Categorie
Tips

Da Starbucks con il tuo Hacker

Cyberangels Blog

Da Starbucks con il tuo hacker

Scritto da Andrea Toponi

Sei seduto da Starbucks e ti stai godendo la tua colazione, quando all’improvviso si siede davanti a te una sconosciuta. Non saluta, non si presenta, ma ti dice soltanto “Ciao, sono io quella che per mesi ha lanciato attacchi alla tua azienda e forse ti ha fatto dannare”.

OMG! E’ la persona che ha rubato soldi alla tua compagnia, che è in possesso dei dati personali dei tuoi clienti e che probabilmente manderà in rovina il tuo business.

E tu te ne stai lì, immobile e sbalordito, a fissare questa tizia in felpa che ha mandato all’aria la tua vita.

Solo una domanda ti passa per la mente, ed è quella che faremmo tutti: “Perché io?” “Perché la mia azienda?”.

Ma forse la risposta non è quella che ti aspetti: “Perché violare la tua azienda era più facile, anche più facile che violarne una con le minime misure di sicurezza.”

Dopodiché inizia a spiegarti perché è stato più facile, elencando una serie di acronimi, tipo 2FA e FTF, che non avevi mai sentito. Allora capisci che se potessi tornare indietro tutto questo non sarebbe successo.

Ti racconto questa storia perché anche io, come te, sono stato seduto in un bar a parlare con ex-hacker che mi ha spiegato quanto può essere facile violare i sistemi aziendali.  

Per questo ho raccontato questa storia. Per evitare anche tu finisca in una trappola simile, solo perché non sei stato attento.

Ora, scendiamo un po’ nella parte più tecnica. Parliamo di quello che hai appena sentito e di cosa significano questi acronimi.

2FA – Two Factor Authentication (Autenticazione a 2 fattori)

Autenticazione a 2 fattori, multifattore, OTP (one time password) o TOTP (algoritmo Time-based one-time password), chiamala come vuoi ma si tratta sempre della stessa cosa: un valido alleato per la tua sicurezza. Ma di cosa stiamo parlando esattamente?

Si tratta di un modo per proteggere il tuo account email o altri sistemi critici dall’accesso remoto di un hacker. Si basa sull’utilizzo di un metodo di autenticazione aggiuntivo diverso dalla password. Username e password sono una tecnica di autenticazione standard ma, sfortunatamente, facile da sottrarre. 2FA e MFA aggiungono un secondo fattore, come un codice generato casualmente da un’app sullo smartphone, per poter accedere ad un account.

Come funziona?

Quando applichi la 2FA alla tua e-mail o al tuo account, ti verrà chiesto di fornire un codice da un metodo di autenticazione aggiuntivo (chiamato anche “fattore”). Questo fattore può essere il token di un software sul tuo smartphone o semplicemente un codice a 6 cifre inviato al tuo telefono. É un metodo molto semplice e gratuito con molti provider di email e di servizi cloud. 

Perché impedisce agli hacker di accedere al tuo account?

Il 2FA ha due funzioni molto importanti:

  • Custode: il codice di autenticazione (token) impedisce agli aggressori di accedere al tuo sistema. Se l’hacker ha ottenuto la tua password, non possiede però il tuo telefono o la tua linea, e quindi non avrà accesso al token o al codice necessario per accedere.
  • Allarme: il codice di autenticazione ti avvertirà se qualcuno è entrato in possesso della tua password. Se per caso non hai richiesto il pin, ma ne ricevi lo stesso uno sul tuo telefono, saprai che gli hacker hanno la tua password, e perciò dovrai cambiarla. 

Frode del trasferimento di fondi (FTF)

Cosa significa l’altro acronimo di cui aveva parlato la ragazza? FTF o frode del trasferimento di fondi.

Avviene quando gli hacker riescono ad accedere alla tua email e poi aspettano. Guardano. Ma cosa staranno aspettando? Attendono una transazione in sospeso. Quando trovano un’ e-mail con una richiesta di pagamento, lanciano il loro attacco, e tu non saprai nulla, finché non sarà troppo tardi.

 

Come funziona?

Facciamo un esempio. Il tuo hacker di prima ti ha mandato un’email di phishing mesi fa o ha usato una vecchia password per entrare nel tuo account ed è rimasto appostato nel tuo sistema email per un mese, semplicemente osservando. L’hacker vede finalmente una legittima richiesta di pagamento.

Si inserisce così nella conversazione fingendo di essere il tuo interlocutore e ti dice, attraverso un’email falsificata, che i dati bancari sono cambiati e devi accreditare il pagamento ad un nuovo account bancario.

