What percentage of security incidents start with phishing?

Over 80% of reported security incidents begin with a phishing email. Attackers use spoofed sender addresses, urgency tactics, and convincing brand imitation to trick employees into clicking malicious links or entering credentials on fake login pages. Training employees to spot these red flags is one of the most effective defenses an organization can deploy.

How can you tell if an email is a phishing attempt?

Check the sender's actual email address, not just the display name. Hover over links to preview URLs before clicking. Look for urgency language like "your account will be locked" or "immediate action required." Watch for generic greetings, grammatical errors, and requests to bypass normal procedures. When in doubt, verify the request through a separate communication channel.

What should you do if you click a phishing link?

Disconnect from the network immediately and report the incident to your security team. Do not enter any credentials on the page. If you already submitted a password, change it on the real site from a clean device. Note the URL, the sender address, and the time of the click. These details help the incident response team assess the scope and block the threat.

Phishing

Spot a phishing email before you click.

Cos’è Phishing?

Il phishing e il vettore di attacco informatico piu comune, responsabile di oltre l'80% degli incidenti di sicurezza segnalati secondo molteplici rapporti di settore. In questa simulazione 3D interattiva, ricevi un'email sospetta che rispecchia fedelmente le campagne di phishing reali rivolte ai dipendenti aziendali. Il tuo compito e analizzare il messaggio, identificare i segnali d'allarme e decidere come rispondere prima che il danno sia fatto. Lo scenario ti guida attraverso l'anatomia di un'email di phishing in tempo reale. Esaminerai gli indirizzi dei mittenti alla ricerca di errori ortografici sottili, passerai il mouse sui link per rivelare URL che non corrispondono e puntano a pagine di raccolta credenziali, e valuterai le tattiche di pressione emotiva su cui gli attaccanti fanno affidamento per aggirare il tuo pensiero critico. L'email utilizza urgenza, segnali di autorita e branding familiare per far sembrare il messaggio legittimo. Oltre all'identificazione, questo esercizio ti forma sui protocolli di risposta corretti. Praticherai l'inoltro di messaggi sospetti al tuo team di sicurezza attraverso i canali di segnalazione ufficiali, imparerai perche cliccare su 'annulla iscrizione' in un'email di phishing conferma il tuo indirizzo all'attaccante, e comprenderai come le credenziali rubate si trasformano in acquisizioni complete dell'account e movimento laterale attraverso la rete della tua organizzazione. Ogni decisione che prendi nella simulazione innesca conseguenze realistiche che mostrano l'impatto a cascata di un singolo click sbagliato.

Cosa imparerai in Phishing

Identificare URL non corrispondenti, indirizzi mittente contraffatti e impersonazione di dominio nelle intestazioni email
Riconoscere le tattiche di manipolazione emotiva tra cui urgenza inventata, impersonazione di autorita e linguaggio basato sulla paura
Segnalare email sospette attraverso i canali di sicurezza designati dalla tua organizzazione senza interagire con il contenuto malevolo
Spiegare come una singola credenziale compromessa porta all'acquisizione dell'account, al movimento laterale e all'esfiltrazione dei dati
Distinguere tra comunicazioni aziendali legittime e tentativi di phishing progettati con ingegneria sociale utilizzando una checklist di verifica ripetibile

Phishing — Fasi della formazione

Introduzione

Oggi imparerai a conoscere gli attacchi di phishing e come proteggere te stesso e l'azienda da essi.
Notifica e-mail

Mentre lavora da casa, Alice riceve una nuova notifica via email intitolata 'Urgente: aggiorna la tua domanda di sicurezza'. Incuriosita, apre la sua casella di posta.
Leggere l'e-mail

Alice apre l'e-mail, che la invita ad aggiornare le sue domande di sicurezza tramite il portale dei dipendenti. Il tono professionale dell'e-mail e il senso di urgenza potrebbero costringerla ad agire rapidamente. Alice, fidandosi della fonte, decide di seguire le istruzioni contenute nell'e-mail.
Inserisci le credenziali

La pagina di accesso richiede il nome utente e la password aziendale di Alice per procedere con l'aggiornamento delle sue domande di sicurezza. La somiglianza della pagina con il portale legittimo dei dipendenti le consente di presumere facilmente che sia sicura, quindi Alice continua a inserire le sue credenziali senza pensarci due volte.
Messaggio di errore

Dopo aver effettuato l'accesso, il browser web ha visualizzato una finestra di errore invece della dashboard dell'account di Alice, cosa che ha lasciato Alice preoccupata.
Notifiche e-mail

Presto Alice riceve due nuove email e procede a leggerle.
Le azioni dannose di Bob

All'insaputa di Alice, Bob ottiene l'accesso alle sue credenziali. Utilizzando il suo account, esegue azioni dannose: accede al sistema finanziario dell'azienda e avvia una transazione fraudolenta, trasferendo $ 10.000 a un falso venditore, 'Shadow Corp.' Inoltre, scarica file sensibili, inclusi contratti di vendita e dettagli di pagamento, dall'account di Alice.
Segnala e-mail di phishing

Per mitigare il danno, Alice decide di seguire i passaggi proposti dall'e-mail del dipartimento IT. Innanzitutto, utilizza il suo client di posta per segnalare l'e-mail dannosa.
Accedi al portale web

Alice apre il browser Web e accede al portale di segnalazione degli incidenti di sicurezza interni dell'azienda: https://securetech.com/report-incident
Segnalazione dell'incidente

Dopo essere entrata con successo nel sistema di ticketing del supporto IT interno, Alice compila un modulo di ticket, descrivendo in dettaglio l'e-mail sospetta e la transazione non autorizzata.

Cos’è Phishing?

Cosa imparerai in Phishing

Phishing — Fasi della formazione

Introduzione

Notifica e-mail

Leggere l'e-mail

Inserisci le credenziali

Messaggio di errore

Notifiche e-mail

Le azioni dannose di Bob

Segnala e-mail di phishing

Accedi al portale web

Segnalazione dell'incidente