Sono stati soprannominati Very Attacked Person i dipendenti di aziende e organizzazioni che, per il loro ruolo o la loro posizione lavorativa, risultano i più esposti ad attacchi informatici sempre più mirati verso gli asset produttivi e i preziosi dati riservati.
Non è un segreto, d’altronde, che i cybercriminali stiano facendo il possibile per trovare il contatto diretto degli utenti e utilizzare tecniche di ingegneria sociale per convincerli a prendere la decisione sbagliata.
È un argomento analizzato nel Report State of the Phish di Proofpoint: la domanda da porsi ora è come un’azienda può gestire al meglio questa situazione senza peggiorare il problema.
Indice degli argomenti
Conoscere i VIP, ma anche i VAP (Very Attacked Person)
Consigli di amministrazione ed executive sono obiettivi importanti in azienda, la loro condizione VIP, i privilegi di accesso e la conoscenza interna li rendono i bersagli preferiti dei cyber criminali.
Ma questi ruoli non sono necessariamente i più colpiti. Le ricerche di Proofpoint hanno permesso di evidenziare una netta differenza tra VIP e VAP (Very Attacked Person).
Proofpoint ha analizzato le caselle e-mail di un service provider del settore sanitario, individuando le 20 più colpite in un periodo di tre mesi. I dati, resi anonimi, sono stati raccolti dalla tecnologia proprietaria di threat analysis e tra le top venti VAP sono state rilevate cariche elevate – come presidente, CEO, senior financial analyst, vice president of strategy e innovation – ma anche molti ruoli di livello più basso, contatti di terze parti e inbox generiche.
Le differenze tra target e metodi mostrano il livello di preparazione, l’agilità e la tenacia degli aggressori. Nei tre mesi di analisi, gli attacchi si sono dimostrati molto vari ed è da sottolineare come le uniche istanze ransomware siano state inviate all’alias generico delle risorse umane, una casella di posta in grado di ricevere allegati legittimi su base regolare.
Qual è la conclusione? Pensare che solo persone con ruoli elevati possano essere attaccati è sbagliato.
Informazioni aziendali: nuove opportunità agli hacker
Media social e digitali hanno reso più semplice trovare informazioni sulle persone e avviare comunicazioni, ma è una lama a doppio taglio: è ottimo per clienti e persone di fiducia che desiderano contattare l’azienda e recuperare dettagli, ma diventa fastidioso, se non pericoloso, quando si tratta di e-mail, messaggi di testo, telefonate e connessioni sui social non volute.
Può essere difficile scegliere il modo migliore di condividere informazioni su azienda e dipendenti in luoghi pubblici come siti Web, profili social e report annuali. Si tratta di una decisione da prendere in modo individuale, basata su obiettivi, vision e requisiti normativi.
Ci sono tuttavia alcuni comportamenti di base da tenere in considerazione.
Spiegare alle persone ciò che accade all’esterno
I team di sicurezza che proteggono le organizzazioni dagli attacchi, dovrebbero acquisire familiarità con le informazioni che vengono rese disponibili sui canali pubblici, incluse:
- alias e-mail;
- nomi, ruoli e informazioni personali sui dipendenti;
- dettagli su viaggi ed eventi presenti nell’agenda di dipendenti specifici;
- impiegati che hanno elevata visibilità sui social e condividono contenuti aziendali.
I cybercriminali utilizzeranno queste informazioni per lanciare attacchi di phishing e di ingegneria sociale, quindi è importante tenerli sotto controllo.
Tutti i mezzi e-mail interni, inclusi gli alias, devono essere monitorati e le persone che ricevono e rispondono ai messaggi tramite alias dovrebbero essere formate su come gestire queste comunicazioni con estrema attenzione.
Inoltre, è importante avvisare le persone di cui si condividono informazioni pubblicamente e allertarle sull’eventuale rischio che i cyber criminali le utilizzino per realizzare attacchi “personalizzati” (phishing, vishing e simili).
Difendere la privacy
Quando è possibile, è bene operare in modo congiunto con i team di marketing, risorse umane, legale, esecutivo, per determinare le informazioni da condividere su canali pubblici.
In molte occasioni, c’è un desiderio (dal punto di vista aziendale) di aggiungere un tocco personale nei dettagli rivolti ai clienti. Ma come capire quando si supera il limite? È una domanda difficile, ma serve una risposta ponderata. È consigliabile trovare un equilibrio tra ciò che deve essere disponibile, da una prospettiva aziendale, e le informazioni definite nello specifico per trasmettere un’emozione a livello personale.
Bisogna rispondere anche alla domanda se è necessario che qualsiasi visitatore del sito abbia la possibilità di contattare direttamente individui specifici all’interno dell’azienda, senza alcun tipo di qualifica.
Francamente, in molti casi, la risposta è no. Quando viene determinato che le informazioni di contatto di una persona (e-mail, telefono o altro) devono essere pubbliche, sarebbe opportuno offrire un primo livello di protezione, in particolare se si tratta di una persona con privilegi di accesso.
Ad esempio, invece di pubblicare un indirizzo e-mail aziendale, si potrebbe utilizzare un alias che non corrisponde agli standard interni per le e-mail – JosephSmith@company.com invece di jsmith@company.com. Questo approccio può aiutare i destinatari a qualificare meglio i messaggi in entrata e, poiché “diverso” dagli indirizzi e-mail “normali”, i tentativi di spoofing dovrebbero essere riconosciuti in modo più efficace.
Formare gli utenti sui metodi utilizzati dai cybercriminali
Il Report State of the Phish spiega come le singole persone attaccate variano da industria a industria e da azienda ad azienda. A livello virtuale chiunque può essere o diventare una VAP. Quindi, bisognerebbe approfondire l’utilizzo che i cyber criminali fanno dei canali social, LinkedIn, Google, Facebook e altre fonti pubbliche di informazioni personali; fornire le best practice per la condivisione dei dati e formare i dipendenti affinché identifichino ed evitino gli attacchi che sfruttano questi dettagli.
Ma non basta, è necessario adottare un approccio realmente focalizzato sulle persone. Come? Identificando le VAP in azienda, esaminando i risultati dei test anti-phishing per individuare gli utenti più vulnerabili, utilizzando quelle metriche per calmare la tempesta che si sta scatenando: la sovrapposizione tra queste due popolazioni.
Sarebbe un vero peccato sprecare l’opportunità di garantire corsi di formazione adeguati alle persone giuste, nel momento giusto.
