Le minacce alla sicurezza mobile sono in aumento. Man mano che la tecnologia continua a progredire, apre anche la strada a un numero crescente di truffe su telefoni cellulari e tecnologia intelligente. I criminali informatici sono veloci ad adattarsi a qualsiasi cambiamento nel panorama digitale e il nostro maggiore utilizzo di dispositivi connessi ha fornito l'opportunità perfetta per gli hacker malintenzionati di prendere di mira gli utenti.
Diversi fattori contribuiscono a indebolire la sicurezza dei telefoni cellulari, ma una delle preoccupazioni principali è che è molto più facile che i telefoni vengano smarriti, persi e rubati.
La conoscenza è l'arma più potente nella battaglia contro la truffa ed è più importante che mai essere consapevoli delle comuni minacce alla sicurezza mobile e come evitarle.
Tipi comuni di minacce alla sicurezza mobile:
Smishing
Lo smishing o phishing via SMS è un metodo di attacco comune in cui i truffatori prendono di mira le vittime attraverso i messaggi di testo. Questi messaggi di testo spingono il destinatario a cliccare su un link che scarica malware o reindirizza la vittima a un sito web dannoso per raccogliere le sue informazioni sensibili.
Negli ultimi anni, lo smishing è cresciuto in popolarità, in quanto consente ai criminali informatici di attirare i destinatari di messaggi di testo per indurli a rivelare informazioni personali o finanziarie senza dover superare le difese di sicurezza di un computer o di una rete. In genere, questi messaggi contengono un senso di urgenza, una minaccia o un avvertimento per cercare di indurre il destinatario ad agire immediatamente.
Con una persona media che invia 15 messaggi al giorno, lo smishing offre un'opportunità unica per gli hacker malintenzionati di approfittare delle vittime che sono spesso distratte o di fretta. La ricerca ha anche scoperto che gli utenti sono più propensi a rispondere ad un attacco di phishing su un dispositivo mobile piuttosto che su un desktop, dato che le persone sono meno caute con i messaggi di testo rispetto alle truffe di phishing standard che sono solitamente bloccate dai filtri antispam.
Applicazioni malware
Le minacce basate sulle applicazioni si verificano quando gli utenti scaricano applicazioni che sembrano legittime ma che in realtà nascondono malware, worm o trojan dannosi. Queste app possono quindi manomettere le impostazioni di autorizzazione, rubare informazioni personali e aziendali o iscrivere furtivamente gli utenti a servizi in abbonamento senza che questi se ne accorgano.
Per esempio, Skygofree, un'app che è mascherata da un aggiornamento per migliorare la velocità di Internet mobile è stata trovata per eseguire 48 comandi diversi, accendere il microfono del telefono, connettersi a Wi-Fi compromessi e raccogliere informazioni personali.
Se un utente abbocca e scarica il trojan, mostra una notifica che il setup è presumibilmente in corso, si nasconde all'utente e richiede ulteriori istruzioni dal server di comando.
Queste app sono spesso semplici, accattivanti e offerte gratuitamente, il che le rende interessanti per molti utenti e si traduce in potenziali milioni di download.
Con 24.000 app malware bloccate dai dispositivi ogni giorno e un numero sempre maggiore di dipendenti che utilizzano i propri dispositivi per scopi lavorativi, come l'accesso alla posta elettronica aziendale e la consultazione di documenti, è fondamentale che il personale sia consapevole delle potenziali conseguenze che le app maligne possono avere e di come evitarle.
Wi-Fi non protetto
La ricerca mostra che il 61% delle organizzazioni intervistate ha dichiarato che i dipendenti collegano i dispositivi aziendali alle reti Wi-Fi pubbliche quando lavorano fuori dall'ufficio, in luoghi come hotel, aeroporti e caffè. Le reti Wi-Fi pubbliche sono comuni in molti stabilimenti; tuttavia, avere un pubblico prigioniero di utenti non protetti collegati alla stessa rete permette anche ai criminali informatici di distribuire facilmente software dannoso o intercettare le nostre informazioni sensibili.
Un altro rischio di usare il Wi-Fi pubblico gratuito è che gli utenti possano accidentalmente connettersi a un hotspot canaglia. Si tratta di hotspot aperti che di solito hanno un nome simile a quello di un hotspot legittimo, che i criminali informatici installano per attirare le persone a connettersi alla loro rete. I criminali informatici danno ai punti di accesso nomi comuni come "Free Airport Wi-Fi" o "Coffeehouse" per incoraggiare gli utenti a connettersi. Una volta che una vittima è collegata a un hotspot Wi-Fi canaglia, gli hacker possono intercettare i dati e persino utilizzare strumenti per iniettare malware nei dispositivi collegati.
