A cura di Jay Kelley, Senior Product Marketing Manager – BIG-IP Security, F5
Black Friday, Cyber Monday e la stagione dello shopping natalizio condividono un denominatore comune: l’intensa attività di compravendita online. Purtroppo, durante questi periodi, si intensifica anche l’azione dei criminali informatici, pronti a compiere qualsiasi azione per rubare dati e perpetrare truffe.
Ad esempio, possono:
- Presentare offerte incredibili attraverso annunci falsi, facilmente accessibili con un semplice clic su un link, richiedendo il numero della carta di credito;
- Chiedere le credenziali su siti web che sembrano legittimi, spesso indicati come sicuri dal lucchetto nell’URL, creando l’illusione di essere crittografati e protetti;
- Simulare l’invio di e-mail o messaggi da parte dei servizi di consegna, fornendo link che sembrano autentici e seguono il tracciamento dell’ordine. In alternativa, potrebbero affermare che gli ordini non possono essere consegnati senza il nome utente, la password o altre informazioni personali;
- Pubblicizzare prodotti “imperdibili” esauriti ovunque, ma straordinariamente disponibili su un unico sito web e per un periodo limitato, a un prezzo incredibilmente vantaggioso.
Ora, se lavorate nel settore SecOps, IT o occupate altri ruoli con responsabilità nella sicurezza aziendale e organizzativa, probabilmente leggendo queste righe penserete: “Questo sembra più un problema per il consumatore. Non dovrebbe coinvolgere me o la mia azienda!”. Ma state attenti a non sottovalutarlo.
Basta che un dipendente o un utente apra un’e-mail o un messaggio di phishing apparentemente autentico e faccia clic su un link, convinto di accedere a un sito web legittimo, e il rischio di essere colpiti da ransomware, malware e altre gravi minacce che mettono in pericolo la vostra organizzazione, la rete, le applicazioni e i dati diventa tangibile.
Ecco alcuni suggerimenti pratici per educare e proteggere dipendenti, utenti e l’intera organizzazione da attacchi che potrebbero sfruttare l’effervescenza delle giornate di shopping intensivo, promosse senza sosta:
- Ricordate ai dipendenti e agli utenti che i loro dispositivi di lavoro non devono essere utilizzati per attività personali, soprattutto per gli acquisti online;
- Organizzate corsi di aggiornamento sul phishing in concomitanza con l’imminente shopping natalizio. Ricordate a dipendenti e utenti di non accedere a e-mail o messaggi personali sui dispositivi aziendali, e soprattutto di non aprire quelli inaspettati. Né di fare clic sui link contenuti in qualsiasi e-mail o testo: l’accesso diretto all’URL e al sito web aziendale è sempre più sicuro;
- Sottolineate che, anche se un sito web, un messaggio o un annuncio sembrano autentici e crittografati – indicati dal piccolo lucchetto nell’URL – potrebbero comunque condurre a un sito di phishing. Gli utenti non dovrebbero mai fornire credenziali, inclusi dati di accesso o informazioni personali e finanziarie attraverso tali siti. Anche in questo caso, si dovrebbe accedere direttamente all’URL e al sito web dell’azienda di origine;
- Fate attenzione che un’e-mail, un messaggio o un annuncio che promuove un’offerta che sembra troppo bella per essere vera è probabilmente una trappola. Non cliccate sul link fornito. Indirizzatevi sempre direttamente al sito web del rivenditore, dell’azienda di e-commerce o del produttore per verificare l’offerta. Lo stesso vale per gli articoli “esauriti” su qualsiasi sito web ma disponibili – e solo per un periodo limitato – da un’unica fonte. Non cliccate su quel link!
- Se i dipendenti e gli utenti ricevono un’e-mail o un messaggio su una consegna imminente che include un link per il tracciamento dell’ordine, o che segnala smarrimenti o fornisce altri link, è importante non cliccare sul link ma andare direttamente alla pagina web del fornitore e rintracciare l’ordine da lì;
- Diffidate dei messaggi di posta elettronica o di testo provenienti da un servizio di consegna che richiede informazioni sulla carta di credito o altre informazioni personali o finanziarie. Anche in questo caso, è bene collegarsi direttamente alla pagina web del fornitore per rintracciare l’ordine.
Purtroppo, questi promemoria e avvertimenti potrebbero non essere sufficienti. È sufficiente che un dipendente o un utente sbagli a cliccare su un link e la vostra azienda può subire conseguenze negative.
Ecco perché vale sempre la pena predisporre ulteriori livelli di sicurezza, soprattutto per difendere ciò che conta di più: le vostre applicazioni, le API e l’infrastruttura sottostante. Le organizzazioni dovrebbero anche prendere in considerazione misure di difesa contro i bot, in grado di proteggere le applicazioni web e mobili e le API da attacchi automatizzati, che possono rapidamente evolversi fino a emulare in modo avanzato il comportamento umano.
È importante prestare sempre la massima attenzione, sia che si tratti dello shopping online in vista del Natale, del Black Friday, del Cyber Monday… o di qualsiasi altro giorno dell’anno.Inizio modulo