È oramai un fatto acquisito che minacce di sicurezza come APT, Phishing, CEO Fraud e Business Email Compromise hanno un ruolo sempre più centrale negli attacchi moderni. Il phishing è l’adescamento delle persone tramite mail che contengono allegati o link malevoli, che rimandano a pagine web fasulle dove vengono raccolte credenziali di accesso o altre informazioni richieste agli utenti (numero di carta di credito), informazioni che l’attaccante riesce a monetizzare subito, rivendendole nel dark web.
Il Phishing è di fatto un ambito del social engineering estremamente diffuso e pericoloso, perché precursore di furti di identità e acquisizione di credenziali con privilegi che aprono le porte agli attaccanti e gli permettono di svolgere tutta una serie di attività malevole nel tempo. Lo spear phishing, un phishing molto mirato e quindi ancora più difficile da individuare che sfrutta delle informazioni già trafugate al singolo individuo, era alla base dell’attività di spionaggio dei 2 fratelli Occhionero, ed è stato proprio il riconoscimento della mail iniziale di spear phishing che ha permesso di avviare l’attività di investigazione.
Business Email Compromise: a marzo di quest’anno l’FBI ha dichiarato che in 3 anni con gli attacchi “Business Email Compromise” (BEC) sono state raggiunte a livello globale 40.000 vittime, con perdite economiche per 5 miliardi di dollari. La BEC prende di mira principalmente le aziende che hanno transazioni commerciali con fornitori e clienti esteri. Avendo compromesso la mail di un dirigente (con un spear phishing), tipicamente dell’area amministrativa finanziaria, l’attaccante è in grado con un attacco del tipo man-in-the-middle di sostituirsi ad un’altra azienda ed intercettare un pagamento, tipicamente comunicando un IBAN diverso.
Con l’aumento di questi rischi diventa quindi fondamentale:
(1) formare le persone a riconoscere i tentativi di Social Engineering, oltre che
(2) diffondere in generale una maggiore cultura sulla cybersecurity.
Come farlo? Durante il Webinar “Information Security Awareness. Sensibilizzare gli utenti aziendali e rispondere alle minacce Cyber” organizzato lo scorso 28 novembre 2017 da Hitachi Systems CBT in collaborazione con The Innovation Group, con la presenza di Michele Onorato, Security Office Manager di Hitachi Systems CBT, e di Elena Vaciago, Associate Research Manager di The Innovation Group, si è parlato di:
- Quali sono le azioni umane che possono “aprire le porte” a un data breach
- Come impostare una formazione sulla Security efficace (brevi video, alert) per ingaggiare le persone, …
- … analizzare il livello di vulnerabilità legato alle persone con campagne simulate di Phishing
- … variare i messaggi, diffondere best practices, premiare i comportamenti corretti della forza lavoro
- Con quali tecniche rinforzare l’apprendimento e creare una cultura della sicurezza in azienda
- Come misurare i risultati ottenuti e ripetere il ciclo migliorando costantemente nel tempo.
Visualizza il Webinar!
Per scoprire come Hitachi Systems CBT può rispondere alle esigenze della tua azienda in ambito Security visita http://www.hitachi-
