Sono cinque gli attacchi informatici che negli ultimi tempi stanno prendendo di mira le piccole e medie imprese: oltre ai “classici” phishing e ransomware, in questa particolare classifica entrano anche l’email spoofing, gli attacchi alla supply chain e quelli ai dispositivi mobili aziendali, secondo il recente Cisco 2018 Security Capability Benchmark Study.
Per i criminal hacker le PMI rappresentano sempre più spesso un bersaglio facile e incapace di rispondere efficacemente alle varie minacce, utilizzabili quindi come trampolino di lancio per diffondere attacchi più rilevanti verso le grandi organizzazioni pubbliche e private. A confermarlo è anche lo stesso Cisco 2018 Security Capability Benchmark Study, secondo cui il 62% degli attacchi in Italia ha provocato danni superiori a 80.000 euro, oltre ad una notevole perdita di fatturato, di clienti e di opportunità di business. Quanto basta per mettere in ginocchio una qualunque PMI.
Se poi si tiene conto del fatto che il più delle volte l’obiettivo di questi attacchi informatici è il furto di dati sensibili che ormai rappresentano il vero e proprio asset produttivo di ogni azienda, i danni diventano incalcolabili: in regime di GDPR, un eventuale data breach può essere sanzionato con multe il cui importo può arrivare fino al 4% del fatturato annuo mondiale.
Indice degli argomenti
Formazione e consapevolezza: la prima linea di difesa
Di fronte ad uno scenario sempre più eterogeneo di minacce informatiche non esiste una formula magica per non cadere vittime dei criminali informatici ma sicuramente si può fare molto per evitarlo.
Innanzitutto è opportuno creare un team di esperti capaci di far fronte ad ogni tipo di minaccia per salvaguardare la sicurezza del perimetro “cyber” dell’azienda.
È molto importante, poi, mantenere alto il livello di consapevolezza del personale, avvisandolo tempestivamente e periodicamente delle minacce in corso. In una società sempre più iper-connessa, la security awareness dei dipendenti rappresenta il nuovo valore aggiunto per mettere in sicurezza l’azienda.
Molto spesso, infatti, l’utente non ha una cultura IT tale da aiutarlo a riconoscere gli indizi che possono fargli accendere l’allarme e aiutarlo a riconoscere, ad esempio, un link malevolo da uno attendibile o un allegato potenzialmente pericoloso. Semplici disattenzioni, giustificate dalla frenesia delle attività lavorative quotidiane, ma che possono costare davvero care all’azienda.
Occorre, quindi, saper riconoscere le singole minacce per adottare di volta in volta gli strumenti di difesa più idonei per contrastarli.
Phishing: attenti alle e-mail truffa
Quella del phishing è una piaga ben conosciuta ma ancora in grado di fare parecchie vittime. Utilizzando sofisticate tecniche di social engineering, infatti, i criminali informatici riescono a creare trappole sofisticate in cui anche un utente più esperto può facilmente cadere.
In ambito lavorativo, ad esempio, è facile essere contatti tramite email, telefono o SMS da criminali informatici che si fingono altre persone (ad esempio il consulente di un’azienda conosciuta). Il loro scopo è quello di indurre la vittima a condividere dati sensibili, bancari o relativi alla carta di credito, così come le credenziali di accesso alle infrastrutture aziendali. Le informazioni vengono poi utilizzate per accedere agli account, causando furti d’identità e notevoli perdite economiche. Occorre quindi fare attenzione ad eventuali comunicazioni urgenti che, ad esempio, chiedono di fare qualcosa subito per poter beneficiare o prevenire qualcosa, scaricare un importante documento fiscale o fornire dati di accesso, anche se le richieste arrivano da contatti conosciuti: non è improbabile, infatti, che anche questi siano rimasti vittima a loro volta di qualche malware che usa la loro identità per diffondersi.
