Come proteggere la vostra azienda dagli attacchi di phishing via e-mail

Il crimine informatico è ora una delle molte preoccupazioni che le aziende affrontano quotidianamente. La tecnologia è stata il pilastro dello sviluppo per molte aziende; tuttavia, man mano che l'aspetto digitale diventa più essenziale per l'operatività e le attività quotidiane delle imprese, cresce anche il numero di attacchi in questo ambiente.

One of the most common means for hackers to gain access to the private information of individuals and companies is through email. E-mail is one of the most used channels by companies and individuals to share information on a daily basis. It’s incredible how much information is sent through email every day and how much of that data contains private or delicate information. Suppose you want to prevent your company from suffering a phishing attack due to an oversight in the correct use of email. In that case, this article will provide you with valuable information to prevent and provide greater security to your company. 

Innanzitutto, cos'è il phishing?

Phishing is a type of social engineering where the hacker tricks a user into doing “the wrong thing”, which usually includes disclosing information or clicking on a malicious link. Phishing can be conducted via social media, text messages, or even by phone. However, nowadays, emails have been the most common channel for perpetuating this type of attack. Email is an ideal delivery method for phishing attacks because most people check their emails in a rushed manner. In addition, these malicious emails are very easy to camouflage among legitimate emails.

In che modo il phishing influisce sulle aziende?

Un'organizzazione di qualsiasi tipo e dimensione può essere colpita da un'email di phishing. Oltre al furto di informazioni, le email di phishing possono installare malware, inclusi ransomware, sabotare i tuoi sistemi o rubare denaro tramite frode. Inoltre, un attacco informatico può distruggere la tua reputazione e la fiducia dei tuoi clienti. Potresti essere coinvolto in una campagna di massa; questo è quando l'attaccante ruba password o guadagna denaro facilmente, che di solito è il primo passo per commettere un attacco più grande alla tua azienda, come il furto di dati sensibili. In una campagna mirata, gli attacchi possono utilizzare informazioni private sui tuoi dipendenti per creare messaggi più realistici e persuasivi, noto come spear phishing.

Perché gli attacchi di phishing hanno successo?

Hackers have studied people’s online behavior very well, they know how people’s social instincts works, such as being helpful and efficient. Phishing attacks can be particularly powerful because these social instincts also make us good at our jobs.

Il modo più efficace per proteggersi dagli attacchi di phishing è utilizzare una combinazione di tecnologia, processi e approcci basati sulle persone. Ad esempio, se vuoi che le persone segnalino qualsiasi email sospetta, devi rendere facile per loro farlo. Ciò significa fornire mezzi tecnici per segnalare l'email e avere un processo in atto che fornisca un feedback tempestivo sulla segnalazione.

Come proteggere la tua azienda dagli attacchi di phishing?

Ecco alcuni passaggi forniti da esperti per proteggere la tua azienda dagli attacchi di phishing via email:

Ampliare le tue difese:

Typical defences against phishing rely on users’ ability to detect phishing emails. By widening your defences you can improve your resilience against phishing without disrupting the productivity of your employees. You will also have multiple opportunities to detect a phishing attack and act before it can cause big damage to your company. Also, it is essential to embrace the fact that some attacks will get through, which you can use as an advantage to plan ahead and minimise the damage caused.

Quando sviluppi il tuo piano di sicurezza, puoi pensare alle tue difese in termini di quattro livelli:

• Don’t let your email addresses be a resource for hackers.
• Aiuta gli utenti a identificare e segnalare email potenzialmente dannose o fraudolente.
• Mantieni la tua organizzazione al sicuro dalle email di phishing che passano inosservate.
• È importante rispondere rapidamente agli incidenti per risolverli il prima possibile.

Di seguito spiegheremo ciascuno di questi livelli e come applicarli alla tua azienda. 

Livello 1: Rendi difficile per gli hacker raggiungere i tuoi utenti

Il primo livello descrive le difese che possono rendere difficile per gli hacker raggiungere i tuoi utenti finali.

Don’t let hackers use your email addresses as a resource

Gli attaccanti possono ingannare le persone inviando email fingendo di essere qualcun altro, ad esempio uno dei tuoi dipendenti o persino te stesso. Queste email falsificate possono raggiungere i tuoi clienti o le persone all'interno della tua organizzazione.

Come puoi prevenire questo?

Per proteggere i tuoi indirizzi email e impedire agli hacker di ottenere l'accesso, puoi utilizzare controlli anti-spoofing: DMARC, SPF e DKIM. Inoltre, incoraggiare i tuoi contatti a fare lo stesso è molto utile.

Riduci le informazioni disponibili online

The online public information of your company is known as a “digital footprint” and includes all the public information you post on social media and your website. Including the one your employee posted.

Cosa puoi fare a riguardo?

Don’t provide unnecessary details; beware of the information your partners, contractors, and suppliers give about you in their organization’s online communication and work with your employees to minimize security risks. Educate your staff on how sharing their personal information can affect them and the organization, and develop a clean digital footprint policy for all users.

