Qual è la cosa più memorabile dell’impostazione della posta elettronica? Se si tratta solo di una password complessa, questo articolo ti aiuterà a sfatare questo e altri miti comuni. La sicurezza della tua posta elettronica è essenziale, ma troppe soluzioni e suggerimenti si basano su pregiudizi piuttosto che sull’esperienza. Ho intenzione di rivedere e rivedere le politiche di sicurezza della posta elettronica, le soluzioni e anche alcune bandiere rosse.
Tocchiamo uno per uno i miti più comuni sulla protezione della posta elettronica.
Mito 1: è tutta una questione di sicurezza della password
Dicono che non c’è possibilità di hackerare il tuo account se non riesci a indovinare la password. È vero?
Prima di tutto, non esiste una bacchetta magica che possa aiutarti a creare una password che resista a qualsiasi attacco. Gli hacker rubano e violano sia le password umane che quelle create dalla macchina, non importa quanto siano complesse.
L’esperienza basata sull’evidenza suggerisce che la modifica delle password o delle passphrase e-mail a intervalli regolari è la migliore soluzione pratica. La frequenza ottimale per gli aggiornamenti della password è di tre mesi. Ciò ti offre una buona possibilità di bloccare il tuo account dai criminali informatici nel caso in cui venga attaccato; allo stesso tempo, la frequenza di aggiornamento è piuttosto bassa.
Nonostante sia tutt’altro che impeccabile, questa routine, sorprendentemente, protegge la tua email nella maggior parte dei casi.
Inoltre, non esiste una protezione della posta elettronica aziendale basata solo su password. I sistemi di posta elettronica aziendale richiedono misure di sicurezza aggiuntive. Il personale IT di ogni azienda presenta set individuali di tattiche e strumenti. Questi includono requisiti di accesso sicuro, conformità con la gestione dei dati master, autenticazione a più fattori, filtri e-mail, procedure BYOD sicure e così via.
Per riassumere, la password stessa è solo la punta dell’iceberg, poiché un’adeguata sicurezza della posta elettronica ricorre a una serie di fattori e tattiche.
Mito 2: è estremamente difficile replicare un sito Web aziendale creato professionalmente
Potresti chiederti se questo ha qualche relazione con la sicurezza della tua email. Il phishing è l’indizio giusto qui. Potresti avere la tua e-mail protetta con soluzioni di autenticazione avanzate, impostare una password extra forte, filtrare file allegati e potenziale spam, ma questo non funziona contro il cosiddetto phishing del sito web. Il mito dice che gli hacker non possono falsificare un sito Web di alto profilo. Pensi che questo sia vero?
Ovviamente non è vero. I siti web del governo e delle grandi aziende, che si tratti della NASA o di Facebook, non sono a prova di parodia. Sono altrettanto vulnerabili ed esposti a manomissioni esterne come qualsiasi altra risorsa Internet. Gli hacker possono persino utilizzare i comandi dorking di Google per rubare le tue informazioni.
Gli aggressori che effettuano phishing sui siti Web di solito dispongono di strumenti e competenze avanzati. Non hanno quasi nulla in comune con aspiranti hacker che usano un kit di phishing per manichini acquistato durante il Black Friday. L’ingegneria sociale, la psicologia, lo sviluppo di siti Web e la programmazione sono campi in cui i phisher moderni hanno una solida esperienza e conoscenza.
Questi professionisti criminali sanno come rilevare e sfruttare le vulnerabilità dei siti Web. Una volta che scoprono che il tuo sito web va bene per loro, sviluppare il suo clone e pubblicarlo sul web è questione di ore.
Ho monitorato i casi di phishing dei siti Web abbastanza a lungo da ammettere che una buona parte dei cloni è davvero impeccabile. Le vittime non vedono motivo di sospettare una truffa. Leggi questo articolo CSO sui siti Web gemelli per vedere la varietà e l’abilità degli attacchi di phishing. Ciò dimostra che qualsiasi pagina, incluso un sito Web di alto profilo o istituzionale, può essere esposta allo spoofing.
Fai attenzione a tali casi e fornisci tattiche per garantire che un sito Web a cui accedi sia autentico. Applicare vigilanza, previdenza, controllare i certificati del sito Web, ispezionare attentamente l’URL del sito Web e assicurarsi che corrisponda al sito Web originale. In nessun caso scaricare e installare alcun contenuto o inserire le credenziali di accesso semplicemente perché questa pagina familiare lo richiede.
In realtà, è meglio aggiungere un segnalibro nel tuo browser a tutti i siti Web importanti e aprirli solo utilizzando quei segnalibri verificati.