Per difendersi dal phishing valgono alcune regole generali:
- bisogna innanzitutto tenere gli occhi sempre bene aperti;
- ricordiamoci, inoltre, di passare sempre il cursore del mouse sui link contenuti nelle email sospette prima di cliccarci sopra. Se sembra un URL sospetto, probabilmente lo è;
- infine, non apriamo mai gli allegati ai messaggi di posta elettronica senza averli prima analizzati con un buon antivirus aggiornato con le ultime firme virali.
Email Spoofing: la minaccia che ruba dati riservati
L’email spoofing è una particolare tecnica malevola che consiste nel falsificare l’intestazione di un messaggio di posta elettronica in modo che sembri provenire da qualcuno o da un luogo diverso dalla fonte reale. Il criminale informatico potrebbe provare a spacciarsi per un contatto conosciuto e chiedere nella sua email di fare qualcosa per lui (ad esempio, un trasferimento bancario).
La ricerca di informazioni personali, in questo caso, è l’elemento chiave usato dai criminal hacker. Il truffatore può guardare il sito web della vittima, venire a conoscenza del suo ruolo di titolare o di direttore finanziario in azienda, andare su LinkedIn e trovare le sue connessioni per individuare i nomi dei dipendenti. Possono scoprire molto sull’identità di una persona, sul suo lavoro e su ciò che è solito fare.
Successivamente creano un’email utilizzando lo stesso tono con cui tipicamente la vittima si rivolge ai suoi dipendenti, chiedendo di effettuare un bonifico bancario a beneficio di un cliente particolarmente importante. E fino a qui potrebbe non esserci nulla di insolito.
La particolarità di questa truffa è la semplicità. Non è necessario l’accesso al sistema informatico aziendale, di conseguenza non c’è bisogno di aggirare il firewall o di conoscere alcuna password. Vengono solo sfruttate le informazioni, spesso reperibili online, sulla vittima e sull’azienda, con la speranza che chi riceverà l’email si fidi vedendo il nome del proprio capo e apra quindi la comunicazione.
Il consiglio per difendersi dall’email spoofing consiste nel controllare sempre l’indirizzo del mittente. C’è forse un piccolo errore ortografico? È opportuno verificare immediatamente: a volte, basta una semplice telefonata per chiedere conferma in merito ad un bonifico. Non bisogna mai rispondere via email perché anche il truffatore può farlo.
Ransomware: la minaccia che blocca il PC e chiede il riscatto
Un attacco ransomware consiste nel criptare tutti i dati della vittima contenuti nell’hard disk del suo computer e poi chiederle un riscatto per decifrarli. Tipicamente, viene richiesto di pagare con una criptovaluta come ad esempio i Bitcoin. Soltanto allora l’aggressore invierà (o si spera che la invii) una chiave di decifratura per sbloccare i dati della vittima.
Tutto ciò di solito avviene tramite e-mail dove si inviata l’utente a cliccare su un link o aprire un allegato. Questo può avvenire anche attraverso il malvertising, ovvero una pubblicità online malevola. Il problema è che questi annunci vengono spesso visualizzati su siti web conosciuti – normalmente in un banner o in un popup. I criminali informatici utilizzano quindi l’offerta pubblicitaria per nascondere il codice dannoso. L’annuncio indirizza l’utente ad un nuovo sito web, dando inizio ad un attacco al sistema dell’utente o bloccando i file con la conseguente richiesta di pagamento di un riscatto.
