Con l’aumento dello smart working si è verificata un’impennata di crimini informatici. Gli attacchi di tipo BEC (Business Email Compromise) hanno registrato un aumento del 150% su base annua, quindi le probabilità di essere coinvolti in questo genere di minacce è alta per tutte le organizzazioni. Tuttavia, rimanendo vigili e preparati, è possibile proteggere l’azienda ed evitare tali attacchi. Di seguito di indichiamo i principali pericoli che gli account di posta elettronica aziendale affrontano e i 10 consigli di sicurezza per una gestione sicura delle e-mail.
Il phishing è la minaccia numero uno per la sicurezza della posta elettronica
Il phishing è un tipo di truffa digitale che è particolarmente comune nelle email . È una forma di ingegneria sociale in cui un criminale informatico cerca di ingannare un dipendente facendogli credere che l’e-mail provenga da una fonte credibile. Le e-mail di phishing di solito contengono una sorta di CTA (Call To Action): è una forma di marketing, se vogliamo. Solo che le CTA del phishing di solito comportano la possibilità di cliccare su un link pericoloso o di rivelare dati aziendali sensibili a estranei.
Bene, proprio come qualsiasi altro marketer, i criminali informatici impiegano tecniche creative per migliorare i tassi di conversione delle loro truffe. Più ingannevole è l’email, maggiore sarà il tasso di conversione. Ecco perché le email di phishing possono essere, talvolta, difficili da riconoscere. Esempi di e-mail di phishing includono:
• Truffa della verifica dell’account
riceverete un’e-mail di phishing che assomiglia a questa: “A causa di una recente minaccia alla sicurezza, vorremmo chiederti di verificare il tuo account accedendo tramite il link sottostante. La mancata verifica comporterà la disattivazione permanente dell’account.”
• Truffa delle false fatture
I criminali informatici potrebbero inviare e-mail con una richiesta del genere: “Non abbiamo ancora ricevuto il pagamento per i nostri servizi. Si prega di utilizzare il link sottostante per completare la transazione.”
• Spear phishing . Si tratta di una forma di phishing più avanzata e personalizzata che richiede agli criminali informatici di fare ricerche sulla tua azienda. Ad esempio, un dipendente può ricevere un’e-mail che sembra provenire da un collega specifico e che lo invita a visitare un sito web o a divulgare informazioni.
Ecco i migliori consigli per la sicurezza della posta elettronica
Cadere nelle truffe di phishing può esporre la tua azienda a rivelazioni di dati e malware. Questi consigli per la sicurezza delle e-mail ti aiutano a proteggere la tua azienda dal phishing e da altre forme di criminalità informatica:
1. Condurre corsi di formazione sulla consapevolezza del phishing
Le e-mail vengono solitamente violate a causa della negligenza e della mancanza di conoscenza da parte dei dipendenti. Pertanto, il primo modo per aumentare la sicurezza informatica delle e-mail consiste nell’aumentare la consapevolezza della minaccia principale: il phishing. Tutti i dipendenti dovrebbero ricevere una formazione approfondita per riconoscere ed evitare i tentativi di phishing.
I punti principali da trattare sono i seguenti:
• Acquisire familiarità con i principali schemi di phishing
• Diffidare di richieste insolite
• Vietato di cliccare su link casuali ricevuti tramite email
Una volta che i dipendenti avranno acquisito familiarità con queste precauzioni, la sensibilità della tua azienda alle e-mail di phishing diminuirà in modo significativo.
2. Istruire i dipendenti su come gestire allegati e link sospetti nelle e-mail
Gli allegati e i link sospetti nelle e-mail sono i metodi più comuni utilizzati dai cybercriminali per diffondere software pericoloso. Assicurati che i tuoi dipendenti siano ben consapevoli di queste pratiche subdole e che siano addestrati a individuarle in situazioni reali. Con il tempo e molta pratica, il tuo team svilupperà una certa sensibilità rispetto a link e accuse sospetti nelle e-mail, il che dovrebbe ridurre notevolmente il potenziale vettore di attacco e migliorare in modo significativo la tua sicurezza in generale.
3. Attiva l’autenticazione a più fattori (MFA)
Puoi rendere il tuo account più sicuro rispetto agli criminali informatici collegando il tuo smartphone alla tua posta elettronica. Anche se le password dei tuoi account di posta elettronica dovessero trapelare, nessun estraneo sarà in grado di accedervi senza avere a disposizione anche il dispositivo a cui sono collegati. Tutti gli account aziendali relativi a servizi critici, non solo quelli di posta elettronica, dovrebbero avere attivato l{link1}.
4. Evita di usare la posta elettronica sulle reti Wi-Fi pubbliche
Il Wi-Fi pubblico comporta enormi rischi per la sicurezza delle e-mail. Se non è crittografato (e capita di frequente), chiunque può connettersi alla stessa rete. Non puoi mai sapere se tra queste persone c’è un criminale informatico.
Se un criminale informatico intercetta la tua connessione su una rete Wi-Fi pubblica non crittografata e ti sorprende ad accedere alla tua e-mail, può rubare la tua password. È meglio evitare del tutto il Wi-Fi pubblico, ma se dovrebbe essere necessario connettersi, non trasmettere mai dati importanti mentre lo fai.
