Finanza e gestione rischio cambio
News Index
Di Elliott Locke

Sicurezza informatica per CFO: come proteggerti dalle truffe online

Pubblicato luglio 21, 2016

È estate, ma non tutti vanno in vacanza purtroppo. A rimanere attivi sono i truffatori informatici. Con i consigli di Kantox riuscirai a prevenire gli attacchi di phishing e a proteggere la tua azienda anche durante i mesi di luglio e agosto.

phishing_image_blogSecurelist, un sito di riferimento in materia di sicurezza informatica e cybertruffe, aveva previsto, per il primo trimestre del 2016, un aumento significativo di email spam, il cui bersaglio sarebbero stati non solo i singoli individui, ma anche le aziende.

Un’altra fonte autorevole, l’Ufficio Britannico per la lotta alle Frodi e ai Crimini Informatici, ha pubblicato un rapporto che spiega nel dettaglio come diverse aziende, nel solo Regno Unito, abbiano perso oltre un miliardo di sterline (corrispondente a 1,18 miliardi di Euro) in seguito a truffe online, nel periodo che va dal mese di marzo del 2015 a marzo del 2016. La stragrande maggioranza di queste cybertruffe poteva essere evitata.

Esistono truffe informatiche di varia natura, ma ultimamente sembra che il phishing vada per la maggiore. In questo articolo ti spieghiamo come dirigenti e CFO possono migliorare la sicurezza informatica della loro azienda e prevenire phishing e frodi informatiche nei mesi estivi, periodo in cui le aziende sono particolarmente vulnerabili: è infatti il momento dell’anno in cui la maggior parte del personale si trova in vacanza.

Che cos’è il phishing?

Il phishing è una truffa perpetrata attraverso Internet, il cui scopo è ottenere dati personali delle vittime coinvolte. Il termine “phishing”, che è una variante dell’inglese “fishing”, ovvero “pescare”, è un po’ una metafora di quanto avviene in queste truffe. Infatti, proprio come il pescatore che getta la rete per catturare grandi quantità di pesci, chi truffa attraverso il phishing invia dei messaggi email ingannevoli in grandi quantità (si parla di spam), nella speranza che qualcuno… abbocchi all’amo.

Di seguito un tipico esempio di phishing.

Il dipartimento che si occupa di pagamenti o della contabilità di un’azienda riceve una email, che simula nella grafica e nel contenuto quelle di una banca o un ente finanziario già noto al destinatario. Nel testo della mail si richiede al destinatario di aggiornare urgentemente delle informazioni relative al proprio conto online (ad esempio dati personali o credenziali) al fine di sbloccare un pagamento in uscita. Nella mail si trova, a tal proposito, un link che, sempre secondo il testo della mail, porterebbe a un sito web sicuro, dove andrebbe fatto questo ipotetico aggiornamento dati.

Il destinatario della mail, che potrebbe essere ad esempio una persona arrivata in sostituzione di un dipendente in ferie, finisce per cliccare sul link, modificando così, almeno teoricamente, quanto richiesto. In realtà, come avrai già capito, in questo modo l’ignaro dipendente ha reindirizzato i pagamenti in uscita dell’azienda in questione: i fondi, invece di venire depositati sul conto dell’azienda o ente noto al destinatario, verranno accreditati su quello di chi ha ideato la truffa.

Proteggi te stesso e la tua azienda.

Chi crea queste truffe di phishing può colpire in diversi modi e se le inventa tutte per farlo, ma la gran parte di queste frodi può essere evitata semplicemente usando il buon senso.

Ecco i nostri consigli per evitare le truffe di phishing:

Se un’email sembra sospetta, rileggila attentamente e osservala.  I cybertruffatori ne sanno una più del diavolo quanto si tratta di scrivere questi messaggi.  Ma c’è un “ma”: tendono a trascurare alcuni dettagli e ad essere piuttosto grossolani. In queste mail infatti si trovano spesso errori di battitura o il layout è approssimativo/“artigianale”.