Le regole per difendersi dal ransomware sono le seguenti:
- tenere sempre aggiornato il browser web;
- installare sempre le patch del sistema operativo o dei software di terze parti appena resi disponibili dal produttore: permetteranno di sventare la maggior parte degli attacchi;
- limitare le risorse a cui può potenzialmente accedere l’aggressore. Soprattutto in una rete aziendale, è importante realizzare una corretta politica di accounting per l’accesso alle aree riservate. È utile, poi monitorare costantemente gli accessi: in questo modo è possibile far sì che l’intera rete non venga compromessa da un singolo attacco;
- non bisogna mai pagare il riscatto! Non c’è alcuna garanzia di riavere i dati e il più delle volte i soldi serviranno soltanto ad alimentare nuovi attacchi;
- infine, bisogna ricordarsi di effettuate regolarmente un backup dei dati, ovviamente su una macchina o su una memoria di massa diversa da quella utilizzata quotidianamente: solo così potremo recuperarli qualora la copia originale venisse criptata dal ransomware.
Attacchi alla supply chain: il punto debole è nell’aggiornamento software
Si tratta di una minaccia emergente e in crescita che mostra quanto siano diventati abili i criminali informatici. Gli attacchi alla supply chain sono minacce avanzate e persistenti che possono compromettere il meccanismo di aggiornamento dei pacchetti software, permettendo ai criminali di inserirsi all’interno della distribuzione legittima del software stesso. In pratica, il criminale informatico prenderà di mira un’azienda operante nella supply chain con scarse misure di protezione – in particolare nella condivisione delle informazioni. E questo è il motivo per cui le PMI vengono spesso prese di mira. Una volta che identifica il punto debole, l’hacker può focalizzarsi sull’attacco.
Se l’azienda ha un ruolo nella supply chain, occorre chiedere ai vendor/partner in che modo proteggono la loro catena di distribuzione. Chiedere quali sono le loro pratiche di sviluppo e i controlli di sicurezza. Come applicano le patch ed effettuano gli aggiornamenti ai loro sistemi? Ogni quanto lo fanno? Come segmentano e proteggono i loro ambienti di sviluppo, QA e di produzione? Come controllano a loro volta i partner e i vendor con cui collaborano?
Attacchi ai dispositivi mobili aziendali
Sempre più spesso le aziende consentono ai propri dipendenti di gestire una buona parte del proprio lavoro da un dispositivo mobile. Ma cosa succede quando si esce dal perimetro del firewall aziendale e ci si connette ad una rete Wi-Fi aperta? Il problema è che, nella maggior parte delle reti Wi-Fi pubbliche, le informazioni inviate da un dispositivo mobile non sono criptate. Chiunque abbia un PC portatile e uno sniffer di rete può accedere a tutti i dati in transito sulla rete wireless.
Gli utenti rischiano di connettersi ad Access Point Wi-Fi malevoli in grado di monitorare i contenuti di tutte le trasmissioni. Non è un problema grave se si sta guardando un film su Netflix ma potrebbe esserlo se vengono effettuate ricerche di lavoro o inviati documenti sensibili. Qualsiasi software senza patch o altre vulnerabilità della sicurezza possono essere sfruttate per un attacco di questo tipo.
Qualora non fosse possibile utilizzare la rete dati del proprio operatore, è opportuno ricordarsi sempre di scegliere una rete pubblica che abbia un accesso tramite password, assicurandosi che sia in funzione la crittografia. Una connessione VPN può essere d’aiuto, ma quando gran parte dei dipendenti utilizza servizi cloud per lavorare, occorre prendere in considerazione l’utilizzo di un Secure Internet Gateway per bloccare le minacce al livello DNS.
È opportuno disabilitare anche la funzione di condivisione dei dati. I dispositivi Wi-Fi potrebbero essere impostati automaticamente per consentire la condivisione o la connessione ad altri dispositivi. In una rete pubblica ciò significa connettersi a dispositivi sconosciuti e potenzialmente rischiosi.
Infine, bisogna tenere sempre sotto controllo il proprio dispositivo mobile: non importa quanto bene si conosce il luogo in cui ci si trova, non lasciarlo mai incustodito e non restare loggati ai siti se non vengono usati. Allo stesso modo, ricordarsi di disconnettersi se si utilizza un computer in un luogo pubblico, come in un business center o in un hotel.
