Apri l’allegato, clicca il link e…

Una persona su cinque, tra quelle che lavorano nella tua azienda, nel corso di quest’anno, potrebbe metterne seriamente a rischio la sicurezza.

Come?

Nel modo più banale possibile, dando per scontata l’affidabilità di un allegato o di un link contenuto in una delle e-mail che riceverà.

Le conseguenze potrebbero essere molto serie e non esiste antivirus che possa farti dormire sonni tranquilli.

È tutto nelle mani dei dipendenti della tua azienda, basta che una sola persona abbocchi per causare danni ingenti.

è un’azione facile e veloce con la quale potrai fare veramente la differenza, aumentando la consapevolezza di tutti circa un rischio che può compromettere seriamente la sicurezza della tua organizzazione.

Impara a conoscere la tecnologia

Nonostante la comunicazione via Instant Messaging e social sia sempre più in crescita, gli scambi via e-mail restano lo standard più diffuso per la comunicazione aziendale.

I punti di forza delle e-mail risiedono, infatti, nella possibilità di salvare nel folder, gestire gli allegati, effettuare un controllo aziendale sul traffico e accedere da dispositivi mobili.

Si consideri però che nella maggior parte dei casi è proprio tramite le e-mail, e più nello specifico mediante il phishing, che le aziende vengono attaccate.

A confermare questa tendenza è stato anche il report di Microsoft sui trend Cybersecurity 2018, il quale mette in evidenza come gli attacchi informatici veicolati tramite e-mail malevole siano stati, nel corso del 2018, in forte crescita: dall’analisi di circa 500 miliardi di e-mail in ingresso nei sistemi di posta elettronica, si è passati da uno 0,25% di e-mail di phishing all’inizio del 2018, a oltre uno 0,50% a fine 2018.

Una crescita impressionante.

Il rapporto Microsoft elenca ben otto modalità secondo le quali una e-mail malevola cerca di carpire informazioni all’utente o a portarlo a compiere azioni con ricadute negative, sia aziendali che personali.

Quali sono i rischi per la tua azienda?

Le conseguenze di un attacco di phishing sono molteplici e creano danni all’azienda sia in termini reputazionali, sia economici.

Gli attacchi più pericolosi sono quelli che, attraverso l’apertura di un file allegato contenuto in un’e-mail malevola, attivano un virus della famiglia ransomware.
Questi virus, in modo silente, criptano i file dei sistemi informatici, bloccando qualsiasi attività.

L’unico modo per sbloccare questi file criptati è pagare un riscatto in bitcoin. Il pagamento del riscatto non dà però la certezza di riottenere i file, gli hacker potrebbero richiedere il pagamento di un’ulteriore somma.
L’attenzione sui rischi del phishing è molto aumentata in questi anni.
Molte aziende conducono costantemente campagne con phishing test, simulando l’invio di e-mail malevole: l’obiettivo è verificare quanti utenti cadono nella trappola e sensibilizzarli di conseguenza con la somministrazione di pillole di micro-learning.

Non esistono dati precisi sulle percentuali di breccia dei phishing test: un rapporto Verizon parla, però, di oltre un 20% della popolazione aziendale che cade almeno una volta nella trappola e di un 4% recidivo.
Numeri che indicano un’importante vulnerabilità.

Alcune aziende cercano di segnalare all’utente finale se una e-mail può essere sospetta e comunque contrassegnano, spesso con un carattere bold di allerta, quando una e-mail proviene dall’esterno.
I rischi del phishing e di tutti gli attacchi perpetrati via e-mail restano in larga parte nelle mani dell’utente finale, della sua vulnerabilità e scarsa sensibilizzazione.

Quali comportamenti possono compromettere la tua sicurezza?

Ci sono una serie di fattori che spingono l’utente ad aprire un allegato o a cliccare su un link di un’e-mail malevola:

  1. la mancanza di awareness o un’awareness incompleta o esclusivamente tecnica;
  2. specifici tratti di personalità dell’end-user come nevroticismo e apertura mentale (Helvi et al. 2014; McCormac et al. 2017);
  3. l’utilizzo di tecniche di social engineering da parte dei criminali che fanno leva sugli aspetti emotivi dell’utente finale: una fonte autorevole (reparto IT, AD, Studio Legale), un pericolo imminente che richiede un’azione immediata, il soddisfacimento di bisogni relazionali o economici.

La psicologia dell’utente finale resta perciò centrale nel generare una vulnerabilità.
Sembrerà paradossale, ma un buon livello di awareness sulla Cyber Security, da sola non previene comportamenti che comportano una sottovalutazione il rischio. Si pensi ad esempio al meccanismo dell’”overconfidence”, per il quale un certo livello di conoscenza tecnica fa sentire l’utente erroneamente al riparo da qualsiasi attacco informatico.

Inoltre, a una awareness sbrigativa si lega spesso una percezione di competenza molto alta, per via dell’effetto Dunning-Kruger: molte persone già hanno delle conoscenze legate alle nuove tecnologie e quindi, dopo una breve awareness si sentono esperti, anche se in realtà hanno ancora una visione distorta e superficiale dell’argomento.

Scarica

Scarica la nostra guida gratuita “FATTORE UMANO E CYBER SECURITY”

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica