Proteggi la tua piccola impresa dagli attacchi di phishing
Pubblicato: 2021-07-27Chiedi a chiunque e lui o qualcuno che conosce avrà subito un attacco di phishing. Non solo, ma probabilmente conoscono qualcuno che ha effettivamente perso soldi a causa di uno.
Il phishing rimane il tipo più comune di attacco informatico, con il 74% delle organizzazioni negli Stati Uniti che ha attaccato con successo nell'ultimo anno. Le piccole imprese sono purtroppo particolarmente vulnerabili perché generalmente non dispongono delle risorse e delle conoscenze necessarie per proteggersi da questi attacchi.
Perché agli hacker piace prendere di mira le piccole imprese?
Il più delle volte, le piccole imprese tendono a ritenere che la sicurezza informatica non sia rilevante per loro perché non dispongono delle grandi quantità di dati o risorse finanziarie che pensano che gli hacker stiano cercando, quindi perché preoccuparsi di dedicare tempo e sforzi per proteggersi ?
Questo è esattamente il tipo di mentalità su cui si basano i criminali informatici, tuttavia, poiché queste aziende non riusciranno a implementare misure di sicurezza efficaci, rendendole facili e facili bersagli per gli hacker. Le piccole aziende non tendono a investire nella formazione sulla sicurezza informatica per i propri dipendenti, quindi è molto più probabile che gli attacchi di phishing, progettati per ingannare le persone, abbiano successo quando il destinatario non ha le competenze per affrontarli.
Per alcuni attacchi, le piccole imprese non sono nemmeno l'obiettivo finale. L'hacker usa una piccola impresa come un facile punto di ingresso, un trampolino di lancio per le aziende più grandi nella catena di approvvigionamento che le ricompenserà davvero. Questi attacchi alla catena di approvvigionamento sono in aumento e iniziano quasi sempre con una piccola impresa che semplicemente non disponeva delle difese informatiche per proteggersi adeguatamente.
Come funziona il phishing?
Gli attacchi di phishing sono ancora uno dei tipi più diffusi di attacchi informatici alle aziende, con 241.324 incidenti solo negli Stati Uniti lo scorso anno. Anche il Cyber Breaches Survey del governo del Regno Unito nel 2021 ha rivelato il phishing come il vettore di minacce numero uno, responsabile dell'83% degli attacchi.
L'hacking in un sistema richiede tempo e fatica, ma convincere qualcuno a darti accesso a quei sistemi sfruttando la loro fiducia e ingannandoli è molto più semplice. Il phishing tramite e-mail è rivolto specificamente agli esseri umani e spesso utilizza tecniche di ingegneria sociale per indurre l'utente a fornire informazioni riservate o a fare clic su un collegamento che attiva l'installazione di malware o ransomware sul sistema del destinatario.
Potresti essere preso di mira come parte di una campagna di massa o potrebbe essere un attacco più specifico e più ponderato alla tua organizzazione. In quest'ultimo caso, gli hacker possono utilizzare determinate informazioni sulla tua azienda o su altri dipendenti per rendere l'e-mail più convincente. Questo tipo di attacco è noto come spear phishing.
I casi di compromissione dell'e-mail aziendale rendono particolarmente difficile individuare un truffatore perché, per quanto puoi dire, stai ricevendo un'e-mail legittima da un collega o un partner commerciale. Questo tipo di attacchi viene utilizzato per incoraggiare dipendenti, clienti o chiunque nella catena di approvvigionamento a fornire dati sensibili o trasferire fondi (che verranno ovviamente indirizzati al conto bancario dell'hacker).
La perdita finanziaria può essere una grave ripercussione per una piccola impresa coinvolta in un attacco di phishing, ma le cose possono peggiorare molto se le persone esterne all'organizzazione vengono prese di mira attraverso la tua azienda. Se gli hacker riescono ad accedere all'account di un dipendente e a inviare e-mail ai fornitori, clienti o partner della tua azienda, potresti compromettere seriamente queste relazioni di fiducia e perdere affari a causa della preoccupazione che la tua azienda non sia sicura.
Come individuare un attacco di phishing
Tutti pensiamo di sapere come individuarne uno, ma le e-mail di phishing oggi sono molto più sofisticate e richiedono livelli di vigilanza ancora più elevati.
Allora, cosa puoi cercare?
- Guarda sempre da vicino il mittente. I domini falsi possono essere solo un dominio attendibile che è stato leggermente modificato, ad esempio, una "i" in "1"
- Controlla il contenuto. Se vengono fatte promesse sospette e sembra troppo bello per essere vero, probabilmente lo è.
