ALLERTA PERICOLI INFORMATICI Articoli in Evidenza Sicurezza informatica

Ottobre è stato il mese della sensibilizzazione alla sicurezza informatica

Ottobre è il mese della sensibilizzazione alla sicurezza informatica
Scritto da gestore

Ottobre è stato il mese della sensibilizzazione alla sicurezza informatica, che ormai ha quasi 20 anni. L’iniziativa è iniziata nel 2004 ed è guidata congiuntamente dalla National Cybersecurity Alliance e dalla Cybersecurity and Infrastructure Agency (CISA).

Il suo scopo principale è aumentare la consapevolezza di quanto sia importante la sicurezza informatica per le attività commerciali e personali che conduciamo online. Con attività che vanno dalle visite ai siti Web e ai pagamenti online ai post sui social media e all’invio di e-mail, trascorriamo molto tempo online. E così fanno i criminali informatici.

Intermezzo promozionale ... continua la lettura dopo il box:

Ringraziamo NCS e CISA per aver incoraggiato l’uso e la condivisione di contenuti e risorse online che hanno fornito durante il mese di sensibilizzazione sulla sicurezza informatica . Questo post prende in prestito da quelle risorse per spargere la voce ai nostri lettori.

Le basi della sicurezza informatica

La sicurezza informatica è l’arte e la scienza di proteggere reti, sistemi, applicazioni, dispositivi elettronici e informazioni dall’accesso non autorizzato o dall’uso criminale. Sapere come proteggere queste risorse è importante sia per gli individui che per le organizzazioni.

Lo scopo della sicurezza informatica è mantenere la riservatezza, l’integrità e la disponibilità dei dati.

  • La riservatezza garantisce che i dati siano accessibili solo a coloro che ne hanno legittimamente bisogno, impedendo l’accesso da parte di utenti non autorizzati.
  • Integrity garantisce che i dati siano accurati, in modo che possano essere utilizzati per gli scopi previsti. I dati corrotti o compromessi hanno poco valore per chi ne ha bisogno.
  • La disponibilità garantisce che i dati siano disponibili a tutti coloro che ne hanno legittimamente bisogno, ogni volta che ne hanno bisogno. La connettività veloce e affidabile consente ai sistemi informatici di funzionare in modo più efficace nel rendere disponibili i dati.

La protezione con password è il primo passo nella sicurezza informatica

Molti componenti della sicurezza informatica contribuiscono a mantenere la riservatezza, l’integrità e la disponibilità dei dati. Consentire solo agli utenti identificati e autorizzati di accedere ai dati di un’organizzazione si basa sulle credenziali di accesso degli utenti. Questi in genere sono nome utente e password.

La guida prevalente per la protezione delle password è duplice, come segue:

  • Usa password lunghe, casuali e univoche. Le password complesse sono composte da almeno otto caratteri (preferibilmente 12) con un mix di numeri, lettere e caratteri speciali. Utilizzare password diverse per programmi, account e dispositivi diversi anziché utilizzare una o due password per tutti. E invece di una sola password , usa passphrase composte da più parole per una migliore protezione.
  • Utilizzare il software di gestione delle password. La guida in #1 ha portato logicamente alla creazione di software specializzato per aiutare gli utenti a creare e ricordare le loro password. Usa i gestori di password per generare password lunghe, casuali e univoche per varie esigenze. Usali anche per archiviare le tue password in modo sicuro in un deposito centrale crittografato con una password principale.

Tutto ciò sembra intelligente e necessario, ma alcuni requisiti rendono molti utenti riluttanti ad adottare questi protocolli. Inoltre, il successo degli stratagemmi di social engineering e delle truffe di phishing ha dimostrato quanto sia facile per i criminali informatici ottenere queste credenziali di accesso di base da utenti ignari. (Assicurati di leggere il blog della prossima settimana su come individuare le truffe di phishing e quali azioni intraprendere quando lo fai.)

