Il phishing è uno degli attacchi più noti, eppure, continua a colpire migliaia di persone ogni giorno. La diffusione della modalità as-a-Service e l’utilizzo sempre più frequente per lavoro dei propri dispositivi personali (il cosiddetto BYOD, Bring Your Own Device), sono solo alcuni degli elementi che mettono inevitabilmente fuori dal controllo aziendale utenti e dipendenti.
Mai fidarsi.
Se un esperto di tecnologia dovesse dare un consiglio a un utente o a un’azienda su come approcciarsi alla cybersecurity nel modo più efficace, sarebbe molto probabilmente quello. Mai fidarsi e verificare sempre chi voglia connettersi a una rete e accedere a dei dati, e come questi intenda farlo.
HWG, azienda specializzata nella fornitura di soluzioni di cybersecurity e servizi di consulenza a supporto di organizzazioni di grandi e medie dimensioni operanti in diversi settori, ha stilato una lista degli errori più comuni, e se vogliamo definirli più “scontati”, che gli utenti commettono prima di finire nella rete degli hacker:
- Fidarsi di e-mail ricevute da mittenti sconosciuti che utilizzano indirizzi generici: spesso accade di ricevere e-mail da indirizzi che all’apparenza conosciamo ma dove in realtà il mittente non è colui che afferma di essere. È quindi bene verificare l’indirizzo e-mail senza limitarsi a guardare il nome mostrato nella webmail o nel client di posta elettronica. Spesso questo tipo di e-mail arrivano a nome della propria banca o di un fornitore di servizi e richiedono di avere o di aggiornare le informazioni personali.
- Errori ortografici: è necessario porre attenzione alle e-mail che ci arrivano. La presenza di errori ortografici all’interno del testo potrebbe essere un chiaro segno di phishing. Spesso infatti, le mail di phishing sono scritte in una lingua e poi tradotte utilizzando traduttori automatici.
- Scaricare gli allegati: un errore molto comune degli utenti è scaricare gli allegati senza prima accertarsi dell’indirizzo del mittente. Gli allegati di email dannose possono essere mascherati da documenti importanti, fatture e altro ancora per indurre l'utente ad aprire il file che ovviamente contiene un ransomware.
- Pagamenti urgenti: una delle tecniche più diffuse per cercare di ottenere informazioni e dati sensibili è l’invio di e-mail da parte degli hacker con richieste di pagamenti urgenti in modo da agitare l’utente e spingerlo ad agire velocemente
- E-mail che annunciano vincite: almeno una volta nella vita sarà capitato di ricevere una mail in cui viene comunicata una vincita. Ma se non si partecipa a concorsi o lotteria, l’unica sorpresa che si riceverà è un potenziale attacco hacker.
Oltre a porre maggiore attenzione quando riceviamo le email, HWG fornisce alcuni suggerimenti utili per proteggersi in modo efficace:
- URL defense software: uno strumento che rileva, cattura e analizza immediatamente gli URL dannosi
- Training di security awareness e simulazioni per ridurre il rischio di phishing: lavorare sulla formazione aziendale attraverso simulazioni di attacchi informatici consente di educare gli utenti a reagire correttamente in caso di attacco reale e ad acquisire altre abilità di cyber security
- E-mail isolation per gli utenti più a rischio: permette ai dipendenti di accedere liberamente alla loro e-mail personale senza esporre l’azienda ai malware o alla perdita di dati. La soluzione utilizza la tecnologia di isolamento basata sul cloud per ridurre la superficie d’attacco e proteggere l’utilizzo dell’e-mail personale degli utenti
- Multi-factor authentication: l’autenticazione a due fattori permette di monitorare le procedure di autenticazione e di autorizzazione prima di fornire l’accesso proteggendo così da potenziali minacce
- Back-up per la protezione dei dati: duplicare un file o un insieme di dati è un modo per tenerli al sicuro in caso di imprevisti e di furto di informazioni
- Allegati e link. Prima di cliccare, scorrere sempre sopra con il cursore: in questo modo è possibile verificare e controllare se un link è sicuro prima di farvi clic o di caricare la pagina web a cui fa riferimento.