- Diffida del tono. Gli hacker spesso usano l'urgenza nelle e-mail di phishing per convincerti ad agire prima che tu abbia avuto la possibilità di pensare.
- Compitazione e grammatica. L'ortografia e la grammatica corrette non sono sempre il punto forte di un hacker, quindi errori evidenti possono essere un segno di spam.
In termini di truffe BEC, che di solito sono molto più difficili da rilevare, è importante prestare attenzione prima di inviare qualsiasi informazione. Le truffe popolari includono l'invio di fatture false ai clienti, l'impersonificazione di qualcuno nell'alta dirigenza per richiedere denaro ai dipendenti o l'imitazione di avvocati per richiedere denaro ai clienti. In generale, ti consigliamo di ricontrollare tutte le richieste di trasferimento di denaro che arrivano nella tua casella di posta.
Cosa puoi fare come piccola impresa?
La formazione dei dipendenti
La chiave per proteggere la tua azienda dagli attacchi di phishing è garantire che il personale sia adeguatamente formato, poiché l'errore umano è la ragione per cui un tentativo di phishing ha esito positivo. È responsabilità di un CEO o proprietario di un'organizzazione garantire che i dipendenti abbiano la guida corretta sugli attacchi di phishing, su come individuarli e cosa fare se ne dovessi incontrare uno.
Coltivare una cultura di sicurezza e consapevolezza e assicurarsi che i dipendenti abbiano le conoscenze corrette è particolarmente importante quando alcuni utenti possono lavorare da casa, perché in questi ambienti c'è meno visibilità e controllo.
Le politiche di sicurezza sono un buon modo per trasmettere questa guida e assicurarsi che i dipendenti le leggano e comprendano che possono essere inserite nel processo di inserimento dei dipendenti. Anche gli esercizi di sicurezza informatica sono un buon modo per testare questa conoscenza: ci sono molti esercizi online che possono essere utilizzati gratuitamente, come l'"esercizio in una scatola" dell'NCSC. Per pochi dollari al mese, altre aziende possono fornire formazione sulla sicurezza come simulazioni di phishing, in cui è possibile tenere traccia delle risposte dei dipendenti.
Controllo di accesso
È utile limitare il numero di preziosi punti di ingresso che un hacker potrebbe sfruttare riducendo i privilegi dell'account in tutta la tua azienda. Il personale dovrebbe essere in grado di accedere solo a ciò di cui ha bisogno per svolgere il proprio ruolo lavorativo.
In questo modo, se un criminale informatico dovesse hackerare il proprio account, non potrà accedere a tutti i dati sensibili dell'azienda e la violazione potrà essere contenuta. Gli account amministratore devono essere riservati per la gestione di livello superiore. Per proteggere ulteriormente i tuoi account dalle violazioni, pratica una buona sicurezza della password e assicurati che l'autenticazione a più fattori sia attivata.
Backup dei dati
Il backup regolare di tutti i dati sensibili all'interno della tua organizzazione significherà che non tutto andrà perso se un hacker riesce ad ottenere l'accesso tramite un tentativo di phishing. Idealmente, la tua strategia di backup dovrebbe soddisfare la migliore pratica di tre copie: due su supporti diversi, di cui una fuori sede e tutti i backup dovrebbero essere crittografati per una maggiore sicurezza. Puoi scegliere di eseguire il backup utilizzando un provider cloud o un'unità esterna, ma qualunque sia il metodo, dovrebbero essere monitorati, regolarmente e controllati per garantire che il ripristino sia possibile.
Software di sicurezza
Garantire che il software di sicurezza sia sempre aggiornato è un must per la protezione da violazioni e attacchi di phishing. Questi sono spesso impostati per l'aggiornamento automatico, ma vale sempre la pena controllare le ultime patch. Sebbene la formazione dei dipendenti svolga il ruolo più importante nella prevenzione degli attacchi di phishing, ulteriori misure di sicurezza sono utili perché non è sempre possibile garantire che gli esseri umani se la caveranno bene, indipendentemente dalla loro formazione e vigilanza informatica.
È possibile implementare soluzioni di sicurezza di terze parti per funzionare in background, monitorando l'attività e-mail degli utenti, i tentativi di accesso e i download di file, in modo da individuare e segnalare rapidamente eventuali anomalie o account violati. Questi possono aiutare a creare una rete di sicurezza in modo che anche quando un dipendente dell'azienda commette un errore, non deve essere disastroso.
Conclusione
La protezione della tua organizzazione dagli attacchi di phishing non deve essere costosa o dispendiosa in termini di tempo, ma per le piccole e medie imprese è fondamentale adottare un approccio a più livelli, assicurando al personale la giusta formazione e gestendo e configurando correttamente il software per sviluppare ulteriormente le tue difese
Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.