L’autenticazione a più fattori è il secondo passaggio fondamentale

Anche se è un passaggio in più, l’autenticazione a più fattori è ampiamente percepita come meno onerosa o ingombrante rispetto ai protocolli di password di cui sopra. A volte chiamata autenticazione a due fattori, l’autenticazione a più fattori (MFA) è uno strumento di sicurezza informatica sempre più comune. Rendendo molto più difficile per le persone non autorizzate l’accesso come titolare dell’account verificato, MFA garantisce che solo l’utente autorizzato abbia accesso ai propri account.

Intermezzo promozionale ... continua la lettura dopo il box:

Come suggerisce il nome, MFA è un processo di sicurezza che richiede più di un metodo di autenticazione da fonti indipendenti per verificare l’identità dell’utente. In altre parole, un individuo ha accesso solo dopo aver fornito due (o più) informazioni che lo identificano in modo univoco.

Sempre più organizzazioni, dalle banche agli e-tailer e altre disciplinate dal Gramm-Leech-Bliley Act , ora richiedono sia una password che un secondo passaggio per accedere. Tuttavia, l’autenticazione a più fattori non è ancora universalmente richiesta nonostante sia un livello di sicurezza semplice ma altamente efficace. A volte, un’azienda offre alle persone la possibilità di scegliere l’AMF, che possono accettare attraverso una breve serie di passaggi. In altri casi, gli utenti potrebbero dover accedere in modo proattivo alle Impostazioni in un account, programma o dispositivo e configurare autonomamente l’autenticazione a più fattori.

Il fatto è che più puoi aggiungere MFA ai tuoi vari scenari di accesso, meglio puoi proteggere le tue informazioni e identità online. Ogni volta che ti viene data l’opportunità di abilitare l’AMF, prendi l’iniziativa per farlo. Migliorerai notevolmente la protezione dei tuoi dati e della tua identità.

Tre tipi di autenticazione di accesso

L’autenticazione a più fattori offre tre diverse categorie di verificatori di identità o autenticatori. Questi sono:

  • Qualcosa che conosci: ad esempio una password, una passphrase o un PIN.
  • Qualcosa che hai: ad esempio un token di sicurezza tangibile, una smartcard o un’applicazione software o un testo di verifica, un’e-mail o una telefonata.
  • Qualcosa che sei: ad esempio un’impronta digitale, il riconoscimento facciale o il riconoscimento vocale.

Primo fattore. Le credenziali di accesso utente devono provenire da almeno due di queste categorie per soddisfare i requisiti MFA per l’identità utente verificata. Il metodo più semplice e comune è accedere utilizzando il tuo nome utente e password.

Secondo fattore. Dalla seconda categoria, gli utenti in genere scelgono di inviare codici univoci una tantum ai propri telefoni cellulari o indirizzi e-mail. Negli ambienti aziendali, vengono spesso utilizzati token di sicurezza o applicazioni di sicurezza.

Quando il secondo fattore è un messaggio di testo, un’e-mail o una telefonata, il codice univoco viene inviato direttamente all’utente entro pochi secondi dall’immissione di nome utente e password. L’utente inserisce quindi il codice monouso nella casella di accesso entro il tempo assegnato per accedere al proprio account, applicazione o dispositivo. È straordinariamente facile e si è dimostrato efficace.

Terzo fattore. L’uso della terza categoria di autenticazione è generalmente richiesto in organizzazioni altamente classificate, inclusi molti appaltatori della difesa primaria , laboratori di ricerca medica e farmaceutica e scenari simili.

Secondo il National Institute of Standards and Technology (NIST) e molti altri framework di sicurezza informatica , l’autenticazione a più fattori dovrebbe essere utilizzata quando possibile. È particolarmente importante per proteggere le informazioni più sensibili, come conti finanziari, cartelle cliniche, proprietà intellettuale, informazioni sui clienti e altri dati personali o privati. L’uso di MFA ti rende molto meno probabile che tu venga hackerato, quindi perché non dovresti? Per ulteriori informazioni, leggere la guida MFA sul sito Web CISA.

