3 tipi di minacce e-mail complicate e costose a cui le organizzazioni dovrebbero prestare attenzione

Si stima che ogni minuto vengano persi 2,9 milioni di dollari a causa del crimine informatico e che le grandi aziende perdano 25 dollari al minuto solo per violazioni della sicurezza. Questi sono numeri scioccanti ed è probabile che cresceranno in futuro. Sempre più aziende trasferiscono le proprie attività online e vengono create sempre più opportunità per le persone disposte a infrangere le leggi online. Uno dei punti di accesso preferiti dai criminali informatici sono le e-mail e ci sono alcune minacce e-mail specifiche progettate per mettere a repentaglio la sicurezza dei dati. In particolare, sicurezza dei dati aziendali. In questo rapporto, vogliamo evidenziare tre principali truffe via e-mail che hanno afflitto aziende grandi e piccole, in lungo e in largo.

Phishing

Devi già sapere cos'è il phishing, considerando quanto sia ben studiato e analizzato questo fenomeno. Il phishing è un modo per i criminali informatici di indurre le persone a fornire informazioni o di esporle a collegamenti e file che potrebbero essere dannosi o che potrebbero aprire backdoor per truffe più elaborate. I manipolatori possono creare messaggi supportati da righe dell'oggetto, firme, loghi e layout credibili. Molti destinatari di e-mail di phishing potrebbero interagire con loro senza esitazione, il che, ovviamente, è un errore.

Ogni volta che trovi un nuovo messaggio nella tua casella di posta, devi esaminare un elenco di controllo per valutare se è abbastanza affidabile da essere aperto. La riga dell'oggetto ha senso? Ci sono errori? Sei indirizzato utilizzando le informazioni all'interno del tuo indirizzo email (ad esempio, se il tuo indirizzo è billgates001@gmail.com , potresti essere indirizzato come billgates001 )? Conosci il mittente? Se finisci per aprire il messaggio, devi prestare attenzione anche al messaggio. Qualcuno richiede informazioni sensibili? Il messaggio contiene un collegamento a una pagina di accesso falsa? Qual è il tono del messaggio? Qualcuno sta cercando di intimidirti e di farti agire con negligenza? Ci sono alcune linee tematiche di uso comune che i phisher utilizzano, ma potrebbero anche essere personalizzate, motivo per cui dovresti stare attento ogni volta.

Caccia alla balena

Quando si tratta di truffe via e-mail, la caccia alle balene potrebbe essere il tipo più sinistro di truffa via e-mail. Conosciuta anche come truffa Business Email Compromise (BEC) o CEO Fraud, la caccia alle balene è sempre personale e mirata. In breve, un aggressore impersona l'amministratore delegato dell'azienda o qualcun altro in una posizione di alto rango. Certo, qualcuno potrebbe impersonare Mark Zuckerberg e indurre gli utenti di Facebook a pensare che il CEO della più grande piattaforma di social media sul pianeta Terra li stia contattando, ma, in questo scenario, è molto probabile che il nome di Zuckerberg venga utilizzato per prendere di mira i dipendenti di Facebook.

Senza dubbio, potrebbe essere difficile o addirittura impossibile dirottare account CEO effettivi per inviare e-mail fuorvianti che potrebbero contenere collegamenti dannosi, richiedere informazioni sensibili, richiedere trasferimenti di denaro, ecc. Tuttavia, la creazione di indirizzi e-mail che sembrano essere identici a indirizzi reali è facile. Gli schemi possono anche navigare tra i profili dei social media dell'azienda e utilizzare informazioni pubbliche (ad esempio, indirizzi e-mail condivisi tramite un sito Web ufficiale) per far sembrare più legittime le e-mail fittizie. Ad esempio, verso la fine delle vacanze di fine anno, gli intriganti potrebbero provare a impersonare qualcuno nella società che, presumibilmente, sta organizzando un evento e chiede ai partecipanti di registrarsi utilizzando i dati personali. Sfortunatamente, gli attacchi di caccia alle balene possono mettere seriamente a rischio la sicurezza dei dati aziendali e la sicurezza dei dati in generale.

Spoofing

Supponiamo che tu sia responsabile dei contatti commerciali o del reclutamento all'interno della tua azienda e quindi sei abituato a ricevere e-mail da parti sconosciute su base giornaliera. Questo non significa che puoi essere sbadato. È necessario prestare attenzione alle righe dell'oggetto, agli indirizzi del mittente e ai messaggi prima di intraprendere qualsiasi azione. Lo spoofing è molto simile alla caccia alle balene, tranne per il fatto che invece di imitare i leader all'interno dell'azienda, è probabile che gli intriganti imitino gli estranei. Ovviamente, non puoi ignorare tutte le e-mail inviate da una parte sconosciuta se il tuo lavoro è accogliere estranei, ma è tua responsabilità tenere fuori gli intrusi perché non vuoi essere il responsabile delle principali violazioni della sicurezza dei dati.

I ricercatori di cybersecurity concordano sul fatto che rimanere vigili sia la migliore medicina contro lo spoofing. Si consiglia inoltre alle aziende di utilizzare strumenti diversi per proteggere i propri dipendenti dagli attacchi di spoofing. Potrebbero voler utilizzare strumenti di rilevamento dello spoofing, protocolli di crittografia appropriati, protezione antivirus, VPN, firewall e strumenti di filtraggio dei pacchetti. E per le truffe e-mail legate allo spoofing in particolare, i ricercatori consigliano di utilizzare filtri e-mail e sistemi di autenticazione, oltre a ignorare le e-mail che sono semplicemente troppo sospette. Una buona regola pratica è che se qualcosa ti rende sospetto, vuoi ricontrollare con il mittente (preferibilmente utilizzando un metodo di comunicazione diverso) o con qualcuno responsabile della sicurezza informatica.

Come garantire la sicurezza dei dati se minacciati via e-mail

Proprio come tutte le decisioni importanti all'interno di un'azienda, la protezione della sicurezza dei dati deve essere decisa dai suoi leader. L'amministratore delegato deve dare istruzioni a coloro che si trovano nei ranghi inferiori affinché adottino le misure appropriate. Ad esempio, il reparto IT potrebbe essere incaricato di implementare difese contro spoofing e phishing. I responsabili dei diversi reparti potrebbero essere incaricati di formare i dipendenti su come identificare le e-mail di phishing e come prevenire le violazioni della sicurezza dei dati in futuro.

Ovviamente, se si è verificata una violazione dei dati, è anche importante risolvere i problemi che potrebbero essere già stati causati. Ad esempio, potrebbe essere essenziale modificare le password di tutti i sistemi in uso nonché le password di tutti gli account dei dipendenti se un attacco di phishing è stato utilizzato per esfiltrare le credenziali di accesso. Apportare modifiche intelligenti è più facile a dirsi che a farsi perché non è sufficiente cambiare una password con un'altra. Ogni password deve essere unica e sicura e non tutte le parti coinvolte potrebbero essere sufficientemente motivate da apportare le modifiche appropriate. Pertanto, se è necessario modificare le password, consigliamo di implementare uno strumento di gestione delle password affidabile, Cyclonis Password Manager .

Si spera che la sicurezza dei dati possa essere protetta implementando strumenti e regolando le impostazioni, ma tieni presente che i truffatori hanno varie tattiche per condurre attacchi di phishing, caccia alle balene e spoofing. Se sottovaluti questo rischio, la prossima email che apri con noncuranza potrebbe portare a grossi problemi.

September 3, 2020
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.