Cybersecurity | ISECUn cliente o un fornitore che ti chiedono via e-mail numeri di carte di credito, dati personali, password dei tuoi siti web o dei social media. Presta attenzione: anche se i messaggi sembrano provenire da un soggetto affidabile, la tua azienda potrebbe essere caduta vittima di un attacco di phishing.
Questa tipologia di attacco informatico è sempre più frequente, sia ai danni dei privati che delle organizzazioni. E se da un lato è aumentata la consapevolezza del rischio, dall’altra le tecniche degli attaccanti sono sempre più sofisticate.
Nel mondo aziendale, la grande lacuna è ancora la formazione mirata del personale: sviste, ingenuità e gap di competenze che possono mettere a repentaglio la salute del business.
Cos’è il phishing e quanto è rischioso per le aziende?
I tentativi di phishing hanno come obiettivo quello di ottenere dati sensibili: password, numero della carta di credito. Oppure, direttamente puntano a spingere la vittima a inviare denaro.
Questi attacchi sono noti da tempo e molto diffusi. Possono essere perpetrati attraverso la messaggistica sui social media, via sms, su Whatsapp o via e-mail. Chiaramente l’e-mail phishing è la tipologia di attacco più frequente e rischiosa in ambito aziendale.
Lo studio annuale commissionato da Proofpoint sullo “State of Phish”, ci dice che nel 2022 ben il 79% delle aziende italiane che hanno subito tentativi di phishing ha avuto almeno un caso di successo. Il 7% delle vittime ha avuto perdite finanziarie dirette.
Oltre le perdite finanziarie, possono esserci danni reputazionali per l’azienda e il suo management, oltre che rischi diretti per le persone. Infatti, il furto di dati personali può portare a truffe condotte con tecniche di ingegneria sociale: furti d’identità per perpetrare reati e crimini informatici.
Lo Spear Phishing
Un livello di allarme ulteriore proviene dallo spear phishing: sono attacchi mirati e personalizzati, che i truffatori mettono a segno dopo aver raccolto informazioni personali sulle vittime.
Queste informazioni sono presenti sul web e spesso sono ottenute in modo del tutto legale perché sono informazioni pubbliche: ruolo, azienda, interessi, indirizzo di casa ecc.
Questi dettagli sono specifici e reali e rendono più credibili le e-mail di phishing agli occhi della vittima. Le mail contengono per esempio link malevoli, allegati che installano malware e virus nel pc della vittima.
O, più semplicemente, il cyber criminale assume l’identità di un collega, di un cliente o di un fornitore e si inserisce nella conversazione, chiedendo alla vittima i propri dati sensibili o quelli dell’azienda.
Email phishing in azienda: se il punto debole è la formazione dei dipendenti
Di fronte a tipi di attacco sempre più sofisticati, la formazione dei dipendenti e la consapevolezza del rischio sono gli avamposti di prevenzione più efficaci. Eppure, dalle ricerche di ProofPoint emerge che il 95% di tutte le violazioni andate a buon fine è da ricondurre a un errore umano.
Se un dipendente non riconosce una mail di phishing, è più incline a cliccare su link, allegati e a fornire dati all’attaccante.
Come riconoscere una e-mail truffa
Molto spesso, le e-mail di truffa sono ben riconoscibili: portano a una pagina web non affidabile, sono piene di errori grammaticali, hanno un layout insolito. Oppure promettono premi a concorsi ai quali non hai mai partecipato. Questi sono i campanelli di allarme a cui prestare immediatamente attenzione.
Altre volte però la mail sembra provenire da un indirizzo affidabile. Come abbiamo già visto, grazie alle tecniche di ingegneria sociale, potrebbe provenire addirittura da qualcuno che conosci di persona e con il quale hai delle trattative o degli scambi quotidiani.
Ancora, possono essere campagne di phishing multi-touch: e-mail, sms, telefono in maniera sinergica e combinata.
In questi casi è più difficile individuare la truffa. Ad oggi la strategia più efficace è quella di investire nella formazione del personale per aumentare la consapevolezza del rischio di phishing e apprendere le buone pratiche per riconoscere una mail sospetta e difendersi.
Come proteggere la tua azienda dalle campagne di phishing
La formazione è l’asset principale in cui devi investire per proteggere l’azienda dalle campagne di phishing che possono portare a danni economici e reputazionali.
Il servizio Proofpoint Security Awareness Training prevede una formazione personalizzata, con un’azienda che traina il settore della sicurezza informatica a livello globale. La formazione è totalmente online su piattaforma (con certificazione AgID, e questo la rende ideale anche per gli Enti Pubblici).
Ecoh Media è partner di Proofpoint. Forniamo ai nostri clienti questo servizio di formazione con l’obiettivo di migliorare le competenze e gli standard di sicurezza informatica, riducendo i fattori di rischio.
La prima fase del Proofpoint Security Awareness Training è la valutazione dello stato di partenza della tua azienda:
- il tuo personale è consapevole dei rischi?
- I dipendenti sanno riconoscere un tentativo di phishing?
- Sanno cosa fare e come comportarsi?
- Chi ha più carenze in questo settore?
- Su quali aspetti devi lavorare in primis?
Ad eseguire questo primo step di “assessment” siamo proprio noi di Ecoh Media: dopo aver svolto la valutazione, ti consegniamo un report con i risultati, indicandoti anche quali sono i punti deboli e i dipendenti che hanno lacune più significative.
Poi, ti aiutiamo a strutturare un percorso di formazione personalizzato sulla piattaforma Proofpoint.
Il training online è modulare e mirato, quindi risulta particolarmente efficace per cambiare le cattive abitudini in azienda, in fatto di sicurezza informatica.
Oltre questo, puoi adottare il sistema di Proofpoint Email Security and Protection, per filtrare le e-mail truffa e aumentare il livello di sicurezza delle caselle e-mail aziendali.
Ma, è doveroso ribadirlo ancora, una protezione efficace non può prescindere in primo luogo dalla formazione del personale e dall’acquisizione di consapevolezza dei rischi informatici e buone pratiche da adottare davanti ai tentativi di phishing.
Cybersecurity | ISEC