Vorrei parlarvi della consapevolezza sulla sicurezza informatica e farvi una domanda!
State aiutando i cyber criminali andando in vacanza?
Beh può essere...
Siamo nel pieno periodo delle feste e speriamo che voi abbiate avuto la fortuna di allontanarvi dall'ufficio staccando un pò dal lavoro.
Quando si va in vacanza spesso si imposta una risposta automatica "OOO" (out of office).
In questa risposta "OOO", la maggior parte di noi vorrebbe aiutare le cose nel loro processo mentre siamo via. Cosi forniamo i contatti, indichiamo quanto tempo siamo fuori ed altre istruzioni utili.
Quello che non realizziamo è che tutti quelli che ci mandano una e-mail riceveranno questa risposta automatica. Ed è proprio questo il punto principale del problema. Un cyber criminale spedirà milioni di e-mail ad altrettanti possibili indirizzi e-mail attivi per indagare attraverso queste più informazioni possibili.
Vi chiederete, "Cosa potrebbe esserci di tanto interessante nella mia risposta OOO?"
La tua firma con il tuo nome e cognome, posizione, BU, numero di telefono = queste sono informazioni utili per costruire un identity kit digitale.
Durata della vostra assenza = Lasso di tempo per l'attacco.
Chi contattare durante la vostra assenza, un Manager, un membro del team o un contatto del dipartimento finanziario = Contesto per l'attacco o possibili vettori di attacco (Funds Diversion o Ransomware).
Le vostre risposta automatica conferma che le vostre email è valida = Conferma un obiettivo
Qualsiasi informazione riguardante la vostra posizione = Maggiori dettagli per utilizzare in un attacco
Tutti questi frammenti di informazione possono essere raccolti e utilizzati durante un attacco di "spear phishing" o altri tipi di attacco.
tutte queste informazioni possono essere assemblate per creare una “storia” plausibile e piena di informazioni verificabili e accertate. Informazioni che la vittima, come un collega, potrebbe pensare che solo la persona in questione possa conoscere. Lasciando i vostri colleghi più disposti a fare un "click" su un link malevole o a rispondere alle richieste degli attacanti.
Cosa dovremmo invece fare?
Avere due tipi di messaggi "OOO" separati per le risposte sia esterne che interne.
Non fornire informazioni sulla durata della vostra assenza, dove andate o cosa fate
Avvisare in anticipo i vostri colleghi o persone esterne, dalla vostra organizzazione, della vostra assenza e fornire a loro le informazioni necessarie per continuare il lavoro.
Non includere informazioni sulla gerarchia aziendale o dettagli sui vostri ruoli o dei membri del vostro team.
Non includere la vostra firma e-mail nella vostra risposta automatica "OOO".
Questo potrebbe sembrare inverosimile, ma credetemi, ciò accade spesso ed è un metodo di grande successo per costruire diversi vettori per diversi tipi di attacco.
L'awareness ai dipendenti dovrebbe fare parte della strategia cyber di ogni organizzazione, dalla piccola azienda fino ai grandi enterprise ed enti governativi, educando i dipendenti e i manager aiuterà a ridurrei il superficie del attacco ed "alzerà" un altro tassello nella protezione aziendale.