La continua minaccia di COVID-19 ha cambiato drasticamente il panorama aziendale. L'improvviso cambiamento delle circostanze ha aumentato la superficie di attacco e ha presentato un'abbondanza di nuove sfide di sicurezza per le organizzazioni.
Durante questo periodo di incertezza, i criminali informatici sono stati veloci ad approfittare della situazione, che ha portato ad un aumento degli attacchi di phishing.
Secondo Google, i truffatori stanno inviando 18 milioni di email relative a Covid-19 agli utenti di Gmail ogni giorno nel tentativo di convincere le vittime a scaricare software dannoso, rubare informazioni sensibili o donare a cause false.
L'Office of National Statistics (ONS) ha riferito che 14,2 milioni di persone (44% del totale degli adulti che lavorano) hanno lavorato da casa durante la pandemia di coronavirus.
La rapida transizione al lavoro a distanza ha significato che molte organizzazioni erano impreparate per una forza lavoro remota per un periodo così prolungato. È ben riconosciuto che il phishing prospera sull'isolamento, l'incertezza e i periodi di cambiamento e, di conseguenza, la pandemia ha creato la tempesta perfetta in cui hacker, scammer e spammer possono sfruttare il pubblico.
In un recente sondaggio condotto da Threatpost, il 40% delle aziende ha riferito di aver visto un aumento degli attacchi informatici quando hanno abilitato il lavoro remoto.
Minacce di phishing e lavoro da casa
Il lavoro a distanza sta attirando più minacce alla sicurezza informatica per alcune ragioni, tra cui:
- Sempre più persone usano le reti domestiche, che probabilmente sono meno sicure. Come tale, i dipartimenti IT non possono monitorare da vicino e salvaguardare il comportamento online dei dipendenti quando lavorano da casa.
- Per molti dipendenti, la crisi COVID-19 è stata la prima volta che hanno lavorato da casa per un lungo periodo di tempo. I criminali informatici sanno che questi individui sono più vulnerabili a causa della loro mancanza di familiarità con le pratiche di lavoro sicuro da casa.
- I criminali informatici stanno vedendo la situazione attuale come un'opportunità per approfittare dei lavoratori remoti. Gli attori informatici malintenzionati stanno continuamente adattando le loro tattiche per approfittare di nuove situazioni, e la pandemia COVID-19 non fa eccezione.
L'aumento del lavoro da casa è probabile che ci sia per il prossimo futuro, anche dopo le attuali misure di emergenza legate alla pandemia. Tuttavia, con alcune organizzazioni che si preparano a tornare gradualmente nell'ambiente d'ufficio, l'incertezza continuerà ad essere un fattore significativo. Come tale, è vitale che i dipendenti comprendano le conseguenze paralizzanti che gli attacchi di phishing possono causare, così come il modo di proteggere se stessi e la loro organizzazione dalle minacce di phishing.
Come il Phishing può danneggiare il tuo business
Le violazioni dei dati da un attacco di phishing possono causare perdite finanziarie devastanti e danneggiare la reputazione di un'organizzazione per anni. Secondo IBM, il costo medio globale di una violazione dei dati è salito a un incredibile 3,92 milioni di dollari.
Dal business perso alle multe normative e ai costi di rimedio, le violazioni dei dati hanno conseguenze di vasta portata. Un attacco di phishing riuscito può risultare in:
- Furto d'identità
- Furto di dati sensibili
- Furto di informazioni sui clienti
- Perdita di proprietà intellettuale
- Furto finanziario
- Transazioni non autorizzate
- Danni alla reputazione
- Frode con carta di credito
- Installazione di malware o ransomware
- Accesso ad altri sistemi
- Dati venduti a terzi
Come prevenire un attacco di phishing
Identificare un'e-mail di phishing è diventato sempre più difficile in quanto i criminali informatici hanno affinato le loro abilità e utilizzano una serie di tattiche di ingegneria sociale per convincere il destinatario a cliccare su un link dannoso o fornire informazioni personali. Oggi, gli attacchi di phishing sono più mirati e sofisticati che mai.
