Come proteggere le aziende dal phishing

Cliccare su un link di phishing può avere conseguenze importanti, sia a livello economico che di reputazione. Ecco come proteggere la vostra azienda dal phishing.

Le soluzioni di sicurezza per le aziende migliorano costantemente, costringendo i criminali informatici a impiegare più tempo e denaro per penetrare nelle reti aziendali e, sempre più spesso, si affidano all’ingegneria sociale. Sfruttando il fattore umano e facendo uso di informazioni di contatto facilmente disponibili (come quello del personale delle risorse umane o delle pubbliche relazioni), i truffatori possono risalire alle credenziali di accesso di dipendenti ignari, senza doversi preoccupare di quelle soluzioni di sicurezza informatica che continuano a essere perfezionate.

Sfortunatamente, non esiste una bacchetta magica per proteggere le aziende dal phishing; il problema richiede misure sia organizzative che tecniche. Ecco come applicarle nella pratica.

Proteggete il vostro server di posta

I browser e alcuni client di posta elettronica hanno i loro filtri di sicurezza ma i criminali informatici dispongono di molte tecniche per aggirarli. Alcuni, per esempio, usano i servizi di e-mail marketing.

Impedire che le e-mail di phishing raggiungano le caselle di posta dei dipendenti è un forte punto di partenza. Utilizzate una soluzione di sicurezza a livello di gateway di posta come Kaspersky Security for Mail Server.

Proteggete i servizi di Microsoft Office 365

Al giorno d’oggi, invece di implementare i propri server di posta, molte aziende utilizzano servizi su cloud, principalmente MS Office 365. I dati degli account di Microsoft Office, che potenzialmente danno ai cybercriminali l’accesso a servizi come OneDrive e SharePoint che possono memorizzare informazioni riservate e dettagli di contatto, sono un obiettivo frequente degli attacchi di phishing.  Anche se un dipendente, dal punto di vista teorico, sa che deve controllare attentamente i messaggi, nella pratica potrebbe comunque cliccare su un link o inoltrare affrettatamente un messaggio ai colleghi.

Microsoft presenta delle tecnologie di sicurezza imperfette, che si possono (e si dovrebbero) rafforzare con ulteriori livelli di protezione. Per esempio, Kaspersky Security for Microsoft Office 365 impedisce la diffusione delle minacce attraverso i servizi di Office, protegge dallo spam e dal phishing e rimuove gli allegati dannosi.

Formate i dipendenti

La gamma di trucchi dei criminali informatici di oggi include link dannosi nascosti nelle e-mail, Trojan allegati che sembrano dei documenti, messaggi di testo, telefonate ingannevoli e altro ancora. I messaggi di phishing possono anche provenire da un provider di hosting o da un’azienda partner se l’account di uno dei  dipendenti è compromesso. Il personale deve essere consapevole del fatto che esistono queste tecniche e deve essere in grado di individuare le e-mail sospette.

La formazione che riguarsa la cybersecurity awareness del personale può essere organizzata dal team IT aziendale o da esperti esterni. Inoltre, strumenti online come Kaspersky Automated Security Awareness Platform aiutano i dipendenti a informarsi sul posto di lavoro servendosi di una comoda piattaforma di formazione.

Inviate e-mail di phishing di prova

Mettere alla prova i dipendenti inviando loro e-mail di phishing permette (o costringe) i dipendenti ad applicare le loro conoscenze nella pratica e a prepararsi a incidenti reali. I test evidenziano anche le persone e le aree che necessitano dei miglioramenti.

Fornite i dati contatto di qualcuno che può aiutare a verificare le e-mail sospette

Dopo una formazione di base sulla sicurezza informatica, i dipendenti saranno in grado di individuare la maggior parte delle e-mail di phishing, notando indizi come l’indirizzo del mittente sconosciuto, il logo aziendale sbagliato e gli errori di battitura. In alcuni casi, tuttavia, determinare se un messaggio è sicuro può richiedere l’aiuto di un esperto. Indicate il miglior contatto in azienda in grado di valutare i messaggi sospetti quando entra un nuovo dipendente e che sia visibile anche sul portale aziendale.

Proteggete le workstation

Anche i dipendenti più esperti e attenti commettono errori. I link di phishing possono apparire nelle e-mail personali di un dipendente o arrivare attraverso un’app di messaggistica, tutti canali che i sistemi di sicurezza non verificano. Pertanto, l’installazione di una soluzione di sicurezza su ogni workstation connessa a Internet è fondamentale. In questo modo, anche se un link di phishing raggiungesse l’obiettivo e qualcuno ci cliccasse, il reindirizzamento verrebbe bloccato.

Proteggete i dispositivi mobili

I dipendenti usano gli smartphone per visualizzare la posta. i documenti di fatturazione o per chattare nelle app di messaggistica. I dispositivi mobili hanno sempre rappresentato una minaccia per la sicurezza aziendale, e lo sono ancora di più in questa era di smart working. Per contrastare gli attacchi di phishing sui dispositivi mobili, proteggeteli con Kaspersky Endpoint Security for Business, che si occupa sia delle workstation che dei telefoni cellulari.

Come stare al passo dei criminali informatici

I phisher escogitano sempre nuove tecniche, in modo tale che anche il professionista più accorto potrebbe un giorno consegnare involontariamente l’accesso alla sua posta o un altro account. Con un po’ di buonsenso, è possibile far sì che i criminali informatici mettano le mani sul minor numero possibile di informazioni riservate.

Abilitate l’autenticazione a due fattori

Attivate l’autenticazione a due fattori per tutti i servizi aziendali online. Con la 2FA attiva, anche se i criminali informatici scoprissero le credenziali di un account aziendale o la password di una e-mail, non sarebbero in grado di entrare.

Richiedete password uniche

Formate i dipendenti affinché usino password uniche per ogni servizio o dispositivo di lavoro. Così, anche se i phisher ottenessero una password, nessun’altra risorsa sarebbe a rischio.

Aderite al principio del minor privilegio di accesso possible

Se i dipendenti hanno diritti di accesso solo ai server, all’archiviazione su cloud e ad altre risorse preziose di cui hanno veramente bisogno, i criminali informatici non saranno in grado di provocare troppi danni, anche nel caso in cui ottenessero il controllo di un account aziendale.

Ricapitoliamo: il piano d’azione

Seguendo questi semplici consigli, potete proteggere i vostri dipendenti, e quindi la vostra azienda, dalla minaccia del phishing. In breve:

  • Proteggete il vostro server di posta;
  • Proteggete i servizi di Microsoft Office;
  • Formare i dipendenti;
  • Simulate attacchi di phishing per una formazione mirata;
  • Offrite al personale una persona di contatto che possa aiutare a verificare le e-mail sospette;
  • Proteggete le postazioni di lavoro;
  • Proteggere i dispositivi mobili;
  • Abilitate l’autenticazione a due fattori dove possibile;
  • Utilizzate soluzioni di sicurezza affidabili.
Consigli