Categoria: B2B

Nel 2023, si è osservato un aumento delle credenziali di account compromessi, “rubati” insieme ad altri dati di grande valore per gli hacker. Si stima che i dati circolanti nel dark web o accessibili tramite piattaforme di messaggistica superino i 7,5 miliardi a livello globale, con un incremento del +44,8% rispetto al 2022.

Le segnalazioni di dati individuati sul dark web sono state 1.801.921, con un aumento del +15,9% rispetto all’anno precedente. In particolare, in Italia, il numero di utenti allertati per furto di dati monitorati sul dark web è aumentato del +13,9% rispetto all’anno precedente.

Le vulnerabilità delle aziende

L’Osservatorio Cyber di CRIF ha evidenziato queste e altre tendenze, analizzando la vulnerabilità degli utenti e delle aziende agli attacchi cyber e interpretando i principali trend riguardanti i dati scambiati sia nell’open web sia nel dark web. Beatrice Rubini, Executive Director di CRIF, sottolinea che i cybercriminali utilizzano malware e applicazioni sempre più sofisticati per rubare dati personali, mentre l’uso dell’Intelligenza Artificiale aumenta il rischio di truffe via email con linguaggio plausibile e sviluppo di app malevole.

L’indirizzo email è un dato prezioso

Nel corso del 2023 le frodi cyber si sono concentrate sul furto di indirizzi email, nel 94,4% dei casi combinato con l’accesso anche alla password. Questo fenomeno, in crescita esponenziale, rende le vittime suscettibili a messaggi di phishing più accurati e credibili, portando ad un aumento del +29% nella gravità degli alert inviati.

Le categorie di dati più colpite rimangono password, indirizzi email, username, nome e cognome, numero di telefono. La combinazione di questi dati aumenta la vulnerabilità delle vittime e il loro rischio di essere bersagliati da frodi sempre più targettizate. Le frodi coinvolgono anche l’uso di applicazioni di messaggistica open source come Telegram per lo scambio di dati rubati e la compravendita di strumenti per hacker.

Gli attacchi alle aziende

Le aziende sono sempre più bersaglio dei cyber criminali, con attacchi che coinvolgono una vasta gamma di settori, compresi finanziario, assicurativo, automobilistico, selezione del personale, moda e lusso, oltre ad associazioni e enti governativi.

In Italia crescono i reati informatici

In Italia sono in aumento i reati informatici. Per questa ragione occorre mantenere alta l’attenzione sull’attività fraudolenta degli hacker, e soprattutto allertare gli utenti sui possibili rischi legati al furto di dati. L”aspetto più importante è che le aziende e i inoli utenti siano costantemente informati sui più validi sistemi di protezione.

L’obiettivo dei cyber criminali è sempre quello di rubare le credenziali di accesso o sottrarre informazioni aziendali e finanziarie, mentre per la vittima, in questo caso, il brand, il rischio è di subire non solo gravi perdite in termini di dati e denaro, ma un danno alla reputazione del marchio.
Di fatto, i criminali informatici sfruttano la buona reputazione dei brand per condurre attività malevole. In pratica, copiano fedelmente il sito web di un brand o un servizio online, e utilizzano contenuti accurati per ‘ingannare’ le vittime e spingerle ad accedere al sito inserendo le proprie credenziali. In particolare, secondo l’ultimo report Spam e Phishing di Kaspersky, nel 2022 il maggior numero di clic su link di phishing bloccati riguarda le pagine che si spacciano per servizi di consegna (27,38%), seguite dagli store online (15,56%), i sistemi di pagamento (10,39%) e le banche (10,39%).

“Formare” dipendenti e clienti alla cybersicurezza

Per proteggere il proprio brand da possibili rischi informatici, è opportuno seguire alcune semplici regole. La prima è insegnare a riconoscere e-mail o siti di phishing ai dipendenti e ai clienti.
Una scarsa attenzione alla sicurezza informatica da parte del personale può infatti portare all’interruzione di importanti attività aziendali e alla perdita di dati. I cybercriminali possono impossessarsi dei profili social dell’azienda ed effettuare attività malevole per suo conto. E i clienti corrono lo stesso rischio, quindi, dovrebbero conoscere le possibili minacce. Per farlo, le aziende possono organizzare corsi di formazione dedicati alla cybersecurity per i dipendenti e creare storie o campagne e-mail che spieghino ai clienti come identificare le attività di phishing.

Avvisare l’azienda in caso di tentativo di phishing

Se si lavora nel settore finanziario o in un altro ambito particolarmente sensibile, che spesso attira l’interesse dei criminali informatici, è importante avvertire i propri clienti e fare in modo prendano consapevolezza del crescente rischio di poter essere ingannati. Occorre quindi invitarli a prestare maggiore attenzione alle e-mail e ai messaggi che ricevono. Inoltre, è opportuno chiedere ai propri clienti di segnalare eventuali attività sospette svolte a nome del marchio, attraverso screenshot o altre prove tangibili, così da potere scoprire in tempo le azioni sospette.

Occhio alle impostazioni della privacy sui social

Di solito le aziende postano informazioni non solo sulle proprie risorse, ma anche su piattaforme esterne. Per questo è importante controllare attentamente le impostazioni relative alla privacy, creare password complesse, e dove possibile, impostare l’autenticazione a due fattori. Utilizzare strumenti di threat intelligence, come Kaspersky Digital Footprint Intelligence, permette di rilevare in modo tempestivo eventuali attacchi di impersonificazione di un brand. Queste soluzioni offrono notifiche in tempo reale sul phishing mirato e i profili social falsi, nonché aiutano a tracciare la comparsa di siti web di phishing, che sfruttano il brand name di un’azienda, nonché a monitorare e rimuovere i falsi account di social network, e le app nei marketplace mobili.