Brother
  1. Home Brother
  2. Soluzioni aziendali
  3. Insights hub
  4. Learning hub
  5. Trasformazione digitale
  6. Come proteggere la tua azienda da costosi attacchi di phishing
Come proteggere la tua azienda dal phishing

Come proteggere la tua azienda da costosi attacchi di phishing

Gli attacchi informatici stanno diventando sempre più frequenti e sofisticati e il phishing rappresenta un grave rischio per la sicurezza informatica di ogni azienda.

Brother ha esaminato da vicino l'impatto delle truffe di phishing più recenti per offrirti i migliori consigli per tenere al sicuro la tua azienda e il tuo staff.

 

I criminali informatici stanno diventando sempre più abili e organizzati, causando alle aziende perdite di miliardi di euro ogni anno.

Nonostante i team IT si stiano dedicando con impegno alle minacce derivanti dal phishing, gli hacker sono altrettanto esperti e trovano costantemente nuovi modi per colpire i dipendenti.

Russell Johnson, IT Business Partner di Brother International Europe, ha dichiarato: "Concentrarsi sull'utente è di fondamentale importanza. Disponiamo di sistemi tecnici di protezione degli endpoint ottimi, ma se un attacco sofisticato riesce a superare le misure di sicurezza, spetta all'utente proteggere se stesso e l'azienda".

Apprendendo le ultime tendenze del phishing e implementando misure preventive adeguate risparmierete tempo, risorse e denaro.

Le ultime tendenze del phishing

In Europa è stato registrato un notevole aumento degli attacchi BEC (Business Email Compromise), soprattutto da parte di criminali che si fingono CEO di aziende. Questo trucco di impersonificazione che inganna i dipendenti e li spinge ad agire si sta rivelando uno dei tipi di attacchi di phishing che creano più danni economici.
 
Dopo aver fatto ricerche sull'obiettivo – per lo più direttori finanziari - i criminali informatici creano un indirizzo e-mail falso e convincente per richiedere una transazione.  
 
Sfortunatamente, queste truffe hanno causato ingenti perdite finanziarie a numerose aziende, come nel caso del produttore austriaco di componenti aerospaziali FACC, che ha perso ben 42 milioni di euro in un attacco BEC dopo che con un'e-mail fasulla è stato chiesto a un dipendente di trasferire denaro su un conto per un falso progetto di acquisizione.  
 
Anche la società calcistica Lazio sembra aver perso 2 milioni di euro in una truffa di phishing simile.  La squadra di Serie A ha sbloccato i fondi per il trasferimento di un giocatore dopo aver ricevuto un'e-mail che sembrava provenire dal club olandese Feyenoord.
B23011 GIF Fake login

Anche il Poofing - un altro fenomeno analogo che mira a ottere le credenziali aziendali - è in aumento.

In questo caso, le e-mail indirizzano gli utenti verso una falsa pagina di accesso per servizi aziendali come ad esempio Microsoft Office 365 o Amazon Web Services (AWS), permettendo agli hacker di accedere a dati sensibili memorizzati negli account.

Ad esempio, di recente gli hacker si sono spacciati per Amazon Web Services utilizzando una notifica e-mail automatica; nonostante i collegamenti ipertestuali sembrassero credibili, un'anomalia nell'URL reindirizzava gli utenti a una falsa pagina di accesso.

Rob Mukherjee, consulente per la sicurezza informatica, consiglia alle aziende di utilizzare la Computer Vision, una tecnologia che permette ai computer di replicare il sistema visivo umano tramite algoritmi.

Rob afferma che: "Il software esamina ogni singolo pixel e impedisce alle e-mail di accedere alla casella di posta se individua un'anomalia".

B23011 GIF Impersonation

Inoltre, si è registrato un enorme picco di e-mail di phishing che si spacciano per LinkedIn. I ricercatori hanno riscontrato un aumento del 232% delle e-mail che sostengono di provenire dal sito di social media nel 2022.

I criminali informatici utilizzano lo spoofing del nome visualizzato e modelli HTML stilizzati per convincere gli utenti di Microsoft Outlook a cliccare sui link di phishing e inserire le proprie credenziali.

