Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul Phishing, ormai di attualità negli ultimi anni e parleremo anche di smart working.

Nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica.

Gli attacchi di phishing sono in forte aumento e sono andati oltre le solite false e-mail bancarie contenente link dannosi.

I malintenzionati di oggi prendono di mira gli utenti su più canali, usando messaggi di testo e SMS, social media e app mobile che consentono la condivisione di link.

Al giorno d’oggi la gran parte delle nostre informazioni personali se ci pensate sono online, i malintenzionati possono personalizzare i vari attacchi rendendoli più difficili da individuare con maggiori probabilità di successo.

La funzione dei Social Media è quella di connettere tra di loro le persone conosciute ma anche quelle sconosciute.

Capita tutti i giorni di inviare e ricevere inviti per entrare in contatto con persone anche sconosciute che condividono i nostri stessi interessi. Questo è il motivo per cui i malintenzionati creano spesso profili fake fingendosi amici, colleghi etc…ottenendo così i dati personali.

Per sembrare più reali i malintenzionati si uniscono a gruppi già esistenti presenti sui vari social pubblicando collegamenti dannosi a siti fake utilizzati per raccogliere informazioni personali come ad esempio le credenziali di accesso etc.

Le informazioni raccolte vengono poi utilizzati per attacchi di phishing rivolti ad un maggior numero di persone e organizzazioni.

Secondo una statistica, oggi il phishing è responsabile di quasi un quarto di tutte le violazioni dei dati.

Smart working

Con l’arrivo del COVID, molte aziende hanno attivato lo smart working, mettendo a rischio se non configurato nel modo corretto la sicurezza dei dati aziendali.

Molte aziende si sono concentrate principalmente sul mantenimento della produttività dei lavoratori a casa, bypassando l’importanza della sicurezza su come veniva rilasciato il servizio, aprendo le porte a possibili attacchi da parte di malintenzionati.

Ho constatato che molti clienti hanno attivato connessioni RDP sui propri server senza utilizzare una VPN (pazzesco se ci pensate), oppure hanno aperto delle porte per far accedere al proprio gestionale gli utenti dei vari uffici. In questi casi se non si è strutturati è meglio contattare sempre un professionista del settore.

Visto che il lavoro da remoto non sparirà molto presto, ci conviene affinare le tecniche alzando l’asticella sulla sicurezza della nostra azienda. Ovviamente i malintenzionati sono consapevoli dell’incremento dello smart working, più smart working più persone da attaccare.

Quindi, segui attentamente l’articolo fino alla fine per evitare di ricevere un attacco di phishing attraverso lo smart working!

Anche con poche informazioni su un dipendente e sull’azienda informazioni reperibili facilmente dai profili dei social, i malintenzionati possono eseguire una campagna di spear phishing contro moltissime organizzazioni, con immaginate voi le conseguenze.

Con appunto l’aumento delle tecniche e degli attacchi di Phishing, non possiamo mettere in trincea i nostri dipendenti mettendoli in prima linea a difendere l’azienda dagli attacchi di phishing.

Se ci pensiamo ogni giorno gli utenti aprono allegati, cliccano su collegamenti inviati da colleghi, da clienti, da partner/fornitori etc… passando la palla a loro, se dovessero controllare ogni link, ogni allegato nel corso di una giornata quanto lavoro verrebbe effettivamente svolto?

Nei corsi che ho suggerisco sempre alle imprese di fornire l’adeguata formazione ai propri dipendenti sull’importanza della sicurezza per evitare gli attacchi di phishing, facendoli partecipare a corsi pillola che spiegano e fanno capire con semplici passi l’importanza della sicurezza.

Ovviamente l’IT deve automatizzare gli approcci zero-trust che possano impedire che questo tipo di truffe raggiungano i dipendenti.

Un esempio pratico potrebbe essere quello che le aziende permettono ai propri lavoratori di accedere da remoto alle app aziendali solo tramite dispositivi gestiti dal reparto ICT e non da device privati (smartphone della moglie etc…)

Molte aziende hanno cominciato ad implementare soluzioni di gestione dei propri dispositivi mobile tramite (Mobile Device Management-MDM).

Ovviamente con l’aumento degli attacchi di phishing e altre minacce rivolte ai vari device, le soluzioni MDM devono spingersi oltre alla configurazione di base sui vari dispositivi.

Un altro punto delicato a cui fanno attenzione i malintenzionati durante un attacco (specialmente in questo periodo), è quello di sfruttare la concentrazione dell’utente mentre lavora ad esempio da casa.

Supponiamo che stiamo partecipando ad una call di lavoro con i soliti (Teams, GoTo Meeting  o Zoom), cerchiamo di stare concentrati mentre i figli giocano e fanno rumore :). Nel frattempo arriva una mail contenente un messaggio che ci avverte che il nostro account è stato bloccato, nel marasma l’utente in generale distrattamente clicca sul link contenuto nella mail pensando di verificare il proprio account, inserendo UserID e Password, così da continuare il proprio lavoro. Inconsapevolmente si diventa vittima di un attacco di phishing che mira alle credenziali di account e-mail, provate a pensarci.

Di solito l’attacco di phishing via e-mail è il primo passo di un attacco che utilizzerà più fasi e che metterà a rischio l’intera organizzazione.

Una volta ottenute le credenziali dell’account di un dipendente, il malintenzionato potrà avere accesso ai dati aziendali e utilizzare l’account compromesso per inviare mail dannose verso altri dipendenti.

Per proteggere la propria organizzazione dobbiamo utilizzare diverse tecniche creando un vero e proprio vademecum. Al giorno d’oggi l’asticella deve essere per forza alzata e tenuta aggiornata se vogliamo tenere al sicuro i nostri dati aziendali.

Utilizzando software, hardware, facendo partecipare i propri dipendenti a corsi sulla sicurezza informatica, in questo modo gli utenti capiscono la pericolosità. Rivolgersi sempre ad esperti del settore e non ad improvvisati, solo così il rischio di attacchi può essere tenuto sotto controllo.

Non dimenticare mai di mettere tutto in sicurezza, in questo modo non avrai problemi di attachi di phishing neanche in smart working.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo!

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.