Perché i phisher prendono di mira i nuovi dipendenti?

Blog, Cybersecurity

Perché i nuovi dipendenti sono i primi bersagli dei phisher? Scoprite le ragioni di questa tendenza e come proteggere la vostra forza lavoro dalle truffe di phishing.

di Ahona Rudra

Tempo di lettura: 6 min
Perché i phisher prendono di mira i nuovi dipendenti?
Indice dei contenuti-

Nel corso degli anni, la tecnologia si è fatta sempre più forte in ogni ambito. I progressi tecnologici hanno anche permesso ai criminali informatici di scoprire modi innovativi per rubare le informazioni.

Di solito vengono prese di mira le grandi aziende con migliaia di dipendenti. Tuttavia, questo non esclude le aziende più piccole dalla linea di tiro. La mancanza di misure di sicurezza informatica adeguate rende più facile per i phisher trovare il punto più debole, di solito un nuovo dipendente.

È stato registrato che un dipendente su quattro ammette di aver cliccato sui link allegati alle e-mail di phishing.

Pertanto, le organizzazioni devono elaborare e implementare strategie per prevenire gli attacchi di phishing. Sono inoltre necessarie un'accurata formazione e sensibilizzazione dei dipendenti sui crimini informatici. Questo articolo si propone di farvi conoscere le truffe di phishing ai danni dei dipendenti, le loro tipologie e i modi per affrontarle.

I punti chiave da prendere in considerazione

  1. I criminali informatici prendono sempre più spesso di mira sia le grandi aziende che le piccole imprese attraverso attacchi di phishing.
  2. I nuovi dipendenti sono particolarmente vulnerabili a causa della loro scarsa familiarità con i protocolli aziendali e le best practice di cybersecurity.
  3. Gli attacchi di phishing spesso comportano messaggi personalizzati che cercano di eludere i sospetti e di manipolare il destinatario per fargli rivelare informazioni sensibili.
  4. Programmi regolari di formazione e sensibilizzazione dei dipendenti sono essenziali per dotare i lavoratori delle competenze necessarie per riconoscere e rispondere alle minacce di phishing.
  5. L'implementazione di solide misure di sicurezza per le e-mail, tra cui SPF, DKIM e DMARC, può ridurre significativamente il rischio di successo dei tentativi di phishing contro un'azienda.

Capire il phishing

Il phishing è un tipo di attacco informatico in cui i truffatori inducono le persone a fornire informazioni vitali attraverso e-mail e link falsi. Le informazioni variano molto a seconda dell'obiettivo del phisher e di solito sono di natura sensibile. 

Le informazioni contengono solitamente dati di accesso, informazioni sul conto, password e credenziali bancarie, ecc. Un attacco di phishing riuscito è in grado di causare perdite su larga scala per un'azienda. Non si limita a violare informazioni sensibili, ma può anche diffamare l'azienda utilizzando le sue informazioni riservate.

Semplificate la sicurezza con PowerDMARC!

Prova di 15 giorniPrenota una demo

4 attacchi di phishing comuni che prendono di mira i nuovi dipendenti

La maggior parte degli attacchi di phishing rivolti ai dipendenti si basa su messaggi personalizzati. Il contenuto del messaggio è formattato in modo tale da apparire affine all'utente, per evitare sospetti. 

Nel corso del tempo, gli aggressori hanno modificato le tradizionali abitudini di phishing. Pertanto, è obbligatorio aggiornare le conoscenze dei dipendenti sui tipi di attacchi di phishing. Questo li aiuterà a riconoscere tempestivamente un attacco. Di seguito sono riportati alcuni attacchi di phishing comuni che hanno come obiettivo gli impiegati.

1. Email di phishing dei dipendenti

È l'attacco di phishing più comune e il modo più conveniente per truffare i nuovi dipendenti. Questo tipo di attacchi si diffonde attraverso le e-mail. L'aggressore crea un'e-mail che impersona la società madre del dipendente nel tentativo di rubare informazioni sensibili.

L'intelligenza artificiale ha influenzato notevolmente tali attacchi di phishing, aiutando gli aggressori a generare e-mail di phishing di alta qualità senza errori identificabili. 

