8 rischi per la sicurezza degli account di posta elettronica condivisi

Gli account di posta elettronica condivisi sono quelli a cui accedono e che vengono utilizzati da più persone, in genere all'interno della stessa famiglia o organizzazione. Possono sembrare convenienti in quanto consentono a più persone di gestire il carico di lavoro e di garantire che le e-mail non restino senza risposta. Tuttavia, l'utilizzo di un'e-mail condivisa pone molteplici rischi per la sicurezza e lascia tutti gli utenti e le organizzazioni vulnerabili.

L'importanza della sicurezza della posta elettronica

La sicurezza delle e-mail è una parte importante della sicurezza di qualsiasi azienda. Ogni anno centinaia di migliaia di persone sono vittime di attacchi di phishing, che causano una notevole perdita di dati e incalcolabili danni finanziari e di reputazione. Monitorare i dipendenti e assicurarsi che seguano le migliori pratiche può rafforzare le difese digitali. L'implementazione di protocolli di autenticazione delle e-mail come DMARC, SPF e DKIM aiuta a proteggere dagli attacchi di phishing e spoofing, verificando la legittimità dei mittenti delle e-mail e riducendo il rischio di utilizzo non autorizzato del vostro dominio.

Un modo per farlo è l'uso di un software spia legittimo. Secondo la recensione di Noah Edis, scrittore di tecnologia, di recensione di Flexispydello scrittore tecnologico Noah Edis, ad esempio, il software può essere utilizzato per monitorare i dispositivi aziendali per garantire il rispetto delle migliori prassi e per migliorare la responsabilità. In alcune regioni esistono requisiti legali che impongono ai datori di lavoro di informare i propri dipendenti su qualsiasi misura o strumento di monitoraggio (ad esempio, il GDPR nell'UE), ma non è così su scala globale.

Semplificate la sicurezza con PowerDMARC!

Cosa sono gli indirizzi email condivisi?

Un indirizzo email condiviso è un singolo indirizzo email, che usa un singolo account email, che ha più utenti. Tutti gli utenti accedono all'account con le stesse credenziali di accesso. Le email condivise possono essere usate in casa, dalle famiglie e persino nelle aziende. Sono comunemente usate dai dipartimenti di assistenza clienti, ad esempio, dove più dipendenti sono responsabili di rispondere alle email inviate a un singolo indirizzo.

Poiché tutti i membri del team utilizzano gli stessi dati di accesso e accedono alle stesse e-mail, e poiché i membri del team cambiano reparto o addirittura lasciano l'azienda, può significare che decine o più persone finiscono per avere accesso all'account. Ciò lascia l'azienda esposta ad attacchi dall'interno, aumentando al contempo il rischio di attacchi esterni.

8 motivi per cui dovresti evitare gli indirizzi email condivisi 

Gli indirizzi email condivisi sono comodi e possono essere utili in alcuni casi, ma pongono alcuni rischi per la sicurezza. Ecco alcuni motivi comuni per cui dovresti evitare di usarli:

1. Password deboli

Le password sicure dovrebbero essere composte da lettere maiuscole e minuscole, numeri e caratteri speciali. Non dovrebbero includere stringhe di caratteri che siano sequenze, parole e frasi note o qualsiasi cosa che sia facilmente indovinabile. 8 violazioni di hacking aziendale su 10 vengono raggiunte a causa dell'uso di password deboli o rubate, il che rende la scelta e l'uso di password sicure una parte integrante della sicurezza dei dati .

Gli account e-mail condivisi tendono ad avere password semplici. Più utenti devono accedere all'account ed è più facile per l'amministratore assegnare una password semplice. Molti utenti, inoltre, utilizzano le stesse password per più account diversi, quindi se hanno ricevuto una password per accedere alla propria e-mail, è possibile che la riutilizzino altrove. Per ridurre i rischi, utilizzate sempre password forti e uniche per ogni account e assicuratevi che siano conformi alle migliori pratiche di sicurezza.

2. Responsabilità

Se più persone hanno accesso a un account di posta elettronica utilizzando lo stesso nome utente e la stessa password, diventa praticamente impossibile stabilire chi ha fatto cosa. Se si verifica una violazione dei dati deliberata e vengono condivise e-mail sensibili, è molto difficile stabilire chi ha condiviso tali informazioni quando si utilizzano account di posta elettronica condivisi. Da un punto di vista aziendale, diventa anche difficile stabilire chi ha inviato o risposto a messaggi da un account di posta elettronica.

La mancanza di responsabilità non riguarda l'infliggere punizioni. Se si verifica una violazione della sicurezza o un rischio, i dipendenti e gli utenti di posta elettronica devono essere formati sulle best practice. Per fare ciò, è necessario identificare chi ha bisogno di formazione o si potrebbero alienare quegli utenti che rispettano le best practice. Un altro elemento di responsabilità è determinare chi è responsabile di rispondere a quali email. I membri del team dovranno controllare ogni email per assicurarsi che abbia ricevuto una risposta tempestiva.

3. Attacco deliberato

Le e-mail, anche quelle dei clienti, possono contenere dati altamente sensibili: informazioni che non vuoi che concorrenti o parti esterne entrino in possesso. Con account e-mail condivisi, può risultare difficile tenere traccia di chi esattamente ha accesso all'account. Oltre ai dipendenti attuali che hanno bisogno di accesso, i dipendenti lasciano le organizzazioni. Non tutte le violazioni dei dati e gli attacchi provengono dall'esterno dell'azienda. Molti sono istigati da dipendenti o ex dipendenti.

