Come aiutare i dipendenti ad individuare ed evitare gli attacchi di phishing.

Negli ultimi anni numerosi attacchi informatici e violazioni dei dati hanno avuto un impatto su molte delle più grandi aziende e sui loro utenti finali. In molti di questi casi, milioni di file contenenti dati sensibili, inclusi numeri di carte di credito, password e altre informazioni riservate dei clienti, sono stati compromessi perché un impiegato ha cliccato su un link di phishing.

Il phishing è una delle forme più comuni e diffusa di crimine informatico. Questi attacchi, che depredano la paura, la fiducia e la curiosità dell’utente medio, possono assumere diverse forme come impersonare un collega, un referente, una richiesta urgente da parte di una banca o persino una falsa notifica di audit.

I lavoratori da remoto sono particolarmente vulnerabili agli attacchi di phishing, poiché solo una piccola percentuale del traffico degli utenti finali è protetta dai sistemi di sicurezza aziendali. Data la costante crescita di lavoratori da remoto, ecco alcuni suggerimenti per proteggere le aziende dagli attacchi di phishing:

Istruire gli utenti su come individuare il phishing

Aumentare la consapevolezza degli utenti in merito ai pericoli informatici deve essere una priorità per ogni azienda, soprattutto quando si tratta di mitigare gli attacchi di phishing. Questo perché gli hacker che usano il phishing sono abili nell’indurre gli utenti a cliccare sui link che portano a siti web compromessi, progettati per apparire legittimi.

Inoltre, questi hacker non prendono di mira solo le grandi aziende. Studi recenti mostrano che le aziende con meno di 100 dipendenti hanno tre volte in più la probabilità di essere il bersaglio di un attacco informatico, ma spesso non hanno né misure di sicurezza informatica adeguate né risorse per gestire i propri rischi.

Formare i dipendenti per identificare ed evitare e-mail sospette, controllare i mittenti e verificare sempre l’autenticità delle richieste urgenti di dati sensibili o informazioni confidenziali, sono attività fondamentali per prevenire gli attacchi di phishing. Ciò include la formazione dei dipendenti per verificare la presenza di lievi variazioni di ortografia o di formato nel nome del dominio e trovare metodi alternativi per verificare e-mail sospette (non premendo replay).

Ad esempio, gli URL degli hacker possono differenziarsi dagli URL verificati, solamente di una lettera o un numero, il che significa che gli impiegati devono prestare bene attenzione  quando confermano i mittenti. Se qualcosa sembra non quadrare o se non sembra tutto corretto, è necessario incoraggiare gli impiegati trovare un modo sicuro per verificare l’e-mail.

Attuare abitudini pratiche di buon senso per supportare la formazione degli utenti

È stata identificata, nel panorama delle minacce informatiche, un’ampia gamma di phishing che consentono l’attivazione di ransomware, offrono premi falsi, richiedono pagamenti non necessari, rubano credenziali e altro ancora, e gli hacker non si fermano a questo.

La realtà è che la tecnologia da sola non può garantire la sicurezza dei dati di un’azienda, quindi le abitudini pratiche di buon senso devono supportare la formazione degli utenti. Se un’organizzazione forma gli utenti e non fa nulla per fare rispettare le regole in materia di sicurezza, è probabile che gli utenti adottino abitudini scorrette che possono portare a un attacco di phishing, costando all’azienda tempo, denaro e reputazione.

Lo stesso vale per le politiche di lavoro ibrido. Gli impiegati dovrebbero mantenere separato il lavoro e le attività personali. Utilizzare un account di posta elettronica aziendale e i dispositivi forniti dall’azienda esclusivamente per finalità lavorative durante lo svolgimento del lavoro, può aiutare a ridurre al minimo le possibilità di attacchi di phishing. Inoltre, le aziende dovrebbero concedere ai dipendenti solo l’accesso a quei sistemi di cui necessitano per svolgere il proprio lavoro.

Stabilisci una strategia e seguila

Gli utenti finali sono spesso i punti deboli che favoriscono gli attacchi alla sicurezza informatica, ma istruire I dipendenti è solo una parte della battaglia perché la sicurezza non è statica e deve evolversi con l’azienda. Con gli hacker che cambiano e perfezionano costantemente le loro tattiche per ingannare gli utenti, le aziende devono disporre di una solida strategia di sicurezza informatica supportata dalla tecnologia e fornire formazione sulla sicurezza informatica per mitigare e prevenire gli attacchi di phishing, che stanno diventando sempre più difficili da individuare.

Che si tratti di malware, ransomware, bots o tentativi di phishing, le organizzazioni necessitano di implementare misure di sicurezza informatica che includano programmi di protezione degli endpoint, firewalls e soluzioni di sicurezza della rete che aiutino a proteggere in modo proattivo tutti i dispositivi collegati alla loro rete.