Un Nuovo Rapporto Rivela le Lacune della Cybersecurity nelle Risorse Umane

Aumentano le Minacce di Phishing per i Professionisti delle Risorse Umane

Recenti email di phishing sono state progettate per bypassare il sistema di autenticazione a più fattori (MFA), rendendo le aziende in Italia vulnerabili.

Gli esperti di cyber sicurezza del NEBRC hanno pubblicato nuovi dati di un sondaggio durante il Mese della Cyber Security di ottobre. Hanno scoperto che oltre un terzo (77%) dei professionisti delle risorse umane ha sperimentato qualche tipo di phishing nel proprio ambiente di lavoro. Questo è superiore alla media dei dipendenti (54%).

Solo il 18% dei dipendenti dichiara di non essere mai stato vittima di email di phishing. Il 5% non era sicuro se qualcosa fosse accaduto. Ciò significa che…

La Mancanza di Protezione e Formazione Aggiornata

Lo studio di 1.000 adulti britannici che lavorano ha rilevato una mancanza di protezione sul posto di lavoro e una formazione obsoleta. Oltre la metà degli adulti lavoratori britannici (53%) non ha mai ricevuto formazione, non ricorda di aver ricevuto formazione o ha ricevuto una formazione obsoleta su MFA e phishing.

Cosa Sono gli Attacchi di Phishing che Bypasano l’MFA?

Gli hacker inviano email ingannevoli fingendo di rappresentare organizzazioni o contatti legittimi. Queste email sono progettate per ingannare il destinatario affinché compia una delle tre azioni:

  • Cliccare su un link dannoso
  • Aprire un allegato pericoloso
  • Effettuare pagamenti fraudolenti o divulgare informazioni sensibili come password

Martin Wilson, ispettore della polizia e responsabile del servizio studenti presso il NEBRC (North East Business Resilience Centre), spiega:

Gli hacker utilizzano account email legittimi compromessi per inviare email di phishing. Preferiscono usare account email reali per inviare email dannose invece di account falsi facilmente individuabili (come “ebbay.com” anziché “ebay.com”).

Come gli Hacker Bypassano l’MFA

Martin aggiunge:

“Tipicamente, un messaggio di phishing invita il destinatario a cliccare su un collegamento o un allegato che porta a una pagina di login falsa (come una schermata di accesso a Microsoft 365 falsa). La pagina richiede le credenziali dell’utente e, se le fornisce, l’hacker cattura il nome utente e la password.

Hai un ulteriore livello di sicurezza se l’account compromesso è abilitato all’MFA. Alcuni tipi di MFA possono essere bypassati, come i codici SMS e le app di autenticazione.

Ecco come:

Gli hacker possono intercettare l’OTP (One Time Password) quando lo inserisci (inviato via SMS o generato tramite un’app di autenticazione). L’hacker poi utilizza il codice per accedere al tuo account.

Una volta all’interno, gli hacker spesso:

  • Inviando email di phishing diffondono rapidamente l’attacco.
  • Impostando regole per nascondere i messaggi nella tua inbox rendono più difficile notare un compromesso.
  • Continuando a usare l’account finché qualcuno contatta il proprietario dell’account, di solito il destinatario di un’email che appare sospetta.

Perché l’MFA via SMS o App di Autenticazione Può Essere Vulnerabile

I metodi di MFA che si basano esclusivamente su SMS o app di autenticazione sono a rischio per diversi motivi:

  • Gli hacker possono ingannarti per scambiare la tua SIM card per SMS. Questo permette loro di accedere al tuo account e ricevere il tuo codice OTP.
  • Gli hacker sono in grado di creare pagine di login false che sembrano reali. Possono creare pagine di login false che appaiono legittime utilizzando il tuo nome utente, password e codice MFA.
  • Gli hacker possono intercettare il tuo codice MFA se sei infetto da malware.

Due Metodi di MFA Più Sicuri: Codici su Schermo e Chiavi MFA Fisiche

Considera l’utilizzo di MFA più sicuri, come:

  • Codici su Schermo: Alcune soluzioni MFA mostrano un codice che puoi verificare utilizzando un’app o un dispositivo fisico, invece di digitare. È più difficile per gli hacker bypassare l’MFA durante gli attacchi di phishing.
  • Chiavi MFA Fisiche: I dispositivi di sicurezza USB sono molto difficili da compromettere. Gli hacker dovrebbero possedere la chiave fisica per accedere al login. Gli attacchi di phishing sono quindi resi inefficaci.

Perché Questi Metodi Sono Più Sicuri

  • Nessuna Digitazione Necessaria: Poiché non è necessario digitare manualmente un codice per accedere al tuo account, gli hacker non possono intercettarlo.
  • Challenge-Response: Con un dispositivo fisico, l’autenticazione avviene in modo sicuro tra il dispositivo e il sistema senza esporre informazioni sensibili.
  • Ridotta Facilità di Inganno: Gli hacker troveranno più difficile ingannarti se utilizzano chiavi fisiche o verifiche basate su app, come le notifiche push.

