Il lavoro da remoto, rappresenta un vantaggio tanto per i dipendenti, quanto per le realtà produttive. Non mancano, tuttavia, innegabili rischi per la sicurezza.

Per tale ragione, è indispensabile comprendere e applicare nuovi e indispensabili paradigmi di protezione al fine di tutelare tanto il lavoratore quanto la  l’integrità della rete produttiva.

In questo articolo esamineremo in particolare le buone pratiche di protezione da phishing e vishing per i lavoratori da remoto.

protezione phishing e vishing
  1. Protezione phisign e vishing: panoramica sui rischi del lavoro da remoto
  2. Phishing e vishing: di cosa si tratta
  3. Protezione phishing e vishing: come identificare la minaccia
  4. Protezione phishing e vishing per i lavoratori da remoto: come metterla in pratica
  5. Conclusioni

Protezione phishing e vishing: panoramica sui rischi lavoro da remoto

Ormai si sa: hacker e criminali informatici si adattano costantemente ai cambiamenti tecnologici sociali.

Così, mentre il mondo adotta stabilmente il lavoro remoto, gli attacchi vengono indirizzati con maggior frequenza su  dipendenti e lavoratori in Smart Working.

Dispositivi al di fuori del perimetro di sicurezza e privi di adeguati sistemi di protezione – come antivirus, VPN o firewall – rappresentano elementi assai vulnerabili ai pericoli della rete.

Non bisogna, tuttavia, credere che la minaccia sia rappresentata esclusivamente da virus o malware più sofisticati.

Più di frequente, l’agguato si nasconde dietro l’ingegneria sociale, in particolare, nei messaggi di phishing  e  vishing.

La logica di fondo è quantomai banale: se il lavoratore non è in sede, risulta molto più facile per il cybercriminale spacciarsi per un capo o un collega e sottrarre indebitamente dati e informazioni sensibili.

Ma come implementare adeguatamente un sistema di protezione di phishing e vishing per i lavoratori da remoto?

Per comprenderlo, andiamo ad analizzare brevemente significato e meccanismi di phshing e vishing.

Una volta compresa l’entità della minaccia, saremo in grado di individuarne i campanelli d’allarme ed evidenziare buone pratiche di comportamento.

Phishing e vishing: di cosa si tratta

Gli attacchi di phishing iniziano solitamente con un’e-mail che sembra provenire da una fonte affidabile.

Gli obiettivi finali dell’attaccante possono essere quantomai diversificati.
Nella maggioranza dei casi la vittima può essere indotta a:

  • diffondere informazioni personali o riservate
  • effettuare trasferimenti in denaro
  • fare click su link o allegati infetti

Il vishing, a sua volta, rappresenta  tutti gli effetti una delle tante sottocategoria di phishing.

Simile tanto nelle tattiche di raggiro, quanto negli obiettivi, differisce dal phishing solo per il canale di comunicazione sfruttato.

Nel caso del phishing, infatti,  si ha a che fare con e-mail e messaggi testuali, mentre con il vishing la truffa viaggia attraverso telefonate e messaggi vocali.

Indipendentemente dal mezzo, i criminali fanno leva essenzialmente su

  • persuasione
  • senso di urgenza
  • fiducia che l’utente nutre nei confronti del presunto mittente.

Si tratta di stratagemmi psicologici assai sottili, ma capaci di far abbassare la guardia, spingendo ad agire d’impulso, anziché prendersi del tempo per verificare la reale attendibilità del messaggio.

Tra i più utilizzati vi è senza dubbio l’impersonificare dipendenti dei reparti HR, finanza o amministrazione e contattare direttamente il lavoratore da remoto

Tuttavia, le pratiche emergenti invertono l’equazione.

Sempre più spesso, infatti, l’aggressore, fingendosi un dipendente in smart working, e contatta l’assistenza tecnica dell’azienda per risolvere presunti malfunzionamenti al device o alla connessione.

In tal modo, può facilmente chiedere di essere messo in contatto con specifici impiegati, dei quali dimostra di conoscere perfettamente nomi e generalità.

A questo punto, il gioco è pressoché concluso: nella maggior parte dei casi, infatti, riesce ad ottenere senza ulteriori sforzi informazioni e recapiti dei malcapitati.

Analizziamo quali possono essere dei concreti campanelli d’allarme relativi a phishing e vishing.

Protezione phishing e vishing: come identificare la minaccia

Avendo ben chiara l’entità della minaccia, analizziamo in dettaglio a quali indizi prestare particolare attenzione in caso di sospetto phishing o vishing.