Informa i tuoi dipendenti di queste truffe e di come è necessario comportarsi:  se sei uno dei responsabili dell’azienda, sai bene quanto una truffa possa nuocere ai vostri profitti. Fai in modo che i dipendenti siano quindi prudenti e vengano costantemente aggiornati su nuove truffe e rischi. Potresti anche fare loro una formazione extra su questo tipo di truffe: ci sono molti programmi di training per cui non è necessario spendere molto – vale la pena farlo, piuttosto di rischiare di perdere molto di più incorrendo in una cyberfrode.

Non cliccare mai su un link che ti chiede di aggiornare dati o credenziali o di fare qualcosa di particolare. Se ricevi una mail simile a quella del nostro esempio dalla tua banca o da un’azienda con cui collabori, vai direttamente sul loro sito senza usare il link fornito nel messaggio.  Ecco altri consigli che ti serviranno per verificare la validità di un link e ti aiuteranno a sfuggire queste truffe:

Non modificare mai, per nessun motivo, informazioni, credenziali o dati relativi al tuo conto bancario senza avvisare la tua banca.  Se tu o uno dei tuoi dipendenti ricevete una mail che chiede di aggiornare i dettagli relativi ai pagamenti, contatta immediatamente l’ente o la persona da cui sembra provenire questa mail. Se si tratta, come spesso avviene, di una persona o un’azienda con cui lavori già, usa i dettagli di contatto da te già utilizzati in precedenza e verifica se la mail ricevuta è stata effettivamente inviata da loro.

Come regola generale, noi di Kantox non chiediamo e non chiederemo mai ai nostri clienti di modificare le informazioni relative al proprio conto o ai propri dati personali via email. Molte altre aziende hanno questa stessa politica.

Chiedi al tuo dipartimento informatico di verificare il livello di sicurezza informatica della tua azienda, in modo da garantire un’adeguata protezione da frodi e attacchi. Suggeriamo di adottare queste misure:

  • aggiornare i filtri antispam
  • mantenere il software antivirus sempre aggiornato
  • applicare le ultime patch di sicurezza dei software in uso
  • consentire solo a personale specializzato ed autorizzato l’installazione di programmi sui computer aziendali
  • limitare l’accesso ai conti bancari e alle loro credenziali solo a chi ne deve effettivamente far uso.

Evitare truffe vishing attraverso l’organizzazione di appositi referenti.  Il vishing (o voice phishing) è una truffa che avviene per telefono. I truffatori sono soliti chiamare le potenziali vittime sostenendo di lavorare per una banca a loro nota, chiedendo così informazioni sul conto bancario o relative all’accesso ad esso per effettuare pagamenti o sbloccare dei fondi. In questi casi, è bene nominare anticipatamente un referente di fiducia, da contattare ogni qualvolta si ricevano delle telefonate sospette.

Più sicurezza in estate (ma anche in primavera, autunno ed inverno)

La protezione di un’azienda dal phishing e la sua sicurezza informatica dipendono da tutti i suoi dipendenti, nessuno escluso.  Si dice che “una catena sia forte tanto quanto il suo anello più debole”. Se pensiamo ai sistemi di sicurezza delle aziende, possiamo affermare lo stesso: basta che solo uno di voi incappi in qualche truffa per vanificare il lavoro e gli sforzi di tutti.  È solamente attraverso una strategia efficace di difesa dalle truffe (che si compone di una formazione rigorosa dei dipendenti, di una politica informatica severa e di attenzione generale verso queste problematiche) che è possibile potenziare la sicurezza informatica di un’azienda, in qualsiasi periodo dell’anno.

Conosci un CFO che potrebbe incorrere in truffe di questo tipo? Condividi questo articolo con chi ritieni opportuno e diffondi questi consigli.

Avatar

Lascia un commento

*