Mentre i dipendenti si preparano a tornare in ufficio, recenti campagne hanno visto i criminali informatici lanciare attacchi che sfruttano i lavoratori che anticipano gli aggiornamenti dai loro datori di lavoro sul ritorno al posto di lavoro.
Incoraggiando gli utenti ad agire rapidamente e provocando curiosità e paura, alcuni studi hanno dimostrato che il tasso di clic sugli attacchi di phishing è passato da meno del 5% a più del 40% con le truffe dei coronavirus.
Secondo Intel, il 97% delle persone in tutto il mondo non è in grado di identificare una sofisticata e-mail di phishing. Nonostante la natura convincente di queste e-mail, ci sono ancora alcuni segni rivelatori che possono avvisarci della presenza di un'e-mail di phishing.
- Non cliccare mai su link o scaricare allegati senza confermare la fonte.
- Controllate due volte l'indirizzo del mittente per assicurarvi che provenga da una fonte legittima.
- Controlla sempre due volte l'URL della pagina web prima di accedere e non accedere mai a siti seguendo un link in un'e-mail. Nonostante sembri perfettamente legittimo, se l'URL non corrisponde all'indirizzo visualizzato, è un'indicazione che il messaggio è fraudolento e probabilmente è un'email di phishing.
- Prenditi sempre del tempo per riflettere su una richiesta di informazioni personali e se la richiesta è appropriata. Un'azienda rispettabile non invierà mai un'e-mail ai clienti chiedendo informazioni personali come un numero di conto, una password, un pin o domande di sicurezza. Vedi le nostre risorse su come individuare una truffa di phishing.
- Ignora e cancella le e-mail con una grammatica e una formattazione inaspettatamente povere. Se noti errori di ortografia o scarsa grammatica in un'email, è improbabile che provenga da un'organizzazione non ufficiale e potrebbe indicare la presenza di un'email di phishing. Scopri di più sulle caratteristiche di un attacco di phishing.
- I messaggi di attacco di phishing che hanno i più alti tassi di risposta sono spesso legati a eventi legati al tempo. I criminali informatici spesso usano un senso di urgenza per incoraggiare i destinatari a reagire immediatamente. Se non sei sicuro che la richiesta sia legittima, contatta direttamente l'azienda tramite il suo sito ufficiale o il numero di telefono ufficiale.
- Sii cauto con i messaggi di posta elettronica inaspettati. Prendetevi sempre un momento per pensare "mi aspetto questo tipo di richiesta?". Se sembra sospetto o troppo bello per essere vero, allora probabilmente lo è.
Perché la consapevolezza del phishing è importante
Mentre i criminali informatici aumentano i loro sforzi per sfruttare il pubblico, la consapevolezza è l'arma più potente contro queste minacce e tecniche in evoluzione.
I truffatori saranno veloci ad approfittare di qualsiasi lacuna nella sicurezza, e le organizzazioni dovrebbero continuare a responsabilizzare ed educare i dipendenti a rimanere vigili. La sicurezza informatica è responsabilità di tutti, e con così tanti potenziali punti di attacco, la chiave per migliorare la sicurezza è creare una cultura di consapevolezza informatica.
Creare una forza lavoro più consapevole della sicurezza
Cyber Security Awareness per Dummies è una risorsa indispensabile per implementare il cambiamento comportamentale e creare una cultura di consapevolezza informatica.
In questa guida, imparerete:
- Cosa significa la consapevolezza della sicurezza informatica per la tua organizzazione
- Come implementare una campagna di consapevolezza del rischio informatico
- Il ruolo critico delle politiche per stabilire basi sicure
- Come mantenere lo slancio e l'impegno del personale
- 10 migliori pratiche di consapevolezza della sicurezza informatica