Ulteriori misure di sicurezza informatica

In riconoscimento del mese di sensibilizzazione alla sicurezza informatica, la National Cybersecurity Alliance e la Cybersecurity and Infrastructure Agency raccomandano ulteriori misure di sicurezza informatica per proteggere le tue informazioni personali online.

Sebbene le azioni seguenti siano destinate a privati, in molti casi anche i datori di lavoro possono applicarle e dovrebbero anche formare i propri dipendenti a diventare più attenti alla sicurezza. Questo perché i dipendenti non sono solo l’anello più debole nella catena della sicurezza, ma sono anche la principale causa di violazione dei dati nelle piccole imprese. E sono particolarmente vulnerabili all’ingegneria sociale e alle truffe di phishing. (Assicurati di leggere il blog della prossima settimana su come individuare le truffe di phishing e cosa fare.)

  • Pensa prima di fare clic. Se ricevi un’e-mail con collegamenti o allegati, assicurati di sapere chi l’ha inviata. Ispeziona i collegamenti ipertestuali posizionando il cursore direttamente sui collegamenti per vedere la vera fonte. Se un collegamento sembra un po’ storto, non fare clic su di esso. Potrebbe essere un tentativo di indurti a condividere informazioni sensibili o potrebbe installare malware nel tuo sistema informatico. Lo stesso vale per gli allegati di posta elettronica.
  • Aggiorna il tuo software. Se ricevi la notifica di un nuovo aggiornamento software, agisci immediatamente per installarlo o consentirlo dopo aver verificato che provenga dall’origine del software. Non rimandare gli aggiornamenti perché gli hacker spesso sfruttano questi sistemi più vulnerabili. Se puoi, attiva gli aggiornamenti automatici.
  • Usa un software antivirus. Si tratta di un’importante misura di protezione contro i criminali informatici e le minacce dannose. Cerca il miglior software disponibile per assicurarti che rilevi, metta in quarantena e rimuova automaticamente il malware. Abilita gli aggiornamenti antivirus automatici per garantire la massima protezione contro le minacce più recenti.
  • Fai il backup dei tuoi dati. Eseguire il backup di routine dei dati su tutti i computer e assicurarsi che il backup sia archiviato offline . Eseguire il backup di tutti i dati, comprese le informazioni di identificazione personale (PII), le informazioni sanitarie protette elettroniche (ePHI), le informazioni finanziarie e i documenti, i database, i fogli di calcolo e i file che li ospitano. E assicurati di controllare chi ha accesso ai backup dei tuoi dati.

Riepilogo

Cybersecurity Awareness Month è un’iniziativa guidata congiuntamente dalla National Cybersecurity Alliance e dalla Cybersecurity and Infrastructure Agency, che sfruttano l’occasione per rafforzare le linee guida sulla sicurezza informatica per aziende e consumatori.

Gli schemi di ingegneria sociale e le truffe di phishing sono diventati metodi sempre più popolari e di successo per i criminali informatici per indurre le persone a condividere le proprie credenziali di accesso di base. Una volta condivisi, i criminali informatici sono in grado di accedere a database, sistemi, dispositivi o altre risorse. Possono condurre reati legati al ransomware, pubblicare credenziali di accesso sul dark web e abusare di dati compromessi in altri modi.

L’autenticazione a più fattori si è dimostrata estremamente efficace nell’aggiungere un livello di sicurezza dell’accesso impossibile da violare per i criminali informatici. È offerto sulla maggior parte dei siti Web e delle piattaforme attenti alla sicurezza e può anche essere implementato dagli utenti per molte altre applicazioni online. L’AMF è una semplice protezione che offre enormi vantaggi in termini di sicurezza e ti invitiamo ad adottare questa misura. Rendilo un obiettivo questo mese e fallo.

Le truffe di phishing stabiliscono nuovi record (non abboccare!)