Nello specifico, potenziali  indicatori di truffa possono includere:

  • eventuali incoerenze tra indirizzo e -mail, nome di dominio e collegamenti: cerca indirizzi e-mail che differiscono in modo impercettibile per singoli caratteri, link che non includono il nome di dominio o nomi di dominio errato
  • errori di grammatica o ortografia: le fonti professionali utilizzano il controllo ortografico per assicurarsi che le loro comunicazioni siano corrette. Se vedi un uso improprio della grammatica e più errori di ortografia, è un chiaro segnale che l’attendibilità del mittente va messa in discussione
  • presenza di allegati sospetti: solitamente gli allegati co estensione associata al malware  sono di tipo .zip, .exe, .scr,
  • tone of voice (orale o scritto) insolito: un collega si rivolge a te in modo troppo familiare? O troppo formalmente? La persona che lascia il messaggio vocale sembra avere una voce automatizzata? Queste sono bandiere rosse per truffe di phishing, vishing o smishing
  • richieste di condivisione dei codici di verifica 2fa: bisogna tenere a mente di non condividere mai i codici di autenticazione a due fattori (2FA), utilizzando il messaggio di testo (SMS), né tantomeno per telefono
  • richieste di credenziali, informazioni di pagamento e altri dettagli personali: i truffatori possono creare landing page false esfiltrando credenziali ed estremi di conti bancari e carte di credito sfruttando la semplice compilazione da parte dell’utente
  • minacce e un senso di urgenza: se il messaggio prevede minacce di ritorsione o richiede un’azione immediata dovrebbe essere trattato con sospetto
  • offerte o premi inaspettati: i truffatori spesso ti chiederanno di fare clic su un link o fornire dettagli personali illudendo le vittime con falsi premi, sconti o promozioni
  • vaghezza dei messaggi: i truffatori useranno un linguaggio vago per cercare di convincerti che sono legittimi. Ad esempio, un messaggio fraudolento partito da un collega o un capo potrebbe fare riferimento ad un fantomatico incontro precedente, in cui si è discusso di questioni riservate

Protezione phishing e vishing per i lavoratori da remoto: come metterla in pratica

Senza dubbio, la prima e più potente arma per arginare phishing e vishing è la formazione, perché la tecnologia da sola non è sufficiente.

Bisogna sapere come amministrarla in modo sicuro, a maggior ragione se ci si trova a operare in contesti privi di  misure di sicurezza perimetrali.

Ecco, quindi, alcune raccomandazioni sulle più adeguate misure di protezione contro phishing e vishing per i lavoratori da remoto:

  • diffondere consapevolezza circa l’insidiosità della minaccia
  • spronare alla segnalazione di e-mail o chiamate sospette ai competenti reparti di sicurezza IT
  • promuovere una cultura di difesa proattiva che responsabilizzi in prima persona il dipendente

Elementi concreti di educazione anti-phishing possono includere:

  • riconoscimento di allegati  e link sospetti
  • tutela della riservatezza delle credenziali
  • verifica di eventuali irregolarità nell’indirizzo del mittente o nella grammatica e nel contenuto del messaggio.

Si potrebbe anche pensare di investire in appositi programmi di simulazione di mail di phishing, così da constatare la percentuale di errore prima e dopo gli interventi di formazione e sensibilizzazione.

Analogamente per arginare il vishing, un elenco di best practice potrebbe consistere nel richiedere al chiamante:

  • nome e generalità, per ricercare eventuali corrispondenze nella directory dell’azienda
  • un numero di ricontatto, per verificare la località di provenienza della chiamata

Senza dimenticare di cercare un riscontro diretto con i colleghi per verificarne l’identità.

In ogni caso, è bene tenere a mente che un’organizzazione affidabile o un’agenzia governativa non chiederebbero mai  informazioni personali via e-mail o per telefono.

Prestare, inoltre, molta attenzione agli URL di rimando dei link. Se c’è anche solo un piccolo sospetto, evitare accuratamente di cliccarci su: potrebbero reindirizzare a pagine infette o avviare il download di malware.
Per constatarne l’attendibilità, sarà sufficiente posizionarcisi col mouse – evitando accuratamente di cliccare – e constatare se il dominio del link corrisponde effettivamente ad una pagina ufficiale.

Evitare di rispondere alle telefonate con mittente sconosciuto o con prefisso di Paesi esteri ed extra-europei.

Segnalare il tutto all’organizzazione che viene falsificata e alla Polizia Postale, non dimenticando di fornire prove tangibili alla deuncia. A tal riguardo, sarà utile effettuare uno screenshot del testo incriminato.

Conclusioni

Attuare un piano di formazione sulla sicurezza informatica può certamente insegnare buone abitudini di comportamento, ma dovrebbe essere integrato da appositi programmi di simulazione degli attacchi.

Così facendo, si potrà ottenere una fotografia puntuale circa l’effettivo livello di consapevolezza e auto-efficacia di ogni singolo dipendente.