LinkedIn è stato utilizzato anche per individuare potenziali obiettivi di “spear phishing”. Gli hacker hanno utilizzato il sito di social media per identificare ingegneri di sistema e amministratori di rete di Sony Pictures Entertainment; e e-mail di phishing mirate hanno portato al furto di oltre 100 terabyte di dati aziendali.

B23011 GIF LinkedIn

Il costo reale del phishing

Gli attacchi di phishing sono costosi e difficili da affrontare. Secondo IBM, nel 2022 sono stati la forma di attacco più costosa, con una violazione media dei dati che ha comportato perdite pari a 4,91 milioni di dollari.

Nonostante l'avanzamento della tecnologia e delle misure di sicurezza, il phishing rimane il principale punto di ingresso utilizzato dai criminali informatici. Nel 2022, infatti, l'82% delle violazioni di dati in Europa è stato causato da un errore umano, evidenziando la vulnerabilità delle aziende a questo tipo di attacco.

Questa costante minaccia di phishing non solo è costosa per le aziende, ma ha un impatto diretto sui responsabili IT che vi dedicano più tempo e risorse. I team IT e di sicurezza riferiscono che un'e-mail richiede in media 27,5 minuti per essere verificata.

Come proteggere la vostra azienda dal phishing?

Il modo migliore per garantire la sicurezza della vostra azienda è adottare una combinazione di strumenti informatici, misure informatiche e cambiamenti comportamentali.

Dan Giannasi, responsabile del settore Cyber e Innovazione del Cyber Resilience Centre, sottolinea l'importanza di rendere difficile per gli aggressori raggiungere gli utenti dell'organizzazione: "Le aziende devono adottare misure per proteggere la propria organizzazione rendendo difficile per gli aggressori raggiungere gli utenti. Questo include l'implementazione di solidi protocolli di posta elettronica che impediscano alle e-mail di phishing di raggiungere gli utenti e impediscano ai criminali di imitare il loro dominio e-mail in altri attacchi".

L’implementazione di filtri e-mail aziendali basati su regole è altrettanto cruciale, poiché consente di rilevare nomi di dominio e identità contraffatte che potrebbero eludere i sistemi tradizionali e sfuggire facilmente al personale. I filtri avanzati possono anche rilevare malware, come port scanner e keylogger.
B23011 GIF Phishing

Per quanto riguarda i cambiamenti comportamentali, Joshua Ashton, direttore di Symposium IT, consiglia ai dipendenti di trattare con cautela qualsiasi richiesta di informazioni sensibili e di verificare l'autenticità della fonte prima di agire.

È inoltre fondamentale istruire i team sulle comuni minacce di phishing e testare le loro capacità perché, come sottolinea Russell Jonson, "la resilienza umana può sempre essere migliorata". 

Russell Jonson è a capo di un programma di sicurezza informatica interno a Brother International Europe, rivolto a 1.500 utenti.

Con l'obiettivo di creare "un firewall umano", la formazione obbligatoria è supportata da una guida correttiva e opzionale e da articoli sulle ultime tendenze. Ogni utente viene sottoposto a finti attacchi di phishing una volta al mese utilizzando KnowBe4, un sistema che utilizza l'intelligenza artificiale per valutare gli utenti in base a quattro diversi criteri di rischio. Il programma è stato accolto positivamente dal personale e l'azienda è ora in procinto di raggiungere lo standard del settore per quanto riguarda la percentuale di persone soggette a phishing.

Desideri ulteriori approfondimenti?

Scopri i 5 consigli degli esperti per affrontare il phishing

Scopri di più di Trasformazione digitale

Ti potrebbe interessate

illustrazione di donna con icone di sicurezza informatica

Fattore umano: come costruire una solida cultura sulla sicurezza informatica?
5 '
Illustrazione di uomo seduto al tavolo con pc

Lavoro flessibile: perché i team IT sono fra i principali promotori di questa nuova modalità lavorativa?
3 '
uomo seduto alla scrivania con pc

I peggiori incubi dei leader IT

3 '
Torna su