Sensibilizzazione sulla sicurezza delle e-mail ai dipendenti

Con cyber attack che si evolve ogni giorno, gli attacchi via e-mail rimangono il vettore numero uno con cui le minacce informatiche vengono consegnate alle organizzazioni. Gli attacchi via e-mail rimangono estremamente redditizi per i cybercriminali e una delle ragioni è rappresentata dagli utenti finali. Il successo degli attacchi via e-mail dipende in larga misura dagli utenti finali, e questo li rende estremamente pericolosi per le organizzazioni. Scopra come educare i suoi dipendenti alla sicurezza delle e-mail.

Richiedi una Demo Legga il Rapporto Forrester Wave™

L'educazione e la consapevolezza sono i primi passi

Solo uno, dall'aspetto innocente - e malicious email può costare alle aziende milioni di dollari e interrompere la continuità aziendale. Se a ciò si aggiunge la sofisticatezza degli attacchi via e-mail e le meticolose tecniche di social engineering utilizzate, abbiamo la ricetta per un potenziale disastro informatico. Quindi, oltre a implementare la migliore soluzione di sicurezza e-mail in circolazione, le organizzazioni dovrebbero educare i propri dipendenti sugli schemi e-mail, per creare un'ultima linea di difesa contro questi attacchi.

Tecniche comuni di ingegneria sociale e come sfruttano la natura umana

Gli ingegneri sociali sanno come funzionano e pensano gli esseri umani e sono più che felici di trarre vantaggio da questa conoscenza. Un ingegnere sociale può utilizzare una serie di tattiche diverse per convincere il suo obiettivo a fare ciò che vuole:

 

  • Uso dell'autorità: Le organizzazioni sono costruite come gerarchie, dove le persone in cima sono al comando. Un ingegnere sociale può impersonare una persona autorevole e ordinare al suo obiettivo di compiere un'azione.
  • Accendere il fascino: Le persone sono più propense a fare cose per le persone che amano. Un ingegnere sociale può cercare di usare il proprio carisma per influenzare qualcuno a fare ciò che vuole.
  • Dare e ricevere: gli ingegneri sociali possono dare al loro bersaglio qualcosa di poco conto gratuitamente. Poi, approfitteranno di un senso di obbligo per ottenere ciò che vogliono.
  • Cercare appoggi: Le persone sono più propense a fare qualcosa che qualcuno chiede dopo aver appoggiato pubblicamente quella persona o quella causa. Un ingegnere sociale potrebbe cercare un'approvazione pubblica da parte della sua vittima, e poi chiedere qualcosa.
  • Fare ciò che è popolare: Alle persone piace essere popolari. Un ingegnere sociale farà in modo che sembri che "tutti facciano" ciò che sta cercando di ingannare un obiettivo.
  • Offerta scarsa: Gli ingegneri sociali possono far sembrare ciò che offrono scarso o come un'offerta limitata nel tempo. Questo fa sì che le persone si affrettino a prenderla (come la carta igienica durante il COVID-19).

 

I criminali informatici utilizzeranno tutte queste tattiche per accedere alla rete e alle informazioni sensibili di un'organizzazione. Durante e dopo la pandemia COVID-19, con molti dipendenti che lavorano da casa, le aziende sono più vulnerabili agli attacchi di phishing rispetto al passato.

Tipi di attacchi di phishing

In parole povere, un attacco di phishing è un attacco di ingegneria sociale eseguito tramite e-mail o altre piattaforme di comunicazione. Questi attacchi sono progettati per indurre qualcuno a cliccare su un link, scaricare un allegato, condividere dati sensibili o compiere un'altra azione dannosa.

