Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=email-impersonation-protection-settings

Protezione contro gli attacchi di imitazione

È possibile intercettare i messaggi di hacker che fingono di essere brand noti, persone molto importanti (VIP) dell’organizzazione, fornitori, clienti oppure organizzazioni partner. L’elenco di utenti VIP può essere gestito in Gestione VIP. Vedere Protezione contro gli attacchi di imitazione e Gestione VIP.

Imitazione di VIP

Quando si attiva l’opzione Imitazione di VIP, vengono rilevate le e-mail di cybercriminali che fingono di essere persone di alto profilo all’interno dell’organizzazione (VIP interni) o contatti esterni attendibili come fornitori, clienti o partner (VIP esterni).

Impostazione “Imitazione di VIP”.

L’Imitazione di VIP è in grado di rilevare le e-mail senza una corrispondenza esatta del nome.

Se si riscontra un falso positivo, è possibile inviare campioni di e-mail ai SophosLabs, a scopo di analisi. Per maggiori informazioni, vedere Invio ai SophosLabs di campioni di phishing, spam o e-mail segnalate come falsi positivi.

Per impostazione predefinita, il rilevamento utilizza una combinazione tra la corrispondenza dei nomi degli utenti VIP, il machine learning e l’euristica antiphishing. Di conseguenza, alcune e-mail potrebbero essere considerate pulite e venire recapitate, anche se il nome trova corrispondenza con uno degli utenti VIP. Se si attiva la Modalità aggressiva, le e-mail verranno rilevate esclusivamente in base alla corrispondenza con i nomi degli utenti VIP, incluse le variazioni parziali dei nomi, senza utilizzare machine learning o euristica.

È possibile configurare azioni per questa impostazione. Per impostazione predefinita, aggiungiamo un banner all’e-mail. Vedere Azioni.

Imitazione di brand

Quando si attiva l’opzione Imitazione di brand, vengono rilevate le e-mail che cercano di falsificare brand o domini che sono spesso oggetto di attacchi di imitazione. Questa impostazione consente di prevenire gli attacchi che sfruttano l’imitazione di organizzazioni molto note.

Impostazione “Imitazione di brand”.

È possibile configurare azioni per questa impostazione. Per impostazione predefinita, aggiungiamo un banner all’e-mail. Vedere Azioni.

Imitazione generale

Quando si attiva l’opzione Imitazione generale, vengono rilevate le e-mail che non trovano corrispondenza con nomi di utenti VIP o brand frequentemente imitati, ma che sono comunque considerate tentativi di imitazione in base all’analisi del machine learning e dell’euristica antiphishing.

Impostazione “Imitazione generale”.

È possibile configurare azioni per questa impostazione. Per impostazione predefinita, aggiungiamo un banner all’e-mail. Vedere Azioni.

Azioni

Quando vengono rilevati questi messaggi, è possibile selezionare le seguenti azioni da intraprendere:

  • Consegna: il messaggio verrà recapitato all’utente.

    Questa azione è disponibile solo per l’impostazione “Imitazione generale”.

  • Aggiungi banner: viene aggiunto un banner intelligente al messaggio, per aiutare gli utenti a decidere quale azione intraprendere sul messaggio. Vedere Aggiunta di un banner intelligente.

  • Quarantena: il messaggio verrà tenuto in quarantena. È possibile rilasciare i messaggi in quarantena, se si sa per certo che sono sicuri. Vedere Messaggi in quarantena.
  • Contrassegna riga oggetto: verrà applicato un tag al messaggio e il sistema procederà con il recapito del messaggio all'utente. Il tag viene visualizzato all’inizio della riga oggetto del messaggio. Il tag può essere personalizzato, utilizzando un massimo di 65 caratteri.
  • Elimina: il messaggio verrà eliminato immediatamente.

Aggiunta di un banner intelligente

Se si sceglie di aggiungere un banner intelligente ai messaggi sospetti, è possibile selezionare le azioni che vengono visualizzate dagli utenti nel banner intelligente. Scegliere tra le seguenti opzioni:

  • Blocca mittente: Se questa impostazione è attivata, gli utenti visualizzano Blocca mittente nel banner intelligente. Quando un utente clicca su Blocca mittente, si apre una nuova pagina che consente di aggiungere l’indirizzo e-mail del mittente all’elenco di blocco. Facoltativamente, gli utenti hanno anche l’opzione di segnalare il messaggio ai SophosLabs.
  • Segnala messaggi a Sophos: se questa impostazione è attivata, gli utenti vedono l’opzione Segnala nel banner intelligente. Quando un utente clicca su Segnala, si apre una nuova pagina che consente di segnalare messaggi ai SophosLabs. Questo ci aiuta a migliorare il rilevamento degli attacchi di imitazione.

Esempio di banner intelligente per un attacco di imitazione.

Nota

Per i messaggi in formato di testo normale, il banner intelligente viene visualizzato come testo all’inizio del corpo del messaggio e utilizza lo stesso contenuto che è stato impostato.

Quarantena per l’utente finale

Se si sceglie di collocare alcuni messaggi nella quarantena per l’utente finale, gli utenti saranno in grado di controllarli, rilasciarli o eliminarli. Vedere Quarantena per l’utente finale.