Le email sono semplici da usare e ciò ne ha favorito la diffusione, aprendo così le porte agli hacker. Alla semplicità d’uso corrisponde una relativa semplicità di difesa, fatta di sette regole per lo più immediate da mettere in pratica.
A titolo di esempio, rifacendoci ai dati raccolti dalla società di sicurezza Trend Micro Research, nei primi sei mesi del 2023 l’Italia ha occupato il terzo posto della graduatoria internazionale con 119.048.776 minacce via email.
A livello globale e relativamente ai numeri forniti da Trend Micro per il primo semestre del 2023, sono stati bloccati 161 miliardi di minacce, con un aumento del 10% rispetto ai primi sei mesi del 2022.
Questo lo scenario, ci sono però diversi modi per aumentare il grado di sicurezza delle email, argomento che abbiamo trattato più volte in ottiche diverse.
Prima di elencare “le sette regole auree”, è opportuno circoscrivere il fenomeno.
Indice degli argomenti
Gli attacchi Business Email Compromise
In linea generale gli attacchi Business Email Compromise (BEC) sono quelli perpetrati dagli hacker a danno di aziende via email. Nello specifico si tratta per lo più di cyber criminali che – fingendo di essere un contatto noto al destinatario, sia questo un fornitore o un manager aziendale – cercano di indurlo a comunicare informazioni sensibili o financo a effettuare bonifici.
Un caso eclatante ha visto coinvolta la Zecca di Stato durante la primavera del 2023.
Poiché le email sono molto usate dalle aziende, ignorarne il potenziale malevolo è poco saggio e occorre trovare metodi per aumentarne la protezione. Tra questi compaiono anche le sette regole di cui parliamo in questo articolo, dividendole in due gruppi in base alla loro attuabilità.
Cinque regole semplici per proteggere le email
Tra le tecniche adottate dai cyber criminali spicca il phishing ed è, per antonomasia, la forma di attacco più facilmente amministrabile formando dipendenti e collaboratori. Ed è un argomento che fornisce un assist alla prima regola.
Formare il personale
Gli attacchi sferrati via email sono banali, puzzano molto spesso di bruciato. Per quanto plausibili, i contenuti delle email sono sempre atipici. Non si capisce, per esempio, perché un dirigente dovrebbe usare la posta elettronica per chiedere a un dipendente di effettuare un bonifico oppure per chiedere di comunicargli informazioni sensibili.
Ancora meno si comprende perché un dipendente dovrebbe eseguire le disposizioni ricevute senza contattare il dirigente al telefono per verificare la liceità delle richieste.
In sintesi, occorre spiegare a dipendenti e collaboratori:
- Le logiche preponderanti che animano i tentativi di attacco via email
- Di diffidare delle richieste che appaiono balzane e insolite
- Di verificare a voce con il diretto interessato che le disposizioni sono state date da lui in persona
- Di non cliccare mai sui link ricevuti via email a meno che non siano inviati da fonti affidabili o non siano stati espressamente richieste dal dipendente o dal collaboratore
La formazione del personale non si esaurisce con la teoria ma deve essere seguita da alcuni aspetti pratici.
La cultura del dubbio e le sandbox
Coltivare il dubbio è salvifico. Il messaggio che deve passare non è disfattista. Non si tratta di fare credere a dipendenti e collaboratori che Internet e il web sono terreno fertile soltanto per i criminali ma si tratta di responsabilizzarli al corretto uso degli strumenti digitali per tutelare sé stessi e l’azienda.
Tra i tool facilmente utilizzabili ci sono le sandbox, ambienti virtuali che consentono di testare una serie di elementi, tra i quali anche i link. Così, per esempio, basta copiare un link ricevuto via email in una sandbox (qui una delle tante disponibili) per sapere se conduce a una risorsa web attendibile o meno.
Attenzione però: la formazione del personale e il risultato fornito da una sandbox devono sempre cooperare. Non tutto ciò che una sandbox indica essere attendibile è veramente tale ma, al contrario, ciò che indica essere inattendibile lo è quasi certamente.
La gestione delle password e l’inflessibilità
Le password di accesso alle mailbox e, più in generale, ai sistemi usati da un’azienda, vanno cambiate spesso. Non c’è discussione in merito e occorre smontare le linee di pensiero a cui cedono gli amministratori di sistema che accondiscendono alle lamentele dei dipendenti e dei collaboratori, i quali sostengono di essere costretti a memorizzare password complesse per periodi di tempo limitati.