5. Evita di utilizzare le e-mail aziendali per scopi privati e viceversa
Al giorno d’oggi, la maggior parte dei lavori d’ufficio prevede un indirizzo e-mail dedicato. Alcuni hanno la tentazione di usare il nuovo indirizzo e-mail come credenziale per tutto. Devi iscriverti a un nuovo servizio di streaming? Perché non usare il nuovo indirizzo e-mail aziendale? Tanto lo fanno tutti, no?
Sulle prime, potrebbe sembrare un’ottima idea. Tuttavia, l’utilizzo dell’e-mail aziendale per scopi privati e viceversa potrebbe causare notevoli problemi di sicurezza sia per te come individuo che per l’azienda.
In primo luogo, l’utilizzo di un’e-mail aziendale per le proprie attività personali online consente una profilazione più facile e semplice. Di conseguenza, ciò potrebbe portare allo spear phishing, una campagna di phishing mirata, o ad altri attacchi informatici mirati.
6. Crittografare l’email aziendale
Crittografare la posta elettronica aziendale, utilizzando uno speciale software di sicurezza, è un ottimo modo per tenere lontani gli criminali informatici. La crittografia garantisce che le persone uniche in grado di visualizzare le e-mail siano il mittente e il destinatario. Se un criminale informatico intercetta la connessione Wi-Fi o l’account di posta elettronica di un dipendente, non potrà accedere ad alcun dato sensibile.
7. Configura i protocolli di sicurezza della posta elettronica
I protocolli di sicurezza della posta elettronica sono estremamente importanti, perché forniscono un ulteriore livello di sicurezza alle tue comunicazioni digitali. I protocolli sono progettati per garantire la sicurezza delle comunicazioni quando passano attraverso i servizi di webmail su internet. Senza l’aiuto dei protocolli di sicurezza per le e-mail, i malintenzionati possono intercettare le comunicazioni in modo relativamente semplice. Familiarizza con i diversi protocolli di sicurezza della posta elettronica e ad attivali per garantire comunicazioni sicure.
8. Migliora la sicurezza degli endpoint
Per rafforzare ulteriormente le tue difese, adotta delle misure per migliorare la sicurezza degli endpoint. Spesso il modo più semplice ed efficace per aumentare la sicurezza degli endpoint è l’implementazione di strumenti ad hoc da utilizzare in tutta l’azienda.
Prendi in considerazione l’implementazione di una VPN, uno strumento che crittografa la connessione a internet e i dati ricevuti sulla rete aziendale. Il software antivirus è un altro strumento che dovrebbe essere utilizzato in tutte le postazioni di lavoro aziendali per garantire una difesa proattiva.
9. Non cambiare le password troppo spesso
Il logorio da password è un dato di fatto: al giorno d’oggi, un utente medio di internet utilizza all’incirca 100 password. Ricordarsele tutte è quindi una vera e propria sfida.
La saggezza convenzionale in materia di sicurezza delle password prevede che queste vengano cambiate ogni 90 giorni. Sebbene possa sembrare una pratica di sicurezza ragionevole, potrebbe portare all’utilizzo di password più semplici e facili da decifrare.
Se sai che i tuoi dipendenti prendono sul serio l’argomento password e che ne creano di difficili, tanto che nessuna di queste è mai trapelata, allora che continuino pure a utilizzare le stesse. Se una password (indipendentemente dalla sua complessità) viene divulgata o violata, la modifica deve essere immediata.
10. Utilizzare password complesse per gli account di posta elettronica
Le password complesse sono fondamentali per la sicurezza degli account. Eppure le aziende spesso non riescono a proteggere le loro e-mail con password sicure . Se la tua azienda è di questo tipo, devi sapere che più la password è facile da indovinare, più è semplice da violare, soprattutto attraverso attacchi di brute force.
Per tutelare la tua e-mail aziendale rispetto a questi attacchi, assicurati che tutti i membri della tua organizzazione proteggano le loro password. Le password di posta elettronica sicure sono:
• Lunghe
• Complicato
• Contengono diversi tipi di caratteri
• Uniche (mai riutilizzare su altri account)
Questi punti sono cruciali se vuoi garantire la sicurezza della tua attività. Tuttavia, le password difficili violare sono generalmente anche difficili da ricordare. L’ultima cosa che una persona vorrebbe, sarebbe proteggere il proprio account così bene da non potervi accedere nemmeno lui.
Fortunatamente, un buon gestore di password Business può venire in tuo aiuto. Se tutti i membri della tua azienda lo usano per i loro account, le loro e-mail saranno al sicuro e non saranno registrati per ricordare le password.
Concludendo
La sicurezza degli account e-mail non è mai scontata. Anche se piattaforme come Gmail o Outlook fanno del loro meglio per garantire la sicurezza dei loro utenti, è facile cadere vittima degli criminali informatici se non si protegge il proprio account. Seguendo questi consigli per la sicurezza della posta elettronica, le probabilità che le tue e-mail aziendali vengano violate saranno molto più ridotte, perché i criminali informatici preferiranno probabilmente prede più vulnerabili di te!