Malware e Phishing: come difendersi dagli attacchi via e-mail
La principale arma di difesa contro le numerose minacce informatiche che prendono di mira le aziende, sono le azioni degli utenti. Spesso la buona riuscita degli attacchi informatici deriva dalla poca prudenza dei singoli. Scopriamo quali sono le principali tipologie di cyber-attacchi aziendali che avvengono tramite posta elettronica e come difenderci da essi.
Nell'era dell'Information Security, dove le identità sono archiviate in Cloud, dove l'home-banking e l'app-banking sono all'ordine del giorno e dove i business digitali non conoscono limiti e distanze, è necessario proteggersi dalle sempre più gravi cyber-minacce. A causa delle gravi conseguenze che colpiscono le attività delle organizzazioni, la sicurezza informatica è infatti un tema prioritario per le aziende.
Uno dei principali strumenti di prevenzione è lo Standard internazionale ISO/IEC 27001, che stabilisce i requisiti del Sistema di Gestione della Sicurezza delle Informazioni (SGSI), assieme alla Certificazione in accordo alle linee guida ISO/IEC 27017 e 27018, per le organizzazioni che operano in Cloud nel settore pubblico.
L’obiettivo della Certificazione ISO/IEC 27001 è inquadrare l’insieme delle problematiche che la singola organizzazione deve considerare nell’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni capace di un’efficace protezione dei dati e delle informazioni. Inoltre, essere in possesso della suddetta certificazione ti permette di dimostrare al mercato la presenza e l’applicazione delle migliori azioni da mettere in atto per la protezione dei dati.
In aggiunta alle azioni che l’azienda può mettere in atto per assicurare alti livelli di sicurezza digitale dal punto di vista certificativo, ritroviamo anche l’impegno e l’attenzione dei singoli utenti che si connettono ogni giorno alla rete per la propria attività professionale. Spesso la causa principale della buona riuscita degli attacchi informatici è proprio la poca prudenza da parte degli utenti che li rende vulnerabili a malware, phishing e altre minacce e la modalità con la quale si può subire un attacco informatico è data proprio dal mezzo aziendale più diffuso in assoluto: la posta elettronica.
Tra le principali cyber-minacce che avvengono proprio tramite la posta elettronica, ritroviamo il Malware e il Phising.
Malware
Un malware (abbreviazione di malicious software) è un programma informatico utilizzato allo scopo di danneggiare o violare un sistema. Ci sono varie tipologie di malware a seconda delle caratteristiche che questo presenta come per esempio: virus, worm, trojan horse, spyware ecc.
I malware, una volta avuto accesso al sistema, interferiscono con il suo normale funzionamento e possono dare origine a diverse tipologie di problemi, più o meno gravi: furto di password, cancellazione di dati, fino al furto degli accessi ai sistemi di home-banking. Le e-mail malevole contengono spesso un allegato o un link che, se aperto, scarica e installa il malware sul dispositivo della “vittima”.
Gli hacker possono, tramite i dispositivi mobili connessi alla rete aziendale, dirigere i propri attacchi. Questo causa inoltre difficoltà da parte degli addetti nel riconoscere tempestivamente le violazioni avvenute attraverso i dispositivi mobili non autorizzati.
Phishing
Un altro tipo di truffa realizzata attraverso le e-mail è il phishing, finalizzata al furto di password, dei dati della carta di credito e delle credenziali di accesso ai sistemi di home-banking.
Il phishing avviene attraverso la ricezione di e-mail ingannevoli da parte di indirizzi verosimili, in cui si richiede di provvedere con carattere di urgenza a fornire le proprie credenziali per evitare di incorrere nella cancellazione di un file, nella sospensione di un account o nel pagamento di una sanzione.
In alcuni casi il phishing è mirato ad un singolo o ad un gruppo ristretto di persone/azienda. Si tratta quindi di spear phishing, ovvero il phishing mirato e costruito ad hoc per una specifica persona o azienda di cui i criminali studiano accuratamente le informazioni disponibili online, rendendo i messaggi diretti all’interessato più realistici e occultando quindi meglio il tentativo di frode.