Utilizzo dell’MFA nel Posto di Lavoro

Più di un quarto (22%) dei lavoratori non utilizza la protezione MFA nel posto di lavoro. I lavoratori sono più propensi a utilizzare i seguenti tipi di protezione MFA:

  • 21% degli utenti (più di un quinto) utilizza un codice OTP basato sul tempo in un’app
  • 20% (un quinto) utilizza un codice OTP basato sul tempo via SMS
  • 20% (un quinto) utilizza un codice OTP basato sul tempo via email
  • 17% degli intervistati utilizza l’autenticazione biometrica (più di uno su sei)
  • 12% (uno su otto) non era sicuro
  • 9% degli utenti (meno di 1 su 10) utilizza chiavi fisiche per MFA, come un fob o una chiave

Evitare gli Attacchi di Fatica MFA

Anche se l’MFA tramite app è generalmente sicura, fai attenzione alla “fatica MFA”. Gli hacker inviano molte richieste di login sperando che la vittima si frustri e accetti una richiesta per smettere di ricevere notifiche. Non approvare mai richieste di login che non hai iniziato.

Come Proteggere la Tua Azienda dagli Attacchi di Bypass MFA

  • Educare il Tuo Team: Assicurati che i dipendenti siano consapevoli dei pericoli associati all’aprire link o allegati sospetti.
  • Implementare MFA Più Forte: Utilizza metodi MFA basati su chiavi fisiche o verifiche basate su app invece di SMS o codici.
  • Indagare su Qualsiasi Attività Insolita: Se noti tentativi di login inaspettati o richieste MFA immediate.
  • Rivedere Regolarmente le Regole Email: Controlla le impostazioni email per individuare regole sospette che potrebbero nascondere messaggi importanti.
  • Utilizzare Filtri Antispam: Assicurati che la tua azienda sia dotata degli ultimi filtri antispam per rilevare il phishing.
  • Regole di Geolocalizzazione: Consenti solo le richieste MFA che provengono dall’Italia.

Formazione Obsoleta

Sorprendentemente, quasi un terzo (32%) dei lavoratori non ha mai ricevuto formazione su phishing o MFA. Un ulteriore 6% (quasi uno su 16) non ha ricevuto formazione nell’ultimo anno e il 15% non ricorda quando o se l’ha mai ricevuta. Questo potrebbe indicare che la formazione ricevuta non è stata coinvolgente o memorabile.

È ancora più sorprendente che il 50% dei proprietari di aziende affermi di non aver ricevuto alcuna formazione su MFA o phishing nell’ultimo anno. Questo è sorprendente, dato il danno finanziario e reputazionale che tali violazioni possono causare.

Il NEBRC offre formazione per aiutare i proprietari di aziende a comunicare e comprendere questi rischi con i propri dipendenti. Dispone anche di una rete che include partner che possono implementare filtri antispam e assisterti nella scelta del miglior MFA per la tua azienda. Il National Cyber Security Centre offre ulteriori risorse e linee guida sull’MFA.

Commento di Celeste Bolognese

Celeste Bolognese, CEO di Best Tech Partner, afferma: “Le lacune nella cybersecurity nelle risorse umane rappresentano una minaccia significativa per le aziende italiane. È fondamentale che le organizzazioni investano in formazione aggiornata e implementino metodi MFA più sicuri per proteggere i dati sensibili e garantire la sicurezza dei dipendenti. Solo attraverso un approccio proattivo possiamo mitigare i rischi di phishing e garantire un ambiente di lavoro sicuro e resiliente.”

Per Approfondire

Per scoprire come I Lavoratori Anziani e l’AI: Un’Opportunità Mancata, leggi l’articolo I Lavoratori Anziani e l’AI: Un’Opportunità Mancata.

Conclusione

Un nuovo rapporto evidenzia le lacune nella cybersecurity nelle risorse umane, mostrando un alto tasso di phishing e una formazione obsoleta. Attraverso una gestione efficace delle risorse umane reclutamento personale head hunter acquisizione personale selezione del personale cybersecurity HR phishing MFA le aziende italiane possono rafforzare la loro difesa contro gli attacchi di phishing e proteggere i dati sensibili. Investendo in formazione aggiornata e implementando metodi MFA più sicuri, le organizzazioni possono creare un ambiente di lavoro sicuro e resiliente, migliorando la protezione dei dipendenti e la sicurezza complessiva dell’azienda.

Don’t Stop Here

More To Explore

Inizia chat
1
💬 Contatta un nostro operatore
Scan the code
Ciao! 👋
Come possiamo aiutarti?