Le minacce alla sicurezza mobile sono in aumento. Il continuo progresso della tecnologia apre la strada a un numero crescente di truffe su cellulari e tecnologie intelligenti. I criminali informatici si adattano rapidamente a qualsiasi cambiamento nel panorama digitale e l’aumento dell’uso di dispositivi connessi ha fornito l’opportunità perfetta agli hacker malintenzionati di prendere di mira gli utenti.

La debolezza della sicurezza dei telefoni
è dovuta a diversi fattori, ma una delle preoccupazioni principali è che i telefoni sono molto più facili da
smarrire, perdere e rubare.

La conoscenza è l’arma più potente nella lotta contro le truffe ed è più importante che mai essere consapevoli delle minacce comuni alla sicurezza dei dispositivi mobili e di come evitarle.

Tipi comuni di minacce alla sicurezza mobile:

Smishing

Lo smishing o SMS phishing è un metodo comune di attacco
in cui i truffatori prendono di mira le vittime attraverso i messaggi di testo. Questi messaggi di testo
spingono il destinatario a cliccare su un link che scarica un malware
o reindirizza la vittima a un sito web dannoso per raccogliere le sue informazioni sensibili
.

Negli ultimi anni, lo smishing è cresciuto in popolarità, in quanto permette ai
criminali informatici di attirare i destinatari di messaggi di testo per indurli a rivelare informazioni personali o
finanziarie senza dover superare le difese di sicurezza di
un computer o di una rete. In genere, questi messaggi contengono un senso di urgenza,
minaccia o avvertimento per cercare di convincere il destinatario a prendere provvedimenti immediati.

Con una persona media che invia 15 messaggi al giorno, lo smishing offre un’opportunità unica agli hacker malintenzionati di approfittare delle vittime che sono spesso distratte o di fretta. La ricerca ha anche scoperto che gli utenti sono più propensi a rispondere a un attacco di phishing su un dispositivo mobile che su un desktop, poiché le persone sono meno caute con i messaggi di testo rispetto alle truffe di phishing standard, che di solito vengono bloccate dai filtri antispam.

Applicazioni malware

Le minacce basate sulle applicazioni si verificano quando gli utenti
scaricano applicazioni che sembrano legittime ma che in realtà nascondono malware, worm
o trojan dannosi. Queste app possono quindi manomettere le impostazioni dei permessi, rubare informazioni personali
e aziendali o iscrivere furtivamente gli utenti a servizi in abbonamento
senza che se ne accorgano.

Ad esempio, è stato scoperto che Skygofree, un’applicazione camuffata da aggiornamento per migliorare la velocità di internet mobile, è in grado di eseguire 48 comandi diversi, attivare il microfono del telefono, connettersi a Wi-Fi compromessi e raccogliere informazioni personali.

Se un utente abbocca all’esca e scarica il trojan, questo visualizza una notifica che indica che l’installazione è presumibilmente in corso, si nasconde all’utente e richiede ulteriori istruzioni al server di comando. 

Queste app sono spesso semplici, accattivanti e
offerte gratuitamente, il che le rende interessanti per molti utenti e porta a
potenzialmente milioni di download.

Con 24.000 app malware bloccate
dai dispositivi ogni giorno e un numero sempre maggiore di dipendenti che utilizzano i propri dispositivi per
scopi lavorativi, come l’accesso alla posta elettronica aziendale e la consultazione di documenti, è fondamentale
che il personale sia consapevole delle potenziali conseguenze che le app maligne possono avere e
di come evitarle.

Wi-Fi non protetto

Secondo una ricerca, il 61% delle organizzazioni intervistate ha dichiarato che i dipendenti collegano i dispositivi aziendali a reti Wi-Fi pubbliche quando lavorano fuori dall’ufficio, in luoghi come hotel, aeroporti e caffè. Le reti Wi-Fi pubbliche sono comuni in molti stabilimenti; tuttavia, avere un pubblico di utenti non protetti collegati alla stessa rete permette ai criminali informatici di distribuire facilmente software dannosi o di intercettare le nostre informazioni sensibili.

Un altro rischio dell’utilizzo del Wi-Fi pubblico gratuito è che gli utenti possano connettersi accidentalmente a un hotspot illegale. Si tratta di hotspot aperti che di solito hanno un nome simile a quello di un hotspot legittimo e che i criminali informatici creano per attirare gli utenti a connettersi alla loro rete. I criminali informatici danno ai punti di accesso nomi comuni come “Free Airport Wi-Fi” o “Coffeehouse” per incoraggiare gli utenti a connettersi. Una volta che una vittima è connessa a un hotspot Wi-Fi illegale, gli hacker possono intercettare i dati e persino utilizzare strumenti per iniettare malware nei dispositivi connessi.