Come difendersi dagli attacchi informatici
È importante adottare sempre tutte le misure possibili per evitare di diventare vittime inconsapevoli di attacchi informatici a danno personale o aziendale. È necessario prestare la massima attenzione alle comunicazioni che si ricevono ogni giorno, verificando sempre la loro attendibilità prima di fornire informazioni o accedere ai contenuti.
Di seguito, alcuni consigli utili per ridurre al minimo il rischio di attacchi informatici:
- Non cliccare sui link che portano a scaricare documenti o inserire credenziali;
- Trattare sempre gli allegati come potenzialmente sospetti, a meno che le informazioni non siano state esplicitamente richieste da noi;
- È buona norma eseguire la scansione degli allegati con l’antivirus;
- Usare password complesse, di almeno 12 caratteri e cambiamole spesso: sarà molto più difficile che vengano compromesse;
- Controllare l’indirizzo del mittente. Se l’e-mail sembra provenire da un’azienda ma il FROM / DA è un account diverso da quello visualizzato, ad esempio @gmail.com o @hotmail.com, è molto probabilmente una mail non legittima;
- Diffidare dalle e-mail che iniziano in modo generico, ad esempio con ‘Dear Customer’ o ‘Caro cliente’. Se un’organizzazione ti vuole contattare, conosce il tuo nome. Chiediti inoltre, sto aspettando una mail da quest’azienda?
- Essere sospettosi nei confronti degli errori grammaticali. La maggior parte delle e-mail illegittime vengono scritte in svariate lingue, mediante l’utilizzo di traduttori automatici;
- Diffidare dalle e-mail che richiedono azioni immediate o creano un senso d’urgenza. Questa è una tecnica comune per indurre le persone a non prestare attenzione ai dettagli;
- Controllare attentamente i link e cliccare solamente su quelli che stavi aspettando. Inoltre, prova a passare il mouse sopra al link prima di cliccare: questo ti mostrerà la vera destinazione. Se la vera destinazione è differente da quella mostrata nell’email, è indice di un attacco;
L'impegno di Kiwa per la Sicurezza Informatica
Kiwa pone particolare attenzione verso la sicurezza informatica e chiede ai suoi stakeholder di fare altrettanto. A luglio del 2018, Kiwa Italia ha ottenuto l’accreditamento per la Certificazione del Data Protection Officer, figura professionale responsabile della protezione dei dati personali, in conformità alla norma UNI 11697. Inoltre, tra i vari servizi offerti, propone anche la Certificazione in accordo allo Standard ISO/IEC 27001 – Sistema di Gestione per la Sicurezza delle Informazioni.
Tra gli altri servizi, la certificazione in accordo alla Prassi UNI/PdR 43:2018, dedicata al trattamento automatizzato di dati personali, fornisce alle organizzazioni uno strumento di riferimento utile per definire in modo obiettivo e ripetibile le azioni per la gestione e il monitoraggio dei dati personali in ambito ICT secondo il nuovo Regolamento Europeo sulla protezione dei dati, UE 679/2016 (GDPR).
Ultima ma non meno importante, Kiwa Italia ha ottenuto a novembre 2018 l’estensione dell’accreditamento dello Schema di Certificazione ISO/IEC 27001:2013 a tutte le linee guida per la protezione delle informazioni, tra cui anche la norma ISO 27017 e la norma ISO 27018.
Kiwa Idea, società interamente dedicata alla formazione, propone diversi corsi in materia di sicurezza informatica, reperibili sul Catalogo Corsi online e organizza in diverse città italiane il Master per Data Protection Officer, con rilascio di attestato valido come requisito ai fini dell'iscrizione all'esame di certificazione per tale figura professionale.
Resta aggiornato su tutte le novità
Iscriviti alla Kiwa Newsletter per rimanere costantemente aggiornato sulle novità del gruppo, gli aggiornamenti normativi, gli sviluppi di mercato e i corsi in primo piano!