Filtra o blocca le email di phishing in arrivo

Filtrare o bloccare qualsiasi tentativo di attacco di phishing prima che raggiunga i tuoi utenti riduce la probabilità di qualsiasi danno. Inoltre, riduce anche il tempo che gli utenti devono spendere per controllare email sospette e segnalarle.

Come puoi fare questo?

Acquisisci un servizio di filtraggio/blocco basato su cloud per bloccare tutte le email in arrivo con phishing e malware prima che raggiungano il tuo utente. Assicurati che il servizio che ottieni copra tutti i tuoi utenti. Per le email in entrata, le politiche anti-spoofing del mittente dovrebbero essere rispettate. Se il mittente ha una politica DMARC con una politica di rifiuto, dovresti fare come richiesto. Inoltre, le email possono essere filtrate o bloccate in diversi modi, come l'utilizzo di indirizzi IP, nomi di dominio, liste bianche/neri di indirizzi email, liste nere di spam pubbliche e relay aperti, tipi di allegati e rilevamento di malware.

Livello 2: Aiuta l'utente a identificare e segnalare email di phishing sospette

Questo livello spiega i modi migliori per aiutare il tuo personale a individuare le email di phishing e come migliorare la tua cultura di segnalazione.

Un programma di formazione sul phishing ben eseguito può fare la differenza

One of the most emphasized methods regarding phishing defence is your train your users, they can provide a valuable contribution to your organization’s safety. However, humans can make mistakes, that’s why it is crucial to provide a holistic approach with appropriate technical mitigations and changes to the wider security culture of the organization. 

Come puoi fare questo?

Il tuo personale deve sapere che i messaggi di phishing possono essere difficili da individuare e non ti aspetti che le persone li identifichino sempre. Invece, promuovi una mentalità in cui è accettabile chiedere guida o supporto quando qualcosa sembra fuori posto.

Non punire mai gli utenti che faticano a individuare le email di phishing. Ricorda, gli hacker sono professionisti e sanno come ingannare le persone. La formazione dovrebbe mirare a migliorare la fiducia e la disponibilità dei tuoi dipendenti a segnalare futuri incidenti.

Assicurati che i tuoi utenti comprendano le conseguenze del phishing e fornisci esempi reali e casi di studio tangibili senza sopraffare le persone.

Lavora con il personale che è più vulnerabile a ricevere email di phishing. Ad esempio, i dipartimenti a contatto con i clienti, l'area finanziaria o il personale IT sono di maggiore interesse per gli hacker. Assicurati che il personale sia consapevole dei rischi e offri loro supporto aggiuntivo.

Rendi più facile per i tuoi utenti riconoscere le richieste fraudolente

Gli attaccanti ingannano gli utenti per ottenere accesso a password o effettuare pagamenti non autorizzati. Tenendo presente quali processi sono più probabilmente imitati dagli attaccanti, è necessario migliorarli e rivederli in modo che individuare questi attacchi di phishing possa essere più facile.

Come puoi fare questo?

Assicurati che tutti i coinvolti siano familiari con i processi e siano preparati a riconoscere attività insolite.

Implementa l'autenticazione a due fattori, il che significa che tutte le richieste email importanti sono verificate tramite un secondo tipo di comunicazione, come messaggi di testo, chiamate o di persona. Un'altra cosa che puoi fare per condividere file è attraverso un account cloud controllato da accesso; in questo modo eviti qualsiasi allegato nelle tue email.

Consider telling your suppliers or customers what they should look for, such as “we will never ask you for your password or bank details”.

Incoraggia gli utenti a chiedere aiuto quando ne hanno bisogno

Costruire una buona cultura di segnalazione consente ai tuoi utenti di chiedere aiuto e ti fornisce informazioni importanti sui tipi di attacchi di phishing che vengono mirati alla tua organizzazione. Puoi anche imparare quali tipi di email vengono confusi con il phishing e quali miglioramenti puoi apportare.

Come puoi fare questo?

Create an effective process for users to report when they think phishing attempts might have passed your organization’s technical defences. Ensure the process is clear, simple and convenient.

Fornisci un feedback rapido e specifico su quale azione è stata intrapresa e chiarisci che i loro contributi fanno la differenza e sono utili.

Pensa a come puoi utilizzare canali di comunicazione informali per creare un ambiente in cui sia facile per il personale parlare dell'argomento e chiedere supporto e guida.

Evita di creare una cultura orientata alla punizione o alla colpa intorno al phishing.

Livello 3: Proteggi la tua organizzazione dagli effetti delle email di phishing non rilevate

Questo livello spiega come minimizzare l'impatto delle email di phishing non rilevate.

Proteggi i tuoi dispositivi dal malware

Il malware è nascosto in email o siti web falsi, ma puoi configurare i tuoi dispositivi per impedire l'installazione di malware, anche se l'email viene cliccata.

