Phishing

Cyber Security: attenzione alla supply chain

Condividi

Attacco di phishing colpisce Unicredit tramite un fornitore

 

Gli attacchi informatici sono in continuo aumento, pochi giorni fa è stata la volta di Unicredit: 400.000 clienti italiani si sono visti violare i dati relativi a prestiti personali. Non sono stati acquisiti dati sensibili che permettano l'accesso ai conti bancari o transazioni non autorizzate, come password o altre credenziali di accesso, ma gli hacker potrebbero essere entrati in possesso di alcuni dati anagrafici e codici Iban. UniCredit ha informato le autorità competenti e avviato un audit sul tema. Intanto il titolo cala in Borsa dello 0,7%. Il Cyber Risk si conferma la vera sfida per la protezione dell’impresa e per garantire la continuità operativa (Business Continuity). E’ importante adottare un nuovo approccio alla gestione del rischio che parta dalla prevenzione e arrivi fino alla sottoscrizione di adeguate polizze assicurative.

Serve un sistema di Cyber Security integrato

Dotarsi di un piano integrato di protezione dal rischio cyber sta diventando sempre più un imperativo per le imprese. Gli attacchi informatici stanno colpendo aziende di tutte le dimensioni. Singoli utenti e piccole realtà non possono ritenersi al riparo da questo genere di pericoli e non è certo la prima volta che un’azienda strutturata viene colpita da attacchi informatici. Negli ultimi mesi sono state colpite la società britannica di pubblicità Wpp, il colosso dei trasporti danese Moller-Maersk, Deutsche Bahn, Renault e molte altre.

Attenzione alla sicurezza dei fornitori

C’è un’insidia in più. Dotarsi di un sistema di protezione dal rischio cyber è fondamentale, ma occorre assicurarsi che anche la propria supply chain ne sia dotata. In effetti, molte imprese chiedono già un piano di protezione informatica come requisito agli eventuali fornitori, data la facilità del contagio.

I criminali informatici si sono accorti che è più facile attaccare grandi strutture indirettamente, colpendo un contatto meno protetto. È il caso di UniCredit, che dichiara che gli accessi non autorizzati erano stati fatti tramite un loro fornitore. Era già successo nel dicembre 2013 all'azienda statunitense Target, vittima di un grave attacco sferrato passando per i sistemi informatici compromessi di alcuni punti vendita. A seguito di quest’episodio, sono stati rubati 40 milioni di dollari di tessere di debito e di credito e l’azienda americana è stata costretta a pagare più di 191 milioni di dollari, cifra ridotta poi a 145 milioni grazie alla copertura di polizze assicurative. Proprio per questo, è importante che ogni azienda si strutturi con un piano di Business Continuity efficiente, che metta al riparo le attività produttive e i servizi offerti anche con specifiche polizze cyber. Fondamentale svolgere preventivamente un’analisi dei punti critici del sistema e delle pratiche aziendali, senza dimenticare quelle dei fornitori e dei clienti.

Minaccia phishing: cos'è?

Il rischio maggiore per i correntisti Unicredit è che gli hacker utilizzino o vendano i loro dati per attuare tentativi di truffa sfruttando la posta elettronica, utilizzando cioè quella tecnica denominata phishing.

“Phishing: Truffa informatica effettuata inviando un'e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico”.

Nonostante sia ormai tra le minacce informatiche più conosciute, il phishing resta un pericolo a livello globale: da una ricerca condotta da Intel e McAfee emerge che solo il 3% dei 19mila intervistati in 144 Paesi è stato capace di identificare correttamente tutti i dieci esempi del test a cui sono stati sottoposti, riuscendo a distinguere le mail legittime da quelle progettate per carpire informazioni. Avendo fallito almeno una prova, ben l’80% del campione preso in esame sarebbe rimasto vittima di un hacker.

Come proteggersi?

Ecco le principali regole che ogni utente può seguire per evitare di incorrere in attacchi di phishing e furto di dati:

  • Controllare la grammatica del messaggio via email. Il dipendente che ha salvato Deutsche Bank da un attacco cyber nel 2016 si era insospettito per un errore all’interno della comunicazione ufficiale, «fandation» al posto di «foundation»;
  • Evitare click su indirizzi fasulli, riconoscibili da strani codici numerici o altri URL incorporati all’interno. Gli indirizzi ufficiali sono di solito chiari e semplici;
  • Non cliccare su alcun link che chiede di modificare i tuoi dati personali di un account, soprattutto se si tratta di portali istituzionali, della tua banca o della tua compagnia telefonica. Nessun ente serio chiede di rivelare dati sensibili via email, telefono, SMS o chat;
  • Modifica le impostazioni della privacy dei social network a cui sei iscritto e nascondi i dati sensibili;
  • Cestina le mail che finiscono nella cartella spam del tuo servizio di posta elettronica: sono per la maggior parte junk mail o tentativi di phishing. Se il tuo client di posta non prevede una funzione di riconoscimento della posta indesiderata, scarica un apposito programma antispam;
  • Installa nel tuo computer un antivirus che includa la protezione dal phishing e assicurati che si aggiorni con frequenza;
  • Non salvare dati d’accesso ai portali nel browser, usa password alfanumeriche, di almeno 6 caratteri e cambiale spesso (una volta al mese);
  • Per eventuali acquisti su Internet, preferisci le carte prepagate alle carte di credito o apri un account PayPal, che in caso di truffa ti permetta di essere risarcito. Accertati anche che il sito di acquisti online sia affidabile e che utilizzi sistemi di crittografia come le connessioni SSL/TLS, rese visibili sulla barra degli indirizzi del browser da un’icona a forma di lucchetto;
  • Attenzione agli indirizzi web abbreviati tramite servizi quali TinyURL o Google urlshortener: potrebbero nascondere rischi di cyber security. Meglio controllare sempre l’indirizzo completo prima di visitarlo, ad esempio con il programma Long URL Please;
  • Controlla spesso i movimenti del tuo conto corrente e delle tue carte di credito o bancomat