Nonostante anni di affermazioni secondo cui la 'morte della posta elettronica' si sta avvicinando rapidamente, il metodo di comunicazione vecchio di decenni continua a prosperare nel mondo degli affari. In particolare, nel settore dell'hacking.
Una email contenente un link che sembra legittimo ma è in realtà dannoso rimane uno dei trucchi più pericolosi e al tempo stesso più riusciti nel manuale di un criminale informatico e ha portato ad alcuni dei maggiori attacchi informatici degli ultimi anni, compresa la violazione del 2022 del gigante delle comunicazioni Twilio e l'hack dello scorso anno della piattaforma di social media Reddit.
Anche se queste email sono talvolta facili da individuare, sia grazie a errori di ortografia che a un indirizzo email insolito, è sempre più difficile identificare una email sospetta da una legittima man mano che le tattiche degli hacker diventano sempre più sofisticate.
Prendete ad esempio la frode via email aziendale (o BEC), un tipo di attacco via email che mira a rubare denaro, informazioni critiche o entrambi dalle organizzazioni grandi e piccole. In questo tipo di truffa, gli hacker si fingono o compromettono qualcuno familiare alla vittima, come un collega, capo o partner commerciale, per manipolarli e far loro rivelare informazioni sensibili senza saperlo.
Il rischio che ciò comporta per le imprese, in particolare le startup, non può essere sottovalutato. Gli individui negli Stati Uniti hanno perso quasi 3 miliardi di dollari in truffe BEC solo l'anno scorso, secondo gli ultimi dati dell'FBI. E questi attacchi non mostrano segni di rallentamento.
Come individuare una truffa via email aziendale
Cercate i segnali di avvertimento
Anche se i criminali informatici sono diventati più avanzati nelle loro tattiche di invio di email, ci sono alcuni semplici segnali di pericolo che potete — e dovreste — cercare. Questi includono un'email inviata al di fuori dell'orario lavorativo tipico, nomi scritti male, una discrepanza tra l'indirizzo email del mittente e l'indirizzo di risposta, link e allegati insoliti o un senso di urgenza non motivato.
Contattate direttamente il mittente
L'uso del phishing mirato — dove gli hacker utilizzano email di phishing personalizzate per impersonare alti dirigenti all'interno di un'azienda o fornitori esterni — significa che può essere quasi impossibile dire se un messaggio proviene da una fonte attendibile. Se un'email sembra insolita — o anche se non lo sembra — contattate direttamente il mittente per confermare la richiesta, piuttosto che rispondere tramite email o un numero di telefono fornito nell'email.
Consultate il vostro reparto IT
Le truffe di supporto tecnico stanno diventando sempre più comuni. Nel 2022, i clienti di Okta sono stati presi di mira da una truffa altamente sofisticata che ha visto gli aggressori inviare messaggi di testo ai dipendenti con link a siti di phishing che imitavano l'aspetto e la sensazione delle pagine di accesso di Okta dei loro datori di lavoro. Queste pagine di accesso sembravano così reali che più di 10.000 persone hanno inviato le proprie credenziali di lavoro. È probabile che il vostro reparto IT non vi contatti via SMS, quindi se ricevete un messaggio di testo casuale all'improvviso o una notifica pop-up inaspettata sul vostro dispositivo, è importante verificare se è legittimo.
Siate (ancora più) diffidenti delle chiamate telefoniche
I criminali informatici hanno da tempo usato l'email come loro arma di scelta. Più di recente, i criminali si affidano a chiamate telefoniche fraudolente per infiltrarsi nelle organizzazioni. Una singola telefonata avrebbe portato all'hack dello scorso anno della catena alberghiera MGM Resorts, dopo che gli hacker hanno ingannato con successo il servizio di assistenza aziendale dell'azienda concedendo loro l'accesso all'account di un dipendente. Siate sempre scettici riguardo alle chiamate inaspettate, anche se provengono da un contatto dall'aspetto legittimo, e non condividete mai informazioni confidenziali per telefono.
Applicate l'autenticazione multi-fattore a tutte le cose!
L'autenticazione multi-fattore — che di solito richiede un codice, PIN o impronta digitale per accedere insieme al vostro nome utente e password regolari — non è affatto infallibile. Tuttavia, aggiungendo uno strato di sicurezza supplementare oltre alle password vulnerabili agli hacker, rende molto più difficile per i criminali informatici accedere ai vostri account email. Portate un passo di sicurezza ancora oltre implementando la tecnologia senza password, come i tasti di sicurezza hardware e i passkey, che possono prevenire il furto di password e token di sessione da malware che ruba informazioni.
Implementate processi di pagamento più rigorosi
Con qualsiasi tipo di attacco informatico, l'obiettivo ultimo di un criminale è fare soldi, e il successo delle truffe BEC spesso dipende dal manipolare un singolo dipendente affinché invii un bonifico bancario. Alcuni hacker motivati economicamente si fingono di essere un fornitore che richiede il pagamento per servizi resi all'azienda. Per ridurre il rischio di cadere vittima di questo tipo di truffa via email, applicate processi di pagamento rigidi: sviluppate un protocollo per le approvazioni di pagamento, richiedete che i dipendenti confermino i trasferimenti di denaro tramite un secondo mezzo di comunicazione, e dite al vostro reparto finanziario di controllare due volte tutti i dettagli del conto bancario che cambiano.
Potete anche ignorarlo
In definitiva, potete ridurre al minimo il rischio di cadere nella maggior parte delle truffe BEC semplicemente ignorando il tentativo e passando avanti. Non siete al 100% sicuri che il vostro capo voglia davvero che comprate 500 dollari di buoni regalo? Ignoratelo! Ricevete una chiamata che non vi aspettavate? Riagganciate il telefono! Ma per il bene del vostro team di sicurezza e per aiutare i vostri colleghi, non rimanete in silenzio. Segnalate il tentativo al vostro luogo di lavoro o al reparto IT in modo che possano essere più all'erta.