2. Spear Phishing

Spear Phishing è una forma di attacco di phishing altamente mirato. L'obiettivo è quello di colpire un dipendente in modo specifico. Dopo aver raccolto informazioni di base sull'utente, viene creata e inviata un'e-mail personalizzata. Questa e-mail si presenta come una fonte legittima che la vittima riconosce immediatamente.

Nello spear phishing, l'e-mail dannosa inizia solitamente con il nome del destinatario invece che con un saluto generico. L'aggressore di solito aggiunge i dati del lavoro o dell'account del dipendente e gli chiede di accedere all'account per agire.

3. La caccia alle balene

Il whaling Si verifica allo stesso modo del phishing. In questo caso, gli aggressori prendono di mira lavoratori di alto profilo come i dirigenti di alto livello. Come gli altri attacchi di phishing, anche in questo caso si utilizza un'e-mail dannosa o un messaggio contenente un senso di urgenza.

Si tratta di impersonare questi dirigenti di alto livello, di solito invitando le vittime ad aprire un allegato collegato a un'e-mail dannosa o a condividere dati sensibili. Una volta raccolte le informazioni sull'obiettivo, queste possono essere utilizzate per sfruttare i dati dell'azienda.

4. Attacchi di phishing di tipo anglosassone

Si tratta di un tipo di attacco di phishing relativamente nuovo. Il phishing anglosassone utilizza i social media o un sito web per diffondere malware. I dipendenti vengono convinti ad aprire un URL specifico o un tweet. Il sito web può chiedere ai nuovi dipendenti di inserire i dati di accesso per svolgere la funzione desiderata, provocando così una violazione dei dati.

Inoltre, in questa tipologia, i phisher utilizzano anche i dati pubblicati dai dipendenti sui loro account di social media per creare attacchi altamente mirati.

Perché i nuovi assunti sono bersagli facili?

Ecco alcuni motivi che spiegano perché i phisher trovano facile prendere di mira i nuovi dipendenti. 

Mancanza di familiarità con i protocolli aziendali

Di solito, l'onboarding dei nuovi dipendenti prevede che essi acquisiscano familiarità con le politiche aziendali e le best practice di sicurezza.
Devono inoltre rendersi conto del tipo di informazioni aziendali che sono riservate al 100% e che non devono essere divulgate in nessun caso. I nuovi dipendenti hanno anche bisogno di aiuto per riconoscere gli indirizzi e-mail aziendali autentici e quelli falsi.

Conoscenza limitata delle migliori pratiche di sicurezza informatica

I dipendenti appena arrivati sul campo di solito hanno bisogno di maggiori conoscenze sulle minacce informatiche. Non sono consapevoli delle vulnerabilità e dei punti deboli, il che può renderli facilmente truffabili. Anche se sono a conoscenza degli attacchi di phishing, non conoscono le possibili soluzioni e strategie di prevenzione.

Maggiore disponibilità a dimostrare il proprio valore

I nuovi dipendenti hanno una grande passione per mettersi alla prova nel nuovo posto di lavoro. Sono rapidi nell'agire in base alle istruzioni e seguono le indicazioni alla cieca senza verificarle. Cercano di rimanere attivi e di rispondere con efficienza a tutte le e-mail inviate dai funzionari dell'azienda. I phisher sfruttano questo senso di urgenza per attirarli in attacchi di phishing.

Come le organizzazioni falliscono nella sicurezza informatica dei dipendenti 

Anche le inefficienze organizzative giocano un ruolo significativo nella truffa dei dipendenti.

Programmi di formazione insufficienti

La formazione e la sensibilizzazione sulla cybersecurity devono essere fornite ai dipendenti all'inizio del loro lavoro. L'organizzazione deve organizzare tali sessioni di formazione interna. L'organizzazione deve organizzare tali sessioni di formazione interna, in modo da sensibilizzare l'intera forza lavoro sulle potenziali minacce e sulle relative soluzioni. Creare una cultura di apprezzamento attraverso premi e riconoscimenti per i dipendenti, come premi personalizzabili o targhe di riconoscimento su misura, può aiutare a motivare i dipendenti a impegnarsi attivamente nella formazione sulla cybersecurity e a rimanere vigili contro le potenziali minacce.