In alcuni casi, agli utenti viene richiesto di creare un account per accedere alla rete fittizia, completo di password. Poiché due persone su tre riutilizzano la stessa password per più piattaforme, i truffatori sono in grado di compromettere l’email e altri account degli utenti.

Per gli hacker, sfruttare il Wi-Fi pubblico per
raccogliere dati è incredibilmente semplice ed economico, il che spiega questo crescente metodo di attacco
.

Crittografia

La crittografia svolge un ruolo particolarmente importante nella protezione dei nostri dati. Tuttavia, le falle nella crittografia possono verificarsi quando gli sviluppatori di app utilizzano algoritmi di crittografia deboli o non implementano un algoritmo di crittografia forte in modo sicuro. Di conseguenza, qualsiasi attaccante motivato può sfruttare le vulnerabilità per decifrare le password e ottenere l’accesso.

Lo sfruttamento di una crittografia non funzionante può avere implicazioni tecniche e commerciali per le organizzazioni. Mentre l’impatto tecnico comprende l’accesso non autorizzato e l’esposizione di informazioni sensibili dal dispositivo, le conseguenze commerciali possono includere il furto di informazioni, danni alla reputazione, violazioni della privacy e multe finanziarie.

Gestione della sessione

La gestione impropria delle sessioni si verifica quando la
sessione precedente continua, anche quando l’utente ha terminato di utilizzare l’app.
Spesso le app consentono sessioni lunghe per accelerare il processo di acquisto; tuttavia, questo
porta a vulnerabilità in quanto i criminali informatici possono impersonare un altro utente
ed eseguire una funzionalità per suo conto.

A seconda dell’applicazione
presa di mira, i criminali possono trasferire denaro dal conto bancario dell’utente,
acquistare articoli su siti di e-commerce, accedere a informazioni personali dettagliate per commettere
furti di identità, rubare i dati personali dei clienti dai sistemi aziendali o chiedere il pagamento di un
riscatto.

Un pericolo particolare per le organizzazioni è che la gestione impropria delle sessioni può essere utilizzata anche per identificare gli utenti autenticati nei sistemi single sign on. Ciò significa che un dirottamento di sessione riuscito può dare al truffatore l’accesso a diverse applicazioni web, dai sistemi finanziari ai registri dei clienti che contengono preziose proprietà intellettuali.

Come evitare le più comuni minacce alla sicurezza mobile

Per evitare le minacce alla sicurezza mobile, puoi adottare una serie di misure:

  • Diffida dei messaggi di testo che richiedono informazioni personali o finanziarie. Vai direttamente al sito web dell’azienda per verificare la richiesta.
  • Se devi collegarti a una rete Wi-Fi pubblica, utilizza una VPN per una maggiore sicurezza, che ha anche il vantaggio di mascherare il tuo indirizzo IP e la tua posizione, oltre a criptare e proteggere il tuo traffico. Inoltre, disattiva l’impostazione del Bluetooth sui tuoi dispositivi quando non li usi.
  • Evita di memorizzare dati sensibili su un dispositivo mobile.
  • Combina password forti con funzioni biometriche, come gli autenticatori di impronte digitali, per una maggiore sicurezza.
  • Installa una soluzione antivirus affidabile. Se ti capita di scaricare un’applicazione dannosa o di aprire un allegato dannoso, la protezione anti-malware per dispositivi mobili può prevenire l’infezione.
  • Anche il firmware del tuo dispositivo mobile potrebbe essere vulnerabile alle minacce alla sicurezza. Assicurati di aver scaricato gli ultimi aggiornamenti, che spesso includono patch di sicurezza per il tuo dispositivo.
  • Usa HTTPS per garantire la crittografia SSL/TLS di tutto il traffico della sessione. L’icona del lucchetto nella barra degli indirizzi del browser indica che sei su una connessione sicura e affidabile. Controlla che sia così quando inserisci dati personali come l’indirizzo o le informazioni di pagamento o quando invii e-mail dal tuo browser mobile.

Istruisci i dipendenti sulle minacce alla sicurezza dei dispositivi mobili

I dipendenti rappresentano la più grande minaccia alla sicurezza di un’organizzazione, quindi è fondamentale che siano dotati delle competenze necessarie per identificare le minacce alla sicurezza mobile e aiutare a prevenire un attacco informatico. 

MetaLearning Fusion è la nuova generazione di eLearning ed è stata progettata appositamente per fornire al tuo personale la migliore formazione possibile in materia di sicurezza informatica e privacy. Le organizzazioni possono creare corsi su misura per il proprio personale attingendo da un’ampia libreria di brevi corsi di eLearning.  

Contattaci per avere maggiori informazioni su come MetaLearning può essere utilizzato per trasformare la formazione sulla sicurezza informatica all’interno della tua organizzazione.