Considerato il basso tenore di tali lamentele, è opportuno evidenziare concetti altrettanto semplici ma basilari: nelle realtà aziendali più piccole una violazione dei sistemi può persino mettere gli imprenditori nella posizione di avere difficoltà nel pagare i dipendenti.
Non di meno, nessuno vorrebbe vestire i panni dell’amministratore di sistema sciagurato che deve rispondere di eventuali violazioni subite adducendo argomenti tanto insignificanti come l’avere ceduto alle lamentele dei colleghi disturbati dalla complessità delle password e dalla frequenza con cui sono obbligati a cambiarle.
Anche in questo ambito, vengono in soccorso delle apposite applicazioni, i password manager, che semplificano la vita a tutti mantenendo saldi i requisiti di sicurezza.
Dal canto loro, gli amministratori di sistema dovrebbero:
- Formare i colleghi e i collaboratori alla corretta gestione delle password, evitando che utilizzino quelle private in ambito professionale e viceversa e, ancora prima, che gli account email privati vengano usati per scopi professionali e che questi ultimi vengano usati per motivi personali
- Creare una black list delle password bandite
- Attivare sistemi di autenticazione a più fattori che rientrano a pieno titolo nelle misure semplici da attuare.
Gli atteggiamenti a cui i dipendenti devono assoggettarsi all’interno dell’azienda valgono anche quando si trovano all’esterno.
Mai usare un Wi-fi pubblico
Smart working e lavoro in mobilità sono crucci per chi si occupa di cyber security. È vero che i dispositivi usati dai lavoratori all’esterno dovrebbero essere sempre aggiornati e muniti degli strumenti di difesa come degli antivirus, è anche vero che l’esposizione ai rischi va sempre e comunque limitata.
Per farlo, è importante che i dipendenti e i collaboratori sappiano di dovere evitare l’uso di Wi-fi pubblici per l’invio e la ricezione di email professionali.
Un Wi-fi pubblico può mettere in forse la sicurezza delle email perché gli hacker non disdegnano di collegarcisi per sottrarre dati e informazioni quali, per esempio, le password utilizzate per accedere alle mailbox e ad altri servizi online.
Inoltre, oggi, ogni smartphone fornisce banda a tablet e personal computer e ciò azzera la necessità di fare uso di una rete aperta accessibile a chiunque si trovi nei paraggi. Va da sé che la connessione mediata dagli smartphone va opportunamente protetta con una password.
Migliorare a sicurezza dei dispositivi
I dispositivi utilizzati da dipendenti e collaboratori, devono essere aggiornati e devono essere dotati di software antivirus attivi. Benché alcuni malware riescano a diffondersi anche se gli utenti non hanno accesso con diritti amministrativi ai dispositivi aziendali, è sempre opportuno limitare i grant dei profili utente.
C’è anche la possibilità di dotarsi di VPN per l’accesso in remoto ai server aziendali ed è sempre consigliabile una sana politica riguardo all’uso di dispositivi privati per scopi professionali (Bring Your Own Device, BYOD) che possono rappresentare uno dei tanti talloni di Achille della cyber security.
Due regole meno semplici per proteggere le email
Le cinque regole precedenti sono di semplice attuazione, anche laddove – come nel caso delle VPN – è necessario un intervento da parte dell’ICT aziendale.
Ci sono altre tecnologie al servizio delle imprese, meno immediate ma non per questo di difficile implementazione, che contribuiscono ad alzare il livello della sicurezza anche in materia di email.
Crittografare le email
La crittografia garantisce che le uniche persone in grado di visualizzare le email sono il mittente e il destinatario. Questo, per esempio, renderebbe improbabile che un hacker possa intercettare dati anche usando un Wi-fi pubblico.
La crittografia avanzata delle email fa leva su appositi protocolli.
Usare i protocolli di trasporto appropriati
I protocolli di trasporto sono fondamentali perché conferiscono un livello di protezione superiore alle comunicazioni e quindi anche alle email.
L’uso di questi protocolli rende più complesso ogni tentativo degli hacker di portare a termine intenti criminali. Tra questi protocolli spiccano:
- Transport Layer Security (TLS): crittografa le email nel percorso da un server di posta all’altro
- Domain Keys Identified Mail (DKIM):aggiunge una firma digitale alle email consentendo ai server di verificare l’autenticità dei messaggi. In questo articolo è possibile approfondire l’argomento.
A questi protocolli se ne aggiungono altri e, a prescindere, la loro implementazione è affare di chi si occupa di ICT ma non può essere ragionevolmente definibile costosa né dal punto di vista finanziario né da quello dell’impiego di risorse specializzate.
In ogni caso, sono implementazioni utili a respingere le offensive degli hacker.