Mito 3: la maggior parte dei rischi può essere evitata addestrando i dipendenti a gestire la posta elettronica in modo sicuro
La maggior parte di noi ha attraversato una routine di onboarding dei dipendenti. Questo di solito richiede un nuovo membro dello staff per leggere alcune regole, procedure, conoscere altri membri dello staff e la leadership, guardare tutorial, ecc.
Molte aziende si impegnano in modo significativo per rendere il proprio personale esperto di sicurezza. Il prossimo mito è il seguente: investire nella consapevolezza digitale del personale riduce significativamente i rischi di posta elettronica. È solo un mito o la realtà?
Sono sicuro che non è un mito. Se i membri del tuo staff vengono formati sulla sicurezza della posta elettronica studiando casi reali, le loro abilità e abitudini cambieranno. Un dipendente ben addestrato può distinguere un’e-mail genuina da quella inventata da truffatori, rilevare tentativi di falsificare un’e-mail o un sito Web aziendale, identificare file allegati dannosi e notificare eventuali irregolarità alle unità appropriate.
L’allenamento non deve essere una festa del russare. Incoraggia i formatori a utilizzare molti tutorial video e audio, messaggi e-mail di phishing reali e siti Web falsificati. Coinvolgi il pubblico il più possibile. L’intrattenimento non può sostituire completamente l’apprendimento, ma lo facilita e lo migliora notevolmente. E, naturalmente, lancia attacchi di phishing falsi (preparati dal tuo personale IT) contro la tua organizzazione.
Mito 4: i browser Web informano su tutti i siti Web non sicuri
Se controlli il certificato SSL una volta che il tuo browser carica un sito web, significa che sei pienamente consapevole delle proprietà di sicurezza della pagina visitata. Per quanto riguarda il mito, funziona così: il mio browser segnala sempre eventuali pagine non sicure o di phishing. Mito o realtà?
È solo un mito. Ci sono due avvisi che i browser di solito mostrano per un visitatore del sito web. Se il tuo browser ritiene che il sito sia sicuro, vedrai un lucchetto. Viene visualizzato un punto esclamativo se sono presenti determinate note di sicurezza.
In natura, anche un sito contrassegnato da un lucchetto non è necessariamente sicuro. I criminali informatici utilizzano autorità di certificazione losche o inviano informazioni false per ottenere un certificato del sito Web valido. Tuttavia, gli utenti ordinari di solito non scavano così a fondo. Se vedono un lucchetto sulla pagina, pensano che sia tutto a posto.
D’altra parte, a volte i siti contrassegnati come non sicuri potrebbero rivelarsi sicuri. Qualche errore nel codice del sito può fare la differenza. Potrebbero verificarsi anche problemi tecnici. Quindi, sebbene i browser facciano del loro meglio per proteggere gli utenti, non dovremmo comunque fidarci ciecamente dell’icona del lucchetto.
Ad ogni modo, se, durante l’esame del certificato SSL, vedi che alcuni campi sono vuoti o contengono dati irrilevanti, la risposta migliore sarebbe lasciare il sito e segnalare comportamenti dannosi o sospetti.
Mito 5: l’inserimento di siti Web dannosi attivi nella blacklist fornisce immunità a ulteriori attacchi
Supponiamo che tu sappia che alcuni siti Web, come, ad esempio, Search Baron descritto qui, ti reindirizzeranno a offerte fasulle o a un sito di phishing. Cosa farai dopo? Hai intenzione di aggiungere il sito web alla tua lista nera? Alcune persone credono che se bloccano diversi siti Web dannosi, sono al sicuro da ulteriori attacchi. Vero o falso?
Questa è una falsa credenza. Anche se inserisci nella blacklist una dozzina di siti Web dannosi, gli hacker hanno ancora un numero infinito di nuovi URL per impostare una trappola di phishing. Sapevi che la registrazione e la creazione di un nuovo sito Web richiedono solo poche ore? Puoi bloccare un dominio; registrano un’altra scissione. È un gioco del gatto e del topo.
Lo stesso accade ai fornitori di antivirus. Rilevano e mettono costantemente in quarantena nuovi virus e malware, ma i malfattori ne creano di nuovi ancora e ancora.
Inserire nella blacklist un URL di phishing è una buona idea. Nel frattempo, è solo una soluzione a metà. Il tuo compito è imparare a identificare tali siti Web in base al loro comportamento e alle loro caratteristiche.
Pensieri finali
La sicurezza della posta elettronica riguarda tutte le parti coinvolte. L’anello più debole è il fattore umano. I cinque miti che ho esaminato mostrano la massima importanza della formazione sulla consapevolezza della sicurezza.
Se consideri di affidarti a soluzioni software per la sicurezza della posta elettronica, dovrebbe coprire tutti i vettori di attacco, inclusi la compromissione della posta elettronica del fornitore, worm, virus macro, ecc. Allo stesso tempo, dovrebbe aiutare a ridurre al minimo i rischi causati dal fattore umano.
