
-
Avvisa i clienti interessati e consiglia loro di monitorare i conti e contattare le loro istituzioni finanziarie.
-
Segnala a Duda all'indirizzo [email/modulo dedicato al phishing] così possiamo tracciare la campagna e assistere.
-
Presenta una denuncia alle autorità competenti (ad esempio, FBI IC3 a ic3.gov, FTC a reportfraud.ftc.gov o equivalente locale).
Questa guida è fornita solo a scopo informativo come risorsa per i clienti di Duda. Non costituisce consulenza legale, di cybersicurezza o professionale. Duda non fa alcuna garanzia o dichiarazione riguardo alla completezza o all'efficacia di queste raccomandazioni e non si assume alcuna responsabilità o responsabilità per le azioni di attori minacciosi terzi o per eventuali perdite derivanti da campagne di phishing, accessi non autorizzati o altri incidenti di sicurezza.