4 modi per distinguere gli attacchi di phishing
Buongiorno
cari lettori, oggi parleremo di come riconoscere un attacco di phishingMolti film e altri media potrebbero avere un'idea un po' distorta di ciò che fanno esattamente gli hacker. Ma uno spettacolo che ha funzionato bene è Mr. Robot , che mostra che il punto debole di un'azienda di solito sono le sue persone. Il “fattore umano” lo chiamano.
È vero che molte violazioni dei dati e altri compromessi della sicurezza avrebbero potuto essere evitati se le persone non avessero commesso errori. Purtroppo, non esiste un vero modo per eliminare il fattore umano, poiché le persone hanno difetti psicologici: nessuno è perfetto. E i criminali lo sanno, motivo per cui continuano a sfruttare i difetti delle persone e gli attacchi informatici continuano ad assumere forme più complesse.
Sebbene non sia sempre evitabile, esistono modi per dotare i dipendenti di essere più protetti dagli attacchi informatici. In particolare, gli attacchi di phishing , che è di gran lunga il metodo più comune utilizzato dagli hacker. Ecco come un'azienda può formare i propri dipendenti per evitare attacchi di phishing.
1. Fornire un'istruzione adeguata su phishing e sicurezza informatica
Molte persone non comprendono appieno che cos'è la pesca, come funziona o che aspetto hanno le e-mail/i messaggi di phishing. Il primo passo verso la protezione dovrebbe essere sempre l'istruzione. È fondamentale che i dipendenti vengano istruiti sui diversi tipi di attacchi di phishing e che siano consapevoli di cosa cercare.
Le organizzazioni spendono migliaia, a volte anche milioni, di dollari per l'infrastruttura di sicurezza . Quanto di questo viene speso per educare i dipendenti su detta sicurezza? Spesso poco, se del caso. Non c'è da stupirsi che le persone siano ancora viste come l'anello più debole.
Insegna loro come individuare i tentativi di phishing:
I tentativi di phishing contengono quasi sempre un collegamento, un allegato scaricabile o una direttiva che dice alle persone di fare qualcosa al più presto.
Ci sono spesso molti errori di ortografia, ma non sempre.
L'e-mail o il messaggio possono infondere un senso di urgenza per convincere le persone ad agire rapidamente senza pensare.
Potrebbe essere una minaccia o addirittura un ricatto, come nel caso delle truffe di phishing di sextortion.
La firma dell'e-mail di solito avrà un aspetto strano o diverso dal normale.
Nonostante tutti i comuni segni rivelatori, le e-mail di phishing possono sembrare legittime. Gli hacker possono effettuare attacchi di spear phishing che assomigliano all'invio dell'e-mail da parte di un'azienda, di una banca o di un appaltatore noti. Tuttavia, i dipendenti dovrebbero usare il buon senso per pensare se questa e-mail fosse giustificata. Contiene un collegamento e chiede loro di accedere al proprio account senza motivo? La maggior parte delle banche, ad esempio, non invierà un'e-mail chiedendo alle persone di accedere ai propri account o inviando collegamenti.
Le email o i messaggi di phishing non provengono sempre da estranei. A volte vengono inviati dagli account compromessi di amici, colleghi o altri contatti.
2. Fai una sessione di aggiornamento una volta all'anno
Proteggere i sistemi dell'azienda non significa solo educare le persone, ma aiutarle a costruire abitudini sicure. Uno degli unici modi per indurre le persone a prendere buone abitudini è attraverso la ripetizione. In questo caso, significa ripetere informazioni importanti sul phishing per mantenerle fresche nella mente delle persone.
3. Adotta più strumenti di sicurezza informatica
In questo caso, gli strumenti di sicurezza informatica assolvono a una doppia funzione. Il più ovvio è che aggiungono più protezione per i sistemi aziendali e la proprietà intellettuale. Ma hanno anche l'ulteriore vantaggio di ricordare alle persone la sicurezza. Se qualcuno deve accedere a una VPN ogni giorno, gli viene ricordato che deve proteggere i propri dati.
Molte VPN, come NordVPN, offrono pacchetti business con ottimi affari, quindi anche questo non sarà un grosso colpo per il budget dell'azienda. Ma NordVPN è sicuro ? Non tutte le VPN sono affidabili, specialmente quelle gratuite. Tuttavia, NordVPN è menzionata qui perché è una delle migliori VPN sul mercato. Assicurati di fare un'ampia ricerca e scegliere gli strumenti di sicurezza informatica più affidabili.
Lo stesso vale per i firewall aziendali, i programmi antivirus, altre forme di crittografia dei dati e gli account online.
4. Imposta i protocolli per i tuoi dipendenti
Insegnare ai dipendenti gli attacchi di phishing è solo metà del lavoro. Dovrebbe esserci anche una serie di protocolli per quando hanno identificato un messaggio o un'e-mail che potrebbe essere un attacco di phishing. Di solito, questo dovrebbe essere coordinato con il dipartimento IT o il CISO per informarli di qualsiasi cosa sospetta.
Il responsabile della sicurezza informatica (e dovrebbe essercene uno, anche per le piccole imprese) deve prendere sul serio ogni segnalazione. Devono quindi collaborare con il dipendente per verificare il tentativo di phishing e determinare se è necessario fare qualcos'altro.
L'azienda può anche impostare protocolli che stabiliscono come le persone utilizzano i dispositivi personali al lavoro o per lavoro. Se qualcuno usa il proprio smartphone per guardare le e-mail aziendali, deve applicare lo stesso livello di sicurezza su quel dispositivo.
Pensieri finali
È difficile mantenere un'azienda al sicuro nel migliore dei casi. Ma quando i suoi dipendenti non sono inclusi in questi sforzi, mettono attivamente a rischio l'azienda.
Con l'ausilio di una certa formazione e di opportuni protocolli di sicurezza, è possibile ridurre notevolmente il rischio del fattore umano.