Questa è la parte 2 del nostro caso di sensibilizzazione alla sicurezza informatica a sostegno del mese della sensibilizzazione alla sicurezza informatica. L’ alleanza nazionale per la sicurezza informatica e l’Agenzia per la sicurezza informatica e le infrastrutture (CISA) guidano questa iniziativa annuale.

Il mese della sensibilizzazione sulla sicurezza informatica è stato avviato nel 2004 per aumentare la consapevolezza dell’importanza della sicurezza informatica nelle nostre attività digitali, che vanno dalle e-mail e dai post sui social media alle visite ai siti Web e ai pagamenti online. Trascorriamo molto tempo online e, di conseguenza, anche i criminali informatici.

Grazie a NCS e CISA per aver incoraggiato l’uso e la condivisione dei contenuti e delle risorse online che hanno fornito durante il mese della sensibilizzazione sulla sicurezza informatica . Questo post prende in prestito da quelle risorse per spargere la voce ai nostri lettori.

L’importanza della sicurezza informatica

La sicurezza informatica è l’arte e la scienza di proteggere reti, sistemi, applicazioni, dispositivi elettronici e informazioni dall’accesso non autorizzato o dall’uso criminale. Sapere come proteggere queste risorse è importante sia per gli individui che per le organizzazioni.

Lo scopo della sicurezza informatica è mantenere la riservatezza, l’integrità e la disponibilità dei dati. In parole povere, questo significa mantenere i dati privati ​​e sicuri, mantenerli accurati e integri e mantenerli accessibili a coloro che ne hanno bisogno.

Che cos’è una truffa di phishing?

Il phishing ha un suono morbido e non minaccioso, vero? Tuttavia, il fatto è che il phishing è ora il secondo crimine informatico più comune al mondo. Uno schema, una truffa, uno stratagemma, uno stratagemma: il phishing è una tecnica di ingegneria sociale molto efficace . Il successo del phishing consente ai criminali informatici di raccogliere informazioni da te ingannandoti nel pensare che le loro richieste siano legittime. Utilizzeranno le tue informazioni per effettuare acquisti non autorizzati, accedere a un sistema sicuro (come la rete del tuo datore di lavoro) al fine di rubare volumi di dati o offrire grandi quantità di informazioni personali in vendita sul dark web.

Durante il phishing per vittime ignare, i criminali informatici possono utilizzare e-mail, post sui social media, messaggi diretti e testi falsi con l’obiettivo di indurre l’utente a fare clic sui collegamenti incorporati e ad aprire o scaricare allegati. I collegamenti e gli allegati contengono malware in grado di infettare il sistema del computer e copiare informazioni da esso. In alternativa, un collegamento potrebbe reindirizzarti a un sito Web che sembra legittimo e ti chiede di compilare un modulo, che quindi acquisisce le tue informazioni per l’uso improprio da parte del criminale informatico.

Il phishing ha diverse varianti. Lo smishing è condotto tramite messaggi di testo sui cellulari. Vishing si riferisce alle telefonate che lasciano messaggi vocali di phishing. Mentre le campagne di phishing vengono inviate a un gran numero di potenziali vittime, le truffe di spear-phishing prendono di mira individui o organizzazioni selezionati. La caccia alle balene è una forma di spear-phishing che prende di mira i dirigenti senior (il pesce grosso). Business Email Compromise (BEC) è una forma correlata di e-mail di spear-phishing che tenta di indurre i dirigenti finanziari senior a trasferire fondi.

Il phishing esiste da anni. Il primo utilizzo del termine risale al 1996. Da allora, i criminali informatici hanno continuato a inventare nuovi stratagemmi creativi, richieste fasulle e messaggi ingannevoli per agganciare le loro vittime. Di conseguenza, gli schemi di phishing stanno stabilendo nuovi record nel 2022.

