La sicurezza informatica sta diventando l'ultima tendenza. Abbiamo tutti letto delle violazioni di TalkTalk, Dropbox e Yahoo, e questo significa che saranno solo in aumento nel prossimo futuro.
Come esseri umani, siamo cablati per commettere errori, quindi è solo necessario che educhiate il vostro staff su ciò a cui prestare attenzione. Puoi proteggere la tua organizzazione rendendo il tuo staff consapevole di evitare di cliccare su link di posta elettronica sospetti, smettere di scrivere le loro password su un post-it o sapere di non connettersi a reti Wi-Fi pubbliche quando si lavora in remoto.
In questa serie di blog, stiamo tornando alle basi, quindi diamo un'occhiata a quali tipi di minacce di phishing ci sono là fuori. Per armarvi contro un potenziale attacco di phishing, dovreste approfittare delle barriere tecniche, ma dovreste anche avvalervi della consapevolezza del personale. In definitiva, la consapevolezza dello staff aiuterà il vostro personale a riconoscere le tattiche comuni utilizzate dai cyber criminali in una e-mail di phishing.
- Phishing
Il filtro antispam sui tuoi account di posta elettronica personali o di lavoro di solito raccoglie le email spazzatura, ma a volte possono farsi strada nella tua casella di posta principale. È qui che devi essere in grado di individuare un'email di phishing. Il fatto che il tuo filtro antispam ti aiuti di tanto in tanto e sposti le email di spam dalla tua vista è sia un aiuto che un ostacolo. Il filtro ti aiuta perché non sei tentato di cliccarci sopra direttamente (lontano dagli occhi, lontano dal cuore) ma questo ti impedisce di vedere le tattiche che gli hacker useranno e quindi può impedirti di notare la differenza tra un'email genuina e un'email di phishing.
Per esempio, un individuo vi contatta per dirvi che siete stati identificati come l'ultimo discendente vivente di un ricco finanziere e che avete diritto alla loro fortuna. Il buon senso è a portata di mano per dirvi che questo è praticamente impossibile. Non solo, ma ti piacerebbe pensare che riceveresti un documento legale che conferma tale notizia, invece di una e-mail da un account Hotmail.
Se riesci a individuare questi segnali di avvertimento, è un bene. Le email di phishing generalizzate sono progettate per coglierti in fallo, ma le false promesse o la mancanza di grammatica usata nell'email dovrebbero metterti in guardia dai pericoli. Ma - i cyber criminali stanno diventando più intelligenti.
Un test ransomware è una soluzione per testare i vostri dipendenti sul loro comportamento nei confronti delle e-mail di phishing. Una soluzione software di phishing simulato può fornire al management dei report su come i dipendenti reagiscono a tali email. I rapporti delineeranno quali membri dello staff hanno bisogno di intraprendere un modulo di formazione sul phishing.
- Spear Phishing
Questo è un metodo di phishing estremamente sofisticato. I cyber criminali che inviano email di spear phishing hanno fatto i loro compiti a casa; avranno personalizzato il contenuto dell'email specificamente per te. Per ottenere questo, avranno monitorato te e i tuoi colleghi sui social media e alla fine, useranno queste informazioni per creare l'email perfetta per te che sarà usata per guadagnare la tua fiducia.
L'e-mail che ricevi sembrerà provenire da un individuo o da un'azienda. Getta le tue informazioni personali che hanno raccolto in questo mix ed è una ricetta per il disastro. Rispetto a un'email di phishing standard, un'email di spear phishing sarà indirizzata personalmente a te e includerà informazioni che ti interessano.
E se ricevessi un'e-mail firmata dal tuo team di supporto IT per dirti che il tuo account di posta elettronica sta finendo lo spazio? Questo tipo di email sembra un po' più plausibile. Le firme delle e-mail possono sembrare ufficiali: questo va bene, ma alcune cose di cui dovresti diffidare nel corpo dell'e-mail sono l'ortografia e la grammatica, a chi è indirizzata l'e-mail (si riferiscono a te per nome o semplicemente "utente"?) e qualsiasi link che viene fornito.
- Whaling
Questa forma di attacco di phishing si rivolge direttamente ai membri senior del personale e della direzione, ma l'obiettivo è sempre lo stesso: acquisire informazioni.
Il criminale informatico si maschera come una fonte affidabile o fidata, molto simile allo spear phishing. Tuttavia, un attacco whaling è progettato per ingannare i membri più anziani del personale in quanto è più probabile che abbiano accesso a importanti informazioni finanziarie dell'azienda e forse anche la capacità di autorizzare transazioni finanziarie o pagamenti.
Per esempio, diciamo che sei il Senior Finance Manager e ricevi un'email dal tuo collega su alcune fatture che richiedono l'approvazione per il pagamento immediato. Hanno anche allegato una cartella zip all'email. Vai automaticamente nel panico e il tuo cervello va in tilt pensando "Ho dimenticato di autorizzarle? Sono sicuro di no - ho elaborato tutte le fatture lunedì". Qui, la tua reazione automatica sarebbe quella di cliccare sull'allegato della cartella zip e controllare le fatture per rinfrescarti la memoria.
È qui che bisogna FERMARSI. Invece di cliccare sull'allegato, controlla i tuoi registri per vedere se il pagamento è stato approvato. Risparmiati qualche secondo in più (e la reputazione della tua azienda) controllando i tuoi registri prima di accedere a contenuti scaricabili da un'e-mail.
Se avete scaricato la suddetta cartella zip, probabilmente avrà contenuto un file sospetto e questo eseguirà un pericoloso malware sul vostro computer o portatile. Questo programma potrebbe anche accedere alla vostra rete, causando danni potenzialmente irreparabili.
Conclusione
Molto semplicemente, gli attacchi di phishing possono distruggere un'azienda con un semplice clic. Basta che una persona clicchi su un link o scarichi un allegato, e la reputazione e le risorse della tua azienda sono a rischio. Per combattere la minaccia del phishing, le aziende devono investire nell'educazione del loro personale su cosa fare attenzione.
Qui a MetaCompliance, forniamo software di simulazione di phishing e contenuti di eLearning che in definitiva aumentano la sensibilità di un'organizzazione alle e-mail fraudolente.
Sapevi che qualcuno impiega solo un minuto e venti secondi per aprire un'e-mail di phishing? Invece, prenditi quel tempo per pensare prima di cliccare.