Come puoi evitare il malware?

Un modo per impedire agli attaccanti di esplorare le tue vulnerabilità è utilizzare software e dispositivi supportati e mantenerli aggiornati con le ultime versioni degli sviluppatori di software, fornitori di hardware e venditori.

Limita l'uso degli account amministrativi solo al personale che ne ha bisogno. Tuttavia, le persone con account amministrativi non dovrebbero mai usarli per controllare email o navigare sul web.

Considera altre difese di sicurezza per il malware, come disabilitare le macro, software anti-malware, antivirus, ecc. Tuttavia, devi assicurarti quale tipo di difesa dal malware sia appropriata per i diversi dispositivi.

Proteggi i tuoi utenti da siti dannosi

I link a siti web dannosi sono sempre la parte più importante delle email di phishing. Tuttavia, se il link non riesce ad aprire il sito web, l'attacco non sarà completato.

Come puoi fare questo?

Il software più moderno e aggiornato bloccherà i siti web che contengono malware. Tuttavia, questa opzione non è sempre disponibile sui dispositivi mobili.

Le organizzazioni dovrebbero eseguire un servizio proxy, sia internamente che nel cloud, per bloccare qualsiasi tentativo di raggiungere siti web identificati come ospitanti campagne di malware o phishing.

Proteggi i tuoi account con un'autenticazione più forte

Gli hacker sono sempre alla ricerca di password, specialmente quando si tratta di account con privilegi per accedere a informazioni sensibili, risorse finanziarie o sistemi IT. Assicurati di rendere il tuo processo di login più resistente al phishing e limita il numero di account con accesso privilegiato a informazioni sensibili.

Come puoi fare questo?

Abilita l'autenticazione a due fattori (2FA) o la verifica in due passaggi. Avere un secondo fattore significa che l'attaccante non può accedere a un account utilizzando una password rubata.

Usa un gestore di password. Alcuni di questi riconoscono i siti web reali e non riempiono automaticamente su siti web falsi; in questo modo, eviterai di fornire le tue informazioni di accesso a un sito web falso. Inoltre, puoi utilizzare un metodo di single sign-on, in cui il dispositivo riconosce e accede automaticamente al sito web reale. Queste due tecniche evitano di inserire manualmente le password, il che significa che sarebbe insolito quando un sito richiede all'utente di inserire la password.

Considera l'utilizzo di meccanismi di accesso alternativi che sono più difficili da rubare, come biometria o smartcard.

Rimuovi o sospendi gli account che non vengono più utilizzati.

Livello 4: Rispondi rapidamente agli incidenti

Tutte le organizzazioni sperimenteranno un attacco informatico a un certo punto; esserne consapevoli e avere un piano in anticipo per reagire immediatamente è fondamentale per evitare le conseguenze più gravi.

Rileva rapidamente gli incidenti

Sapere di un incidente prima piuttosto che dopo ti permette di limitare il danno che può causare.

Come puoi fare questo?

Avere una capacità di monitoraggio della sicurezza può rilevare incidenti di cui i tuoi utenti non sono a conoscenza. Tuttavia, questo non può essere possibile per tutte le organizzazioni, quindi puoi iniziare raccogliendo log, come la cronologia delle email ricevute, gli indirizzi web visitati e le connessioni a indirizzi IP esterni. Per raccogliere queste informazioni, puoi utilizzare strumenti di monitoraggio integrati nei servizi pronti all'uso, come i pannelli di sicurezza cloud, costruire un team interno o esternalizzare a un servizio di monitoraggio della sicurezza gestito. La quantità che raccogli e memorizzi dipenderà dal tuo budget. Una volta fatto questo, assicurati di mantenerlo aggiornato, in modo che rimanga efficace.

Avere un piano di risposta agli incidenti

Una volta che tu o alcuni dei tuoi dipendenti avete scoperto un attacco di phishing, devi sapere cosa fare per prevenire qualsiasi danno il prima possibile.

Come puoi fare questo?

Assicurati che tutti nell'organizzazione sappiano cosa fare in caso di diversi tipi di incidenti, le loro responsabilità e come lo faranno. Assicurati che il tuo piano sia conforme agli obblighi legali e normativi della tua organizzazione. I piani di risposta agli incidenti dovrebbero essere praticati in anticipo per garantire che tutti siano familiari con la procedura e i loro ruoli.

Riflessioni finali

In conclusione, gli attacchi di phishing possono avere gravi conseguenze per individui e organizzazioni. È importante ricordare che non è un problema che può essere risolto con una sola soluzione, ma piuttosto implementando vari livelli di difesa. Questo può coinvolgere misure tecniche, come l'uso di gateway email sicuri e servizi proxy, nonché avere un'autenticazione forte e una formazione regolare degli utenti per educare i dipendenti a riconoscere i tentativi di phishing. Infine, essere preparati con un piano di risposta in caso di attacco è cruciale per minimizzare i danni e recuperare rapidamente.