Le truffe di phishing sono la criminalità informatica numero 2 nel 2022

Tre principali fonti di ricerca per informazioni sulle violazioni dei dati e sugli attacchi di phishing sono il rapporto sui costi delle violazioni dei dati di IBM, il rapporto sulle indagini sulle violazioni dei dati di Verizon e l’Anti-Phishing Working Group (APWG). Queste fonti raccolgono, analizzano e segnalano i dati e monitorano le modifiche nel tempo. L’APWG pubblica rapporti trimestrali sul phishing .

  • I dati di phishing dell’APWG quest’anno sono inquietanti. Nel primo trimestre del 2022, l’organizzazione ha identificato 1.025.968 attacchi di phishing, segnando la prima volta che il totale trimestrale ha mai superato il milione di incidenti. Questo modello è proseguito nel secondo trimestre, che ha stabilito un altro nuovo record a 1.097.811 episodi di phishing.
  • L’APWG ha anche segnalato un aumento delle frodi basate sui telefoni cellulari nel secondo trimestre, riconducibile a un aumento delle attività di smishing e vishing. Anche gli attacchi BEC stanno diventando più audaci. Nel primo trimestre, è stata richiesta una media di $ 91.436 per incidente BEC in bonifici fraudolenti. La richiesta media è salita a $ 109.467 per incidente nel secondo trimestre del 2022.
  • Secondo il rapporto sul costo della violazione dei dati del 2022 pubblicato da IBM, il phishing è stata la seconda causa più comune di violazioni della sicurezza nel 2022. Il phishing ha rappresentato il 16% di tutte le violazioni dei dati ed è costato in media 4,91 milioni di dollari per violazione. Le violazioni della sicurezza causate da attacchi di phishing sono seconde solo alle violazioni risultanti dal furto o dalla compromissione delle credenziali degli utenti, che costano in media 4,5 milioni di dollari per violazione.
  • L’anno prima, un incredibile 94% degli attacchi di phishing è stato recapitato tramite e-mail, secondo il rapporto 2021 sulle indagini sulla violazione dei dati di Verizon. Inoltre, quasi il 40% delle violazioni dei dati è stato causato da truffe di phishing e un altro 11% da malware.

Global Security Magazine segue anche ciò che sta accadendo sul fronte del phishing, osservando che nel primo trimestre del 2022 i criminali informatici hanno utilizzato la piattaforma di social media LinkedIn nel 52% delle loro truffe di phishing in tutto il mondo, un aumento significativo rispetto all’8% del trimestre precedente. Amazon, Apple, Facebook, Google e Microsoft rimangono i marchi più frequentemente falsificati.

Come schermare le tue e-mail per indizi di phishing

Una volta che impari a riconoscere i segni del phishing, diventa più facile individuare le email di phishing e sapere come reagire ad esse. Quando ricevi un’e-mail di phishing e la riconosci per quello che è, non fare clic su alcun collegamento né aprire alcun allegato. Non fare nemmeno clic sul collegamento Annulla iscrizione. Basta eliminare l’e-mail dalla tua casella di posta.

Ci sono alcuni segnali da cercare per individuare un’e-mail di phishing. Uno qualsiasi di questi indizi è spesso sufficiente per rivelarlo, ma se ne noti più di uno è quasi sicuramente un’e-mail di phishing. E ricorda, anche se l’anno scorso il 94% di tutto il phishing è stato condotto via e-mail, anche lo smishing e il vishing sono in aumento.

  • L’e-mail (o il testo o il messaggio telefonico) contiene un’offerta che sembra troppo bella per essere vera? Come un rimborso inaspettato dall’IRS?
  • Include un linguaggio urgente, allarmante o minaccioso?
  • È scritto male, con pessima grammatica, errori di ortografia e refusi?
  • Il saluto è generico o inesistente?
  • Manca un argomento nella riga dell’oggetto?
  • L’e-mail include una richiesta di invio di informazioni personali, come una password o un PIN o un numero di conto?
  • Ti crea l’urgenza di fare qualcosa di specifico? O ti fa temere che uno dei tuoi account sia in pericolo?
  • È una richiesta commerciale strana o brusca?
  • Il nome dell’azienda nell’indirizzo e-mail del mittente corrisponde al nome dell’azienda che conosci? (Cerca piccole variazioni negli indirizzi e-mail, come @pavpal.com o @amazom.com; i phisher devono utilizzare le variazioni in modo che tu risponda direttamente a loro e non al vero marchio.)
  • Quando passi il cursore sull’indirizzo email del mittente nel campo Da, cosa vedi? L’indirizzo e-mail corrisponde a quanto visualizzato nel campo Da? Sembra sospetto per qualche altro motivo? Dovresti sempre controllare l’indirizzo email del mittente per verificarne l’autenticità.