Affidamento della comunicazione via e-mail

L'e-mail è da sempre la principale fonte di comunicazione tra i dipendenti. Poiché l'e-mail è anche il bersaglio principale dei phisher, le aziende possono considerare di passare a piattaforme di comunicazione di gruppo personalizzate come Discord, Slack o Microsoft Teams per la comunicazione quotidiana tra i dipendenti. Mentre le e-mail possono essere riservate a scenari specifici e alle comunicazioni con i clienti. 

Mancanza di sicurezza delle e-mail 

Le organizzazioni spesso trascurano le best practice per la sicurezza delle e-mail, come l'autenticazione con SPF, DKIMe DMARC. Questo rende i loro domini vulnerabili agli attacchi di impersonificazione, phishing e spoofing. In questo modo è anche facile inviare e-mail false ai nuovi dipendenti da domini aziendali spoofati.

Mancanza di applicazione della conformità 

La semplice configurazione dei protocolli di autenticazione delle e-mail non è sufficiente! Se le organizzazioni non applicano le loro politiche DMARC, i loro domini rimangono vulnerabili alle minacce trasmesse via e-mail.

Per passare in modo sicuro da una politica di non azione a una di applicazione DMARC, registrarsi con PowerDMARC.

Importanza della sensibilizzazione e della formazione dei dipendenti 

I corsi di formazione per la sensibilizzazione dei dipendenti sono più di una semplice formalità. La formazione gratuita di PowerDMARC formazione sulla sicurezza delle e-mail di PowerDMARC hanno aiutato migliaia di candidati, compresi i nostri dipendenti, a rimanere vigili e consapevoli di fronte alle minacce della posta elettronica.

Inoltre, i nuovi dipendenti possono utilizzare alcuni dei seguenti consigli e strategie per evitare gli attacchi di phishing.

  • Rimanete informati sugli attacchi di phishing, partecipate alle sessioni di formazione sulla sicurezza e scoprite le ultime tendenze in materia di cybersecurity, come ad esempio IA e Informatica quantistica.
  • Controllate attentamente la legittimità degli account di posta elettronica e dei link allegati. Evitate le e-mail che danno un senso di urgenza o che chiedono un'azione urgente.
  • Mantenete aggiornati tutti i software e gli strumenti di sicurezza e aggiornate i sistemi con software antivirus, antimalware e firewall.
  • Spostate il cursore sul link allegato e leggete attentamente il contesto per evitare e-mail sospette. Se si sospetta l'autenticità dell'e-mail, contattare il mittente e confermarlo attraverso qualsiasi altra piattaforma.
  • Proteggete i vostri domini e-mail utilizzando protocolli avanzati di autenticazione e-mail come SPF, DMARCe DKIM.

Riassumendo 

Per ogni azienda, i dipendenti sono una fonte essenziale di difesa contro le violazioni dei dati. Tuttavia, le e-mail dannose continuano a raggiungere le caselle di posta dei dipendenti anche dopo l'applicazione di vari protocolli di sicurezza. 

Pertanto, l'unica cosa che può impedire alle organizzazioni di essere attaccate è impostare misure preventive e scegliere i giusti fornitori di servizi di sicurezza. PowerDMARC ha aiutato organizzazioni di tutte le dimensioni ad allineare le proprie esigenze di sicurezza del dominio e a raggiungere la conformità senza implicazioni negative sulla consegna delle e-mail. Per migliorare la sicurezza del vostro dominio, potete contattarci oggi stesso!

Ultimi messaggi di Ahona Rudra (vedi tutti)
Come aggiungere i record DMARC, SPF e DKIM di Cloudflare? Guida all'installazione sempliceCome aggiungere a Cloudflare-DMARC,-SPF,-e-DKIM-Records.-Guida facile all'installazioneCome impostare i record DMARC, SPF e DKIM di SendGrid? Facile guida passo-passo