È aumentato il numero di email di phishing con cui i cybercriminali cercano (spesso con successo) di infiltrarsi all’interno dei sistemi informatici delle organizzazioni. Ecco come difendere la tua azienda.
Phishing: aumentano gli attacchi via email
Con l’aumentare del numero di dipendenti che lavorano da remoto, i criminali informatici hanno aumentato il numero di attacchi di phishing effettuati tramite email.
Com’è noto, un attacco di phishing è un tipo di truffa che consiste nell’invio di una comunicazione in cui un cybercriminale finge di essere un ente autorevole (es. qualcuno all’interno della propria organizzazione, una banca ecc.) per portare la vittima a condividere informazioni personali, dati finanziari o codici di accesso.
Come riporta il Verizon Data Breach Investigations Report (DBIR) del 2021, l’email è il canale maggiormente utilizzato per effettuare attacchi a causa della sua prevalenza e popolarità come strumento. Inoltre, sempre secondo questo report, l’85% delle violazioni di dati subite via email si sono verificate a causa di errore umano. Cioè, ad esempio, un dipendente non ha riconosciuto che l’email è un attacco di phishing e ha fornito le informazioni richieste.
Email di phishing: una minaccia sottovalutata
Se da un lato gli attacchi sono in aumento, dall’altra sembra esserci ancora poca resistenza da parte delle organizzazioni: secondo una ricerca separata di Garnter Information Security, le aziende stanno dedicando solo il 10% del loro budget in attività volte a proteggerle dalle minacce via email, strumento identificato come vettore critico.
Il fatto che le organizzazioni devono prestare più attenzione alle minacce via email è confermato da diverse ricerche. Ecco alcuni dati:
- Il costo del phishing è quasi quadruplicato, portando le organizzazioni a subire un costo di quasi 13 milioni di euro ($ 15 milioni) all’anno (ricerca del Ponemon Institute)
- Gli attacchi di phishing sono raddoppiati nel 2020 (stima realizzata dall’Anti-Phishing Working Group)
- Oltre il 50% dei ransomware proviene da e-mail di phishing (segnalato da Coveware). [Ne è un esempio il recente attacco alla società italiana SIAE].
Perché i sistemi anti-phishing non sono sufficienti
Alcune aziende pensano di essere al sicuro da questo tipo di minacce grazie all’adozione di sistemi di anti-phishing. In realtà, per quanto utili, non sono sufficienti: a causa della natura mutevole degli attacchi di phishing e delle tecnologie con cui sono lanciati gli attacchi, non possono garantire una protezione degli attacchi al 100%. Tuttavia rischiano di creare un eccessivo senso di sicurezza.che porta gli utenti ad abbassare il livello di allerta e conseguentemente a non riconoscere quelle (poche e quindi ancor più pericolose) email di phishing che sono riuscite ad aggirare il sistema.
Sebbene quindi sia buona norma avere un sistema che rilevi e blocchi parte delle minacce, questo non è sufficiente per garantire all’organizzazione un livello di sicurezza adeguato.contro gli attacchi ricevuti attraverso la posta elettronica.
Phishing: come difendere la tua azienda con un approccio multilivello
Per proteggere al meglio la tua organizzazione da questo tipo di attacchi, è importante agire su più livelli, cioè sul livello:
- Tecnologico, cioè l’adozione di software, tecnologie o altre soluzioni volte a bloccare l’email di phishing prima che arrivino agli utenti
- Educativo, cioè formare i dipendenti in merito alle minacce
- “Attuativo”, cioè far sì che gli utenti siano in grado di agire quando incontrano una possibile minaccia.
In merito all’ultimo punto, un ottimo esempio è dato dalla possibilità di rendere più facile ai dipendenti la possibilità di segnalare email sospette ricevendo un feedback circa l’effettiva pericolosità dell’email ricevuta.
Formando i tuoi utenti e rendendo più facile la segnalazione delle minacce, puoi:
- Difendere efficacemente la tua organizzazione dagli attacchi
- Migliorare l’efficacia operativa contro le minacce creando una procedura di segnalazione
- Creare una cultura della consapevolezza della sicurezza nella tua organizzazione.
In definitiva, puoi ottenere una sicurezza incentrata sulle persone, dove stai proteggendo le tue persone e le tue persone stanno proteggendo la tua organizzazione.
Axsym per la formazione contro il phishing: l’User Awareness Programm
Per permettere alle aziende di difendersi dal crescente numero di attacchi di phishing, abbiamo sviluppato, in collaborazione con Proofpoint, uno specifico programma di formazione.
Programma, realizzato sulla base dei più moderni sistemi di apprendimento per adulti con attività interattive e test specifici, che permette di lavorare anche sul livello “attuativo” grazie a:
- L’installazione di un apposito pulsante per la segnalazione di email sospette nel client di posta aziendale
- L’invio di simulazioni di attacchi di phishing via email, con feedback immediato sia nel caso che l’utente abbia riconosciuto il pericolo (e l’abbia quindi segnalato con l’apposito pulsante).sia nel caso che non l’abbia riconosciuto e abbia quindi svolto l’azione indicata nell’email.(es. cliccare su un link o fornire le informazioni richieste).
Vuoi avere maggiori informazioni sul programma? Contattaci!