È improbabile che una password di posta elettronica venga cambiata ogni volta che c'è un riordino interno o un dipendente se ne va. Anche se la maggior parte delle aziende limita immediatamente altre forme di accesso quando un dipendente si licenzia. Ciò lascia l'azienda esposta ad attacchi deliberati da parte di dipendenti attuali o ex dipendenti scontenti.

4. Conservazione dei dati

Nella maggior parte dei casi, i dipendenti utilizzano software di posta elettronica come Outlook per accedere alla posta elettronica condivisa. Il software è installato sul loro computer e consente ai singoli individui l'accesso completo all'account. Possono ricevere e inviare e-mail, scaricare allegati ed eseguire funzioni amministrative sull'account.

Anche se un utente cancella un'e-mail sensibile, se il contenuto dell'e-mail si trova nel software di posta elettronica di un altro utente o ha scaricato i file allegati, quei dati esistono ancora. Questo può essere un problema per i dati aziendali sensibili. Può anche rappresentare un rischio per la sicurezza con le e-mail di phishing e i file sospetti. Un utente potrebbe riconoscere una truffa e cancellare l'e-mail, ma se questa è già stata aperta o scaricata, rappresenta ancora un rischio per l'intera azienda.

5. Non conformità

Alcuni settori, come quello sanitario, hanno rigide politiche di protezione dei dati e di comunicazione, tra cui requisiti di sicurezza della posta elettronica . Le organizzazioni all'interno di tale settore devono seguire queste politiche, altrimenti potrebbero essere colpite da misure punitive. Nei casi più gravi, le aziende potrebbero vedersi revocate le licenze per operare.

La maggior parte delle policy di conformità dei dati richiede che gli utenti dispongano di account di posta elettronica separati, poiché ciò contribuisce a garantire l'integrità dei dati, rende più difficili gli attacchi esterni e protegge i dati degli individui.

6. Maggiore complessità

Condividere le credenziali di accesso e-mail può sembrare la soluzione più semplice. A tutti coloro che hanno bisogno di accesso vengono forniti lo stesso nome utente e la stessa password e tutti gli utenti possono rispondere alle e-mail. Tuttavia, se un'azienda desidera garantire una buona sicurezza dei dati, in realtà aumenta la complessità in molti modi.

Ogni utente deve ricevere i dettagli di accesso. Quando un utente lascia un reparto, e in particolar modo se lascia l'azienda, quei dettagli devono essere modificati. Ciò significa inviare nuovi dettagli di accesso a tutti i membri del team. Inevitabilmente, qualcuno dimenticherà i nuovi dettagli. E, se si verifica una violazione dei dati o un altro problema di sicurezza, ci vorrà molto lavoro di ricerca da parte dell'IT per trovare la causa della violazione e rafforzare le difese contro futuri attacchi. E, mentre alcuni utenti potrebbero aver bisogno dell'accesso amministrativo per poter apportare modifiche all'account di posta elettronica stesso, altri utenti non ne avranno bisogno, il che significa tentare di creare restrizioni di accesso utente su un account condiviso.

7. Ulteriori rischi di ingegneria sociale

L'ingegneria sociale è una delle tattiche più comunemente utilizzate per ottenere l'accesso ad account di posta elettronica e ad altri dati critici per la missione. Il phishing è una forma di ingegneria sociale, che consiste nel convincere un destinatario di posta elettronica a cliccare su un collegamento e immettere i dettagli di nome utente e password su un sito spoof. Tuttavia, esistono anche altre tattiche di ingegneria sociale e più utenti hanno accesso a un account condiviso, più potenziali punti di ingresso ci sono per gli hacker che utilizzano queste tattiche.

Il modo più efficace per tappare queste falle è avere account separati con credenziali di accesso separate per tutti gli utenti. Come minimo, l'inoltro delle email potrebbe aiutare a tappare alcune falle di sicurezza.

8. Restrizione dell'accesso

Non tutti i membri del team hanno bisogno dello stesso livello di accesso all'account e diversi membri del team potrebbero aver bisogno di accedere a email specifiche. Con gli account email condivisi questo non è possibile. Chiunque abbia accesso all'account sarà in grado di vedere e persino rispondere a ogni email. Allo stesso modo, alcuni utenti dovranno essere in grado di accedere e modificare i dettagli dell'account mentre altri avranno solo bisogno dell'accesso email.

Questo può essere ottenuto fornendo ad alcuni utenti un software di posta elettronica e consentendo ad altri utenti l'accesso all'account stesso, ma diventa ancora più complicato e una volta che un utente ha il nome utente e la password per un account, può comunque ottenere l'accesso online per apportare potenzialmente modifiche.

Riassunto

Le email condivise sembrano comode perché hanno solo un singolo nome utente e una password. Sono condivise tra gli utenti e tutti possono accedere e rispondere alle email nell'account. Tuttavia, le email condivise rappresentano un rischio di sicurezza maggiore e possono effettivamente aumentare il livello di complessità per le aziende che prendono sul serio la sicurezza dei dati. 

Proteggi il tuo dominio e migliora la sicurezza della posta elettronica con le soluzioni avanzate di sicurezza della posta elettronica di PowerDMARC. Provalo gratuitamente oggi stesso!

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Microsoft rafforza le regole sui mittenti di e-mail: Aggiornamenti chiave da non perdere - 3 aprile 2025
• Configurazione DKIM: Guida passo-passo alla configurazione di DKIM per la sicurezza delle e-mail (2025) - 31 marzo 2025
• PowerDMARC riconosciuto come leader di rete per DMARC nei rapporti G2 Spring 2025 - 26 marzo 2025