Phishing e sicurezza informatica, come proteggere la tua Azienda

Gli attacchi informatici gravi sono cresciuti del 32% tra il 2018 e il 2021, come illustra il rapporto Clusit 2022. Il phishing è ancora una delle cause più frequenti di violazioni della sicurezza informatica nelle aziende perché sfrutta subdolamente sistemi di comunicazione molto familiari come mail, chat, social network per ottenere con l’inganno informazioni importanti dagli utenti.

Queste informazioni vengono poi utilizzate dai cybercriminali per operazioni illegali. Un esempio? Prendere in ostaggio i sistemi informatici di un’azienda, bloccarne le attività e chiedere un riscatto.

In molti casi i sistemi antispam bloccano le mail a rischio. A volte però i messaggi pericolosi riescono a superare antivirus e sistemi di protezione informatica arrivando direttamente nelle caselle email e sui device dei dipendenti.

A questo punto solo la preparazione e il buon senso delle persone possono evitare rischi più grandi. 
Come è possibile riconoscere i messaggi di phishing e difendersi da queste minacce? Cosa devono fare i dipendenti per contribuire a difendere i dati aziendali dai tentativi di phishing? 

Cos’è il phishing e perché è pericoloso

Il phishing è un tentativo di impossessarsi abusivamente di informazioni personali o violare account online usando indirizzi email, messaggi, annunci o siti ingannevoli che hanno l’aspetto di altri siti che le persone utilizzano normalmente.
Ciò che rende più pericolosi questi attacchi è proprio la difficoltà di distinguere un’email vera da un tentativo di phishing.

La polizia postale, ad esempio, lo scorso febbraio ha segnalato un messaggio proveniente apparentemente dal Ministero della Salute il cui testo riportava: “la sua certificazione verde Covid-19 risulta essere clonata, per evitare il blocco è richiesta la verifica dell’identità su dgcgov.valid-utenza.com”.

Naturalmente questo indirizzo era una trappola creata da cybercriminali per rubare credenziali di accesso o dati sensibili.
Il furto di credenziali e dati può compromettere la sicurezza personale, dell’Azienda e dei Clienti.

Come riconoscere una mail di phishing

I cybercriminali che creano i messaggi di phishing sono molto abili a imitare le comunicazioni di banche, enti governativi, aziende (e persino personaggi celebri) per ingannare gli utenti.

Lo scudo più efficace per proteggersi dal phishing è quindi il fattore umano. La formazione è il modo migliore per sfruttarne tutto il potenziale.
Tutti i dipendenti di un’azienda dovrebbero avere la consapevolezza dei possibili rischi che possono incontrare quotidianamente nel loro lavoro e, per quanto riguarda il phishing, sapere come agire di fronte a messaggi sospetti.

Ecco alcuni elementi che dovrebbero far sorgere dubbi sulla natura di un messaggio:

• contiene la richiesta delle tue informazioni personali e dei tuoi dati finanziari
• contiene un link o il download di un software
• il link potrebbe rimandare ad una pagina web che assomiglia a quella di organizzazioni di cui ti fidi (es. la tua banca, uno dei fornitori di energia, corrieri e poste, Amazon, Netflix, etc.)
• proviene apparentemente da un’organizzazione affidabile, ad esempio l’azienda dove lavori, il sito di un social media che utilizzi o la tua banca
• utilizza l’identità di una persona che conosci, ad esempio un familiare, un amico o un Collega
• sembra essere urgente o promette ingenti guadagni in poco tempo oppure vincite di premi.

4 suggerimenti per difenderti dalle minacce

Quando ci si trova davanti a un messaggio che appare sospetto è inoltre importante seguire alcune regole di comportamento.

1. Prima di cliccare su un qualunque link, verifica che l’indirizzo mostrato sia davvero lo stesso indirizzo internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice è passare il mouse sopra il link stesso. In ogni caso, è preferibile copiare l’indirizzo (il tasto destro del mouse permette di farlo) e incollarlo nella barra di ricerca del browser piuttosto che cliccare sul link
2. Controlla che la connessione sia HTTPS e verifica il nome del dominio all’apertura di una pagina (es. corrisponde a quello ufficiale della banca o dell’organizzazione?). Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni personali, come pagine per l’online banking
3. Valuta bene se la pagina è assolutamente affidabile prima di fornire informazioni personali o dati finanziari, quali:
   • nome utente e password, incluse le modifiche delle password
   • numero di previdenza sociale e codici identificativi rilasciati dal governo
   • numero di conti bancari
   • numero di identificazione personale (PIN)
   • numero della carta di credito
   • data di nascita
   • altre informazioni private, come il cognome da nubile di tua madre
4. Se i sospetti permangono puoi chiedere supporto al gestore della posta o al reparto che si occupa di informatica o di sicurezza del network. In ogni caso ricorda di non rispondere ai messaggi sospetti e non inoltrarli a colleghi o conoscenti. 
5. In alcuni casi una telefonata al mittente del messaggio (es. collega che avrebbe inviato la comunicazione, la sede della banca o dell’ente, ecc) può aiutare a chiarire se si tratta di un falso.

L’arma più importante contro il phishing? La cultura della sicurezza

Chi si occupa di informatica sa che non esistono sistemi in grado offrire il 100% di protezione. I cybercriminali affinano continuamente le loro tecniche per raggiungere i loro scopi.

Per questo è necessario scegliere sistemi di comunicazione gestiti da operatori professionali anche per la posta elettronica. Antispam e antivirus devono essere sempre attivi e aggiornati per mitigare i rischi. 

Qualunque sia il mix di tecnologie adottate per proteggere i sistemi informatici, c’è un ingrediente dal quale non si può prescindere: creare una cultura aziendale della sicurezza informatica.
Le persone sono la prima barriera per bloccare i cybercriminali: il caso del phishing lo dimostra.