Usare un account di posta aziendale per scopi personali è altamente sconsigliato. La facilità con cui vengono scambiati gli indirizzi email potrebbe far generare un traffico di “spazzatura digitale” verso il proprio indirizzo che diventerebbe incontrollabile. È comodo ricevere email, che siano di lavoro o personali, all’interno di una unica casella di posta ma non sempre questo è sinonimo di “sicurezza”. Vediamo in cinque punti quali sono i problemi riscontrati e come si può evitare di finire nel mirino dei malintenzionati.
1. RISALIRE AD UNA PERSONA
Gli hacker sono in grado di ottenere informazioni online grazie a strumenti che raccolgono indirizzi email dalla rete sfruttando i social o le piattaforme online di qualunque genere. Se usate il vostro indirizzo email aziendale in queste circostanze, per scopi non legati al lavoro, potrebbe costituire un ulteriore vulnerabilità per voi e per l’azienda in cui lavorate.
Quando gli hacker capiscono che si tratta di un indirizzo aziendale, lo useranno massivamente, con messaggi di phishing, per cercare di avviare una fase di attacco verso l’azienda stessa.
2. SPEAR-PHISHING
Lo spear-phishing è una truffa attuata attraverso email che tende a colpire una persona o un’azienda specifica con due scopi ben precisi:
– Sottrarre dati personali
– Installare malware sul computer dell’utente
Gli hacker, utilizzando una tecnica che si basa sulla credibilità con i siti in cui ci si è iscritti, cercano di indurre il malcapitato a compilare form con propri dati e a scaricare file contenenti malware in grado di raccogliere dati e comunicarli al cyber criminale.
3. COPERTURA PER I CRIMINALI INFORMATICI
Il tempo è uno degli aspetti fondamentali di cui il cyber criminale ha bisogno per attuare il suo piano. Una volta che è riuscito a far installare il malware, si mette in attesa di tutto ciò che transita su quel PC. Utilizzando un sistema di autenticazione a due fattori tramite email, ogni notifica ricevuta riguardo l’accesso ad un determinato servizio viene intercettata e così diventa inutile anche l’utilizzo di un sistema di autenticazione nato per avere una maggiore sicurezza. In ogni caso sarebbe meglio utilizzare l’invio di un SMS al proprio cellulare per fare queste verifiche.
Se l’account di posta aziendale è stato usato per creare account non conformi alle regole aziendali, è altamente probabile che gli hacker possano entrare nei vostri account social e/o personali e vedrete che la casella di posta inizierà a riempirsi di notifiche senza un motivo reale.
4. PHISHING E MALWARE NELLA POSTA
Il malware è un programma informatico che è in grado di danneggiare fortemente un computer o uno strumento utilizzato per raccogliere informazioni. Riuscire ad installarne uno, per un hacker, significa riuscire ad avere accesso a tutti i nostri dati e quindi può scegliere se criptarli, per chiedere un riscatto, oppure può utilizzarli per accedere ai nostri servizi bancari.
Il phishing, invece, serve soprattutto per il furto di password, dati carta di credito e credenziali di accesso ai sistemi di home-banking.
Questi due attacchi sono fatti via email per cui ovviamente, se utilizziamo un account aziendale, più risorse sono disponibili e quindi più alto sarà il volume di minacce che potrebbero colpire la vostra email di lavoro.
5. CLICK ACCIDENTALI
Con la ricezione di numerosi messaggi di spam all’interno della casella di posta aziendale, è molto facile cadere nell’errore di cliccare accidentalmente su link dannosi. Le tecniche utilizzate dagli hacker si rifanno ad eventi che potrebbero essere veri:
– la mancata consegna di un pacco,
– l’invio di una fattura,
– l’invio di un documento “importante”,
– l’invito ad un evento.
In ognuno di questi casi si potrebbe essere indotti a compilare form con i propri dati e/o a scaricare ed aprire file di dubbia provenienza.
Può capitare, e capita molto spesso, che l’effetto “caso” ci esponga a problematiche di questo tipo, ecco perché è fondamentale introdurre livelli di sicurezza avanzati nella propria azienda. Se qualcuno utilizza il proprio indirizzo email aziendale, queste richieste si moltiplicheranno perché l’obiettivo diventa più allettante, trattandosi di una azienda.
Nell’ultimo periodo abbiamo visto che aziende di media e grande dimensione cadono in queste “trappole” proprio a causa dell’utilizzo non consentito di indirizzi email aziendali. Per questo motivo è importante che le aziende si proteggano dal phishing utilizzando strumenti che possano dissuadere i propri dipendenti ad usare gli indirizzi aziendali per i propri scopi e istruirli giornalmente su come evitare di cadere nelle maglie delle reti che gli hacker hanno teso per noi.
Sophos, da anni attenta a tutti i fenomeni che riguardano la sicurezza informatica, mette a disposizione delle aziende, sulla piattaforma Sophos Central, uno strumento (Phish Treath) che permette al reparto IT di “simulare” un attacco di phishing per verificare il grado di formazione degli utenti e per indurli a riconoscere il phishing in tutte le sue forme, proteggendo la rete da questo problema che, da come viene usato, è solo il primo tassello di un vero e proprio attacco ma che, alla fine, è la porta d’ingresso utilizzata dai criminali informatici per poter sferrare attacchi ben più pericolosi.