 

Gli attacchi di phishing possono presentarsi in una varietà di forme diverse. Alcuni esempi comuni sono:

 

  • Problemi con l'account: Una tattica di phishing comune è quella di dire a qualcuno che c'è un problema con uno dei suoi account online (Amazon, Netflix, PayPal, ecc.). Quando si affrettano a cliccare sul link e a risolvere il problema, l'aggressore raccoglie le loro credenziali di accesso.
  • Business Email Compromise (BEC): Un attacco BEC è un classico esempio di utilizzo dell'autorità. L'aggressore impersonerà una persona importante all'interno di un'organizzazione (CEO, direzione, ecc.) e istruirà l'obiettivo a compiere un'azione dannosa, come l'invio di denaro a un conto controllato dall'aggressore.
  • Fattura falsa: l'aggressore può mascherarsi da venditore per ottenere il pagamento di una fattura in sospeso. Questo scam è progettato per far sì che la vittima invii denaro all'aggressore o per farle scaricare e aprire un allegato contenente malware.
  • Documenti condivisi nel cloud: I criminali informatici spesso sfruttano la condivisione di documenti nel cloud per aggirare la sicurezza di Office 365 e altre soluzioni di sicurezza integrate. Spesso questi strumenti verificano che un link sia legittimo, ma non controllano che il documento condiviso non contenga contenuti dannosi. In alternativa, un aggressore può fingere di condividere un documento e mostrare una pagina che richiede alla vittima di inserire le proprie credenziali di accesso e poi le invia all'aggressore.

 

Molte di queste e-mail sono progettate per apparire come e-mail legittime. È importante prendersi un secondo per convalidare un'e-mail prima di fidarsi.

Che cosa cercare in un malicious email

Ovviamente, le e-mail di phishing sono progettate per apparire il più plausibili possibile, al fine di massimizzare la probabilità di ingannare la vittima. Tuttavia, ci sono alcuni segnali di avvertimento che indicano un malicious email:

 

  • Indirizzo del mittente: I phisher utilizzano comunemente indirizzi e-mail che sembrano affidabili o legittimi nei loro attacchi. Verifichi sempre che l'indirizzo del mittente non contenga errori, ma ricordi che un aggressore potrebbe aver compromesso l'account reale e lo sta utilizzando per il suo attacco.
  • Saluto: La maggior parte delle aziende personalizza le proprie e-mail indirizzandole al destinatario per nome, ma un phisher potrebbe non conoscere il nome che accompagna un determinato indirizzo e-mail. Se un saluto è eccessivamente generico - come "Gentile cliente" - potrebbe trattarsi di un'e-mail di phishing.
  • Tono e grammatica: spesso un'e-mail di phishing non suona bene e presenta problemi di ortografia e grammatica. Se un'e-mail sembra fuori dal marchio del mittente, probabilmente è dannosa.
  • Collegamenti non corrispondenti: Può verificare la destinazione di un link in un'e-mail su un computer passandoci sopra con il mouse. Se il link non va dove dovrebbe, è probabile che l'e-mail sia dannosa.
  • Tipi di allegati strani: Le e-mail di phishing sono spesso utilizzate per diffondere malware. Se riceve una "fattura" che è un file ZIP, un eseguibile o qualcos'altro di insolito, probabilmente si tratta di malware.
  • La spinta: Le e-mail di phishing sono progettate per indurre la vittima a fare qualcosa. Se un'e-mail suscita un senso di urgenza o spinge a un'azione particolare, potrebbe essere dannosa.

L'importanza della consapevolezza della sicurezza e-mail

La consapevolezza della sicurezza e-mail è essenziale per proteggere un'organizzazione dagli attacchi e-mail. Formare i dipendenti a riconoscere i segnali di un'e-mail di phishing - in particolare i pretesti e le tecniche attualmente in voga - aiuta a ridurre la probabilità che clicchino su un link dannoso o aprano un allegato.

 

È bene anche insegnare ai dipendenti a segnalare le e-mail di phishing sospette al team IT o di sicurezza della sua organizzazione. Questo consente loro di indagare e rispondere nel caso in cui qualche altro dipendente sia caduto nel phish.

 

Tuttavia, anche con il miglior programma di formazione, occasionalmente un'e-mail di phishing avrà successo e, in molti casi, le funzioni di sicurezza e-mail in cloud integrate nella sua soluzione e-mail non saranno in grado di intercettare l'attacco. Investire in una soluzione di sicurezza e-mail specializzata è una buona scelta per evitare che questi malicious email raggiungano gli utenti.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativacookies .
OK