Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Matteo Brandi : 22 Ottobre 2024 07:15
Nel mondo della sicurezza informatica, c’è un nemico subdolo che sta colpendo sempre più piccole e medie imprese: le email aziendali false. Immagina un truffatore che riesce a rubare o creare ad hoc un indirizzo email aziendale apparentemente legittimo. La vittima? Qualcuno con una posizione di responsabilità nella tua PMI. Le conseguenze? Potenzialmente devastanti.Ma come proteggi le email aziendali dalle truffe ?
I criminali informatici sfruttano queste email per ingannare clienti e fornitori. Bastano poche mosse per far cadere qualcuno in una trappola e far trasferire denaro o condividere informazioni riservate. La risposta è più semplice di quanto pensi: certificare ogni email aziendale ed istruire il personale a riconoscere le minacce.
Purtroppo è la realtà per molte PMI. I criminali informatici sfruttano email apparentemente legittime per ingannare le vittime. Queste email possono essere rubate attraverso phishing o create con domini simili a quelli aziendali. Come fanno a creare il tuo dominio aziendale se non ne possono esisterne due uguali??
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Esistono due tecniche principali:
Un’email che sembra provenire dal CEO o da un fornitore fidato potrebbe chiederti di pagare una fattura urgente o di trasferire fondi verso un nuovo conto bancario. È un attacco astuto, costruito per sembrare ordinario, per non sollevare sospetti. E funziona, perché nessuno si aspetta di essere ingannato da un’email che arriva proprio da dentro l’azienda.Specialmente se c’è urgenza.
La buona notizia? Ci sono strumenti che ti permettono di proteggerti. Puoi far capire ai destinatari che lo scrivente sei proprio tu e non è un tentativo di phishing. Vediamo come.
Proteggi le email aziendali dalle truffe certificando il server di invio della posta elettronica, fa capire ai destinatari che l’invio è legittimo e non è così complicato. Bisogna intervenire sul pannello di gestione del dominio e quello della posta usando SPF, DKIM e DMARC. Questo trittico garantisce in maniera robusta che:
Inserendo questi “elementi” nelle tue email, metterai un insegna luminosa per i filtri Spam che dice “Sono io, l’unico e originale!”, garantendo che la tua email arrivi a destinazione e non finisca nello spam. Tutto gratuito. Come fare? C’è un bellissimo articolo molto chiaro di Manuel Roccon Qui su Red Hot Cyber. Questo ti proteggerà da chi vuole impersonare la tua azienda con l’uso di domini simili, ma non se ti rubano le credenziali della tua posta elettronica.
Proteggi le email aziendali dalle truffe certificando l’identità di ogni singolo account email aziendale, specialmente il CEO, creando una firma digitale con una coppia di chiavi pubblica e privata per ciascun account. Delle chiavi pubbliche e private ne ho scritto in questo articolo Qui su Red Hot Cyber.
Ogni email inviata dal legittimo proprietario sarà firmata. Quella che non presenta la firma, sarà automaticamente fraudolenta. Questa tecnica consente anche di raggiungere anche un ulteriore obiettivo: cifrare le email. Quando le email “viaggiano” nel “cyber spazio”, sono cifrate, rendendo inutile l’intercettazione ma, a meno che il gestore di posta specifichi il contrario, sono conservate in chiaro. Un attacco al tuo gestore di posta elettronica, comprometterebbe le tue informazioni. Cifrarle significa sia integrità che riservatezza (due dei tre elementi della celeberrima triade CIA).
Quando si mandano via email informazioni molto sensibili, cifrarle è una buona pratica (ne parla anche la NI2). Come fare? Due possibilità:
Sul primo modo…ci sono molti fornitori e ciascuno ha le istruzioni per renderli operativi dopo l’acquisto.
Sul secondo, i software client di posta Open Source come Thunderbird, offrono queste funzionalità con qualche passaggio. Grazie a questa coppia di chiavi, che saranno sotto la responsabilità di ogni singolo utente, ogni account email potrà sia firmare che cifrare il contenuto delle email inviate. Per rendere funzionale questa tecnica però c’è bisogno di un paio di “sbatti” in più. Con queste chiavi serve un minimo di collaborazione: il destinatario deve salvare la tua chiave pubblica nel proprio client di posta prima di poter rendere operativa questa modalità. Il mittente da parte sua può mettere in allegato fisso alla sua email la chiave pubblica (pesa pochissimi Kbytes) mentre il destinatario…questo piccolo sforzo per un Mondo più sicuro lo deve fare. Tu invece devi mettere le chiavi in tutti i dispositivi che usi per inviare la posta.
Le tua chiavi rimangono sul tuo PC e a meno di un furto direttamente da questo, se un criminale accedesse alla tua posta dal web, non potrebbe firmare a nome tuo. Non sto a scrivere che la chiave privata deve essere ben custodita…se persa o compromessa la coppia può essere revocata, ma deve essere comunicato a tutti quelli che hanno la tua chiave pubblica. Altro “sbatti”.
Ma il DKIM non fa la stessa cosa?? Il DKIM consente al server di posta di firmare le email con la sua coppia di chiavi, non c’è distinzione per ogni singolo account di email e non consente di cifrare il contenuto.
Lo so , lo so, quando qualcuno vede arrivare una PEC…aiuto!! Considerato poi che non viene così controllata…la PEC però, oltre ad essere una raccomandata digitale, ha tutte le garanzie di identità del mittente e del contenuto. Quindi è una possibilità di invio di email più sicure, magari per argomenti importanti. Ovviamente non dovresti usare quella che hai dato alla Camera di Commercio…
Le persone sono l’ultimo baluardo di difesa…se correttamente formate! Insegnarli a scoprire il vero indirizzo di spedizione della email, a scoprire i typosquatting e gli omografismi può realmente fare la differenza. Considerare il tempo impiegato dal tuo personale in orario di lavoro per la formazione nella sicurezza come tempo perso, è un grave errore.
Proteggi le email aziendali dalle truffe tenendo fuori gli sconosciuti! La fuori ci sono in vendita milioni di credenziali di posta elettronica ed il tuo non ci deve essere! Come fare:
La sicurezza delle email aziendali è un problema serio, ma con un po’ di attenzione e gli strumenti giusti, puoi proteggere la tua PMI dai criminali informatici. Abbiamo visto una soluzione più costosa, l’uso della PEC (ne dovresti avere una per ogni account email aziendale), una gratuita ma un pò “tricky” : implementare SPF, DKIM e DMARC e l’ultima che ha sia una versione gratuita che a pagamento ma che richiede una minima collaborazione dei riceventi: utilizzare una coppia di chiavi pubblica e privata per firmare e volendo cifrare la posta elettronica. Per tenere poi fuori intrusi dalla tua posta ed evitare che ne inviino a nome tuo, password uniche e autenticazione a più fattori. Sei pronto a prevenire la prossima truffa?
Dai un’occhiata ai precedenti articoli della nostra rubrica, Fondamenti di Cybersecurity per le PMI:
Matteo Brandi