Cosa fare se si sospetta il phishing

Se sospetti che un’e-mail sia fraudolenta, contatta la società di invio o l’individuo direttamente su una piattaforma separata e sicura o chiamalo. Se l’e-mail include un numero di telefono, chiamalo. Se ricevi un segnale di occupato veloce o un messaggio di fuori servizio, sai che è una frode. Una tecnica efficace consiste nell’inoltrare l’e-mail sospetta all’indirizzo del mittente che hai copiato e incollato nel nuovo campo A e chiedere loro di verificare. Nella maggior parte dei casi i truffatori non rispondono. (Non rispondere mai direttamente all’e-mail sospetta.)

Perché è bene ripetere, quando ricevi un’e-mail di phishing e la riconosci per quello che è, non fare clic su alcun collegamento o aprire alcun allegato. E non fare clic sul collegamento Annulla iscrizione. Basta eliminare l’e-mail dalla tua casella di posta.

Se ricevi un’e-mail di phishing al lavoro, avvisa il tuo team IT e segui il protocollo di sicurezza informatica della tua azienda. Il tuo datore di lavoro dovrebbe offrire lezioni per addestrare i dipendenti a riconoscere le e-mail di phishing e altre tattiche. Approfitta di questa formazione quando possibile!

Un’oncia di prevenzione

È importante ricordare che più informazioni personali condividi su di te online, più è probabile che diventi un bersaglio di phishing. Evita di condividere eccessivamente la tua vita sui siti di social media. E visita solo i siti Web i cui URL iniziano con “https”. La “s” indica un sito “sicuro”, in cui la crittografia è abilitata per proteggere le informazioni sui visitatori. L’utilizzo di siti sicuri è particolarmente importante quando si effettuano transazioni finanziarie e pagamenti di acquisti online.

Ricorda, inoltre, che l’FBI sconsiglia vivamente di effettuare pagamenti di riscatto se diventi vittima di uno schema ransomware . Invece, metti in atto misure di sicurezza in modo proattivo prima di essere attaccato, incluso il backup di routine dei tuoi dati.

Riepilogo

Cybersecurity Awareness Month è un’iniziativa della National Cybersecurity Alliance e della Cybersecurity and Infrastructure Agency, che sfruttano l’occasione annuale per rafforzare le linee guida sulla sicurezza informatica per aziende e consumatori.

Gli stratagemmi di social engineering, e in particolare le truffe di phishing, sono diventati sempre più popolari tra i criminali informatici e di solito sono il primo passo in costosi schemi di ransomware. Il numero di incidenti di phishing registrati dall’Anti-Phishing Working Group ha stabilito nuovi record trimestrali nel 2022 e le truffe di phishing sono ora classificate come la seconda causa più comune di violazione dei dati, con il 94% di esse recapitate direttamente nella tua casella di posta elettronica.

L’ironia di queste statistiche è che le e-mail di phishing sono davvero facili da individuare una volta che sai cosa cercare. Abbiamo tutti bisogno di diventare più diligenti nello screening delle nostre e-mail per questi indizi. Le organizzazioni dovrebbero approfittare del mese di sensibilizzazione sulla sicurezza informatica per formare dipendenti e dirigenti a riconoscere le e-mail di phishing e rafforzare tale formazione durante tutto l’anno.

Fonte : https://blog.24by7security.com/