In alcuni casi, agli utenti viene richiesto di creare un account per accedere alla rete fasulla, completo di password. Con due persone su tre che riutilizzano la stessa password per più piattaforme, i truffatori sono poi in grado di compromettere l'e-mail degli utenti e altri account.
Per gli hacker, sfruttare il Wi-Fi pubblico per raccogliere dati è incredibilmente semplice ed economico, il che spiega questo crescente metodo di attacco.
Crittografia
La crittografia gioca un ruolo particolarmente importante nel proteggere i nostri dati. Tuttavia, la crittografia rotta può accadere quando gli sviluppatori di app utilizzano algoritmi di crittografia deboli o non riescono a implementare un algoritmo di crittografia forte in modo sicuro. Di conseguenza, qualsiasi attaccante motivato può sfruttare le vulnerabilità per crackare le password e ottenere l'accesso.
Lo sfruttamento della crittografia non funzionante può causare implicazioni tecniche e di business per le organizzazioni. Mentre l'impatto tecnico include l'accesso non autorizzato e l'esposizione di informazioni sensibili dal dispositivo, le conseguenze aziendali potrebbero includere il furto di informazioni, danni alla reputazione, violazioni della privacy e multe finanziarie.
Gestione della sessione
La gestione impropria delle sessioni si verifica quando la sessione precedente continua, anche quando l'utente ha terminato di utilizzare l'applicazione. Spesso le app consentono sessioni lunghe per accelerare il processo di acquisto, ma questo porta a vulnerabilità in quanto i criminali informatici possono impersonare un altro utente ed eseguire una funzionalità per suo conto.
A seconda dell'applicazione presa di mira, i criminali possono trasferire denaro dal conto bancario dell'utente, acquistare articoli su siti di e-commerce, accedere a informazioni personali dettagliate per commettere un furto di identità, rubare i dati personali dei clienti dai sistemi aziendali o richiedere il pagamento di un riscatto.
Un pericolo particolare per le organizzazioni è che la gestione impropria della sessione può anche essere usata per identificare gli utenti autenticati nei sistemi di single sign on. Questo significa che un dirottamento di sessione riuscito può dare al truffatore l'accesso a più applicazioni web, dai sistemi finanziari ai record dei clienti che contengono preziosa proprietà intellettuale.
Come evitare le comuni minacce alla sicurezza mobile
Per evitare le minacce alla sicurezza mobile, ci sono una serie di passi che potete fare:
- Diffidate dei messaggi di testo che richiedono informazioni personali e finanziarie. Vai direttamente al sito web della compagnia per verificare la richiesta.
- Se devi accedere al Wi-Fi pubblico, usa una VPN per una maggiore sicurezza, che ha anche i vantaggi di mascherare il tuo indirizzo IP e la tua posizione, oltre a criptare e proteggere il tuo traffico. Inoltre, disattiva l'impostazione Bluetooth sui tuoi dispositivi quando non li usi.
- Evitare l'archiviazione di qualsiasi dato sensibile su un dispositivo mobile.
- Combina password forti accoppiate a caratteristiche biometriche, come gli autenticatori di impronte digitali per una maggiore sicurezza.
- Installare una soluzione antivirus affidabile. Se ti capita di scaricare un'app dannosa o di aprire un allegato dannoso, la protezione mobile anti-malware può prevenire l'infezione.
- Anche il firmware del tuo dispositivo mobile potrebbe essere vulnerabile alle minacce alla sicurezza. Assicurati di aver scaricato gli ultimi aggiornamenti, che spesso includono patch di sicurezza per il tuo dispositivo.
- Usa HTTPS per garantire la crittografia SSL/TLS di tutto il traffico della sessione. L'icona del lucchetto nella barra degli indirizzi del browser indica che sei su una connessione sicura e affidabile. Verificalo quando inserisci dati personali come il tuo indirizzo o le informazioni di pagamento o quando invii e-mail dal tuo browser mobile.
Educare i dipendenti sulle minacce alla sicurezza mobile
I dipendenti rappresentano la più grande minaccia alla sicurezza di un'organizzazione, quindi è fondamentale che siano dotati delle competenze necessarie per identificare le minacce alla sicurezza mobile e aiutare a prevenire un attacco informatico.
MetaLearning Fusion è la prossima generazione di eLearning ed è stato specificamente progettato per fornire la migliore formazione possibile in materia di sicurezza informatica e privacy al vostro personale. Le organizzazioni possono costruire corsi su misura per il loro personale da una vasta libreria di brevi corsi eLearning.
Contattaci per ulteriori informazioni su come MetaLearning può essere utilizzato per trasformare la formazione sulla sicurezza informatica all'interno della tua organizzazione.
