YouTube, Facebook, i servizi Google e WhatsApp sono i Web services a cui, secondo Kaspersky, i lavoratori accedono con maggiore frequenza durante il lavoro. Alcune di queste applicazioni sono però tra le più sfruttate dai criminali per le loro campagne di phishing. Nonostante ciò, i servizi presenti in questo elenco sono diversi da quelli per cui i datori di lavoro limitano l’accesso dai dispositivi aziendali.
Le 5 applicazioni su cui sono stati più spesso riscontrati tentativi di phishing
Secondo le statistiche anonime degli incidenti rilevati nei prodotti Kaspersky e fornite volontariamente dagli utenti, i primi cinque servizi web a cui i dipendenti accedono più spesso dai loro dispositivi aziendali comprendono una piattaforma di condivisione video, un social network, un servizio di posta elettronica e uno di messagistica: YouTube, Facebook, Google Drive, Gmail e WhatsApp. Purtroppo, questi stessi servizi web vengono sfruttati anche per il phishing e altre azioni dannose.
Nello specifico, l’analisi di Kaspersky (il periodo considerato per tale analisi è quello che intercorre tra aprile e settembre 2020 e i risultati sono stati ottenuti utilizzando Kaspersky Security Network (KSN), una rete antivirus distribuita con diversi componenti di protezione anti-malware) ha individuato le cinque applicazioni su cui sono stati più spesso riscontrati tentativi di phishing: Facebook (4,5 milioni), WhatsApp (3,7 milioni), Amazon (3,3 milioni), Apple (3,1 milioni) e Netflix (2,7 milioni). I servizi di Google, tra cui YouTube, Gmail e Google Drive, occupano la sesta posizione con 1,5 milioni di tentativi di phishing. Molti dei servizi sono presenti in entrambe le liste, confermando il trend per cui le applicazioni più diffuse sono diventate piattaforme preziose per i truffatori.
Le statistiche emerse da questa analisi hanno anche mostrato quali sono le applicazioni web il cui utilizzo ha la probabilità più alta di essere limitato sui dispositivi aziendali. Si tratta prevalentemente di social network: Facebook, Twitter, Pinterest, Instagram e LinkedIn. Sono diversi i motivi per i quali un’organizzazione può decidere di limitare l’accesso alle applicazioni, ad esempio la conformità alle normative sui dati o ai requisiti specifici dell’organizzazione per l’utilizzo dei social media. La lista include Facebook, che viene ampiamente sfruttato dai truffatori, ma non comprende i servizi di messaggistica, di posta elettronica e quelli per la condivisione di file. Questo probabilmente perché vengono spesso utilizzati per attività professionali oltre che per esigenze personali.
Alcune indicazioni per garantire un uso sicuro dei servizi Web
Gli esperti di Kaspersky ricordano alcune regole fondamentali da tenere presenti per utilizzare in piena sicurezza i servizi Web.
Prima di tutto, insegnare ai dipendenti a riconoscere i siti web contraffatti o sospetti e i messaggi di phishing. Invitarli a non fornire mai le credenziali personali prima di aver verificato l’attendibilità di un sito web e a non aprire e scaricare file da mittenti sconosciuti.
Offrire poi ai dipendenti stessi una formazione in ambito cybersecurity. Il servizio, che può essere erogato online, dovrebbe trattare le pratiche più importanti, tra cui le procedure anti-phishing, come la gestione degli account e delle password, la sicurezza della posta elettronica, la sicurezza degli endpoint e la navigazione web. Kaspersky Automated Security Awareness Platform garantisce un training semplice ed efficace.
È importante adottare una soluzione di sicurezza per endpoint affidabile che protegga da minacce web, di rete e di posta elettronica.
E parallelamente migliorare le competenze dei responsabili IT in materia di minacce informatiche e prevenzione. Kaspersky Endpoint Security Cloud offre ora un corso, Cybersecurity for IT Online, che consente loro di acquisire nuove competenze su come classificare i malware e su come riconoscere i comportamenti dannosi e sospetti dei software. Il servizio è disponibile in versione beta sulla console di gestione del prodotto.
“È impossibile ormai immaginare la nostra vita quotidiana e il nostro lavoro senza la possibilità di usufruire di diversi servizi web, compresi i social media, le applicazioni di messaggistica e le piattaforme di condivisione di file. Ci permettono di comunicare e condividere pensieri, idee, immagini e suggerimenti e lo hanno fatto soprattutto quest’anno quando, costretti in casa dall’emergenza sanitaria, sono stati il nostro unico modo di connetterci al mondo esterno. Nonostante ciò, per le organizzazioni è fondamentale conoscere i possibili vettori di un attacco per la propria azienda e le tecnologie e le misure di sensibilizzazione per prevenirlo. Non solo, le aziende devono anche consentire ai propri dipendenti un accesso sicuro ai servizi di cui hanno bisogno e per fare ciò è fondamentale trovare il giusto equilibrio. Noi di Kaspersky lo riteniamo un punto importante e forniamo alle organizzazioni strumenti di protezione e competenze tecniche”, ha dichiarato Tatyana Sidorina, security expert di Kaspersky.