Tu accetti e compili il bonifico trasferendo il denaro sul conto del truffatore. Una settimana dopo, ricevi una telefonata dal vero fornitore che richiede il pagamento. A quel punto ti accorgi della frode, ma ormai i soldi sono andati. E la cosa peggiore è che spesso gli attacchi non sono nemmeno così sofisticati. Ma sofisticati o meno, il risultato è lo stesso – la tua azienda perde soldi.

Qual è la soluzione? 

La soluzione più semplice è anche gratis. Si tratta di implementare un processo di “doppio controllo” che implica chiamare l’ultimo numero che conosciamo della persona che ha richiesto il pagamento per verificare la legittimità della richiesta o di eventuali modifiche di dati per il pagamento. 

NOTA: usa un numero che conosci, non quello presente nell’email. Una soluzione poco  tecnologica per un problema altamente tecnologico. 

É ora di proteggere il tuo business

Prima di dover affrontare questa conversazione nella vita reale, ascolta il mio avvertimento. Attiva l’autenticazione a 2 fattori e richiedi conferma per ogni nuova richiesta di pagamento e per eventuali aggiornamenti. Hai tempo per prevenire la prossima intrusione, frode o attacco ransomware. 

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

Nell’ultima anno, tutto il mondo si è sposato sul digitale (e conosciamo bene il motivo). Ma per le aziende c’è stata una nuova criticità: l’aumento di attacchi informatici ai danni delle imprese.

Ransomware business model!

Cyberangels Blog Ransomware business model! Scritto da Sata HoustbergFoto di Jared Brashier on UnsplashI ransomware rappresentano una delle più grandi minacce a livello globale …

Cyberangels Blog Il business dei domini rubati Scritto da Sata Houstberg Foto di Jared Brashier on Unsplash Parlando con gli appassionati di calcio …

Cyberangels Blog Rubano dal carrello i dati della carta di credito… con una foto! Scritto da Sata Houstberg Foto di Jan Antonin …

Cyberangels Blog 5 miliardi di motivi per cui i tuoi dati valgono (anche in incognito) Scritto da Sata Houstberg Photo by Braydon …

Cyberangels Blog I miei dati aziendali su un sito di file sharing Scritto da Andrea Toponi Lo scorso 2 Marzo è rimbalzata …

Proteggiti con CyberAngels. Registrati subito Gratis

|

Categorie
Tips

Le sanzioni del garante

Cyberangels Blog

Le sanzioni del Garante

Scritto da Sata Houstberg

300 mila euro, questa la cifra che INPS dovrà pagare per non avere rispettato il GDPR, le accuse sono: mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il bonus Covid, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy.

Nell’ultimo anno sono aumentate le multe i e il loro valore, mettendo l’Italia al primo posto, con la più alta somma di sanzioni, pari a quasi 70 milioni. 

Ma quello che più fa pensare è il tipo di violazione: le sanzioni più elevate non derivano da data breach e cyber attacchi, bensì da trattamento errato dei dati personali, proprio come è successo ad INPS. 

Tu hai mai pensato a come gestisci i dati dei tuoi clienti? Sai cos’è il GDPR e cosa contiene?

GDPR significa General Data Protection Regulation, si tratta del regolamento europeo sulla protezione dei dati entrato in vigore nel 2008. Il panorama di Internet è cambiato in modo significativo negli ultimi anni, influenzando il modo in cui comunichiamo tra di noi e la nostra vita quotidiana. I nostri dati sono possono finire nelle mani di chiunque sempre più facilmente, perciò le aziende e gli individui hanno bisogno di linee guida migliori su come affrontare gestire i dati sensibili e gli attacchi informatici che minacciano la loro sicurezza. Il GDPR cerca di rispondere a questa esigenza. 

Può però risultare difficile la comprensione di questo regolamento, soprattutto per il fatto che fa riferimento a qualsiasi tipo di azienda, dal piccolo negozio sotto casa alla grande multinazionale: tutti si devono adeguare. Ed è per questo che si rischia facilmente di incorrere in sanzioni che potrebbero danneggiare seriamente un business. 

Comprendere come proteggere i dati dei propri clienti è fondamentale e Cyberangels è qui per questo.

Ti aiuteremo a creare delle policy personalizzate in linea con il tuo business, che potrai scaricare e distribuire al personale.

Monitoreremo il panorama normativo per aggiornarti su ogni novità.

Inoltre avrai sempre a disposizione un Angel, pronto a supportarti e a rispondere alle tue domande.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

La rapida diffusione dei processi digitali nelle aziende, dovuta al periodo che tutti noi conosciamo, ha portato anche un grande problema: l’aumento degli attacchi informatici ai danni di micro-imprese e PMI. Nessuno è al sicuro.

Nell’ultima anno, tutto il mondo si è sposato sul digitale (e conosciamo bene il motivo). Ma per le aziende c’è stata una nuova criticità: l’aumento di attacchi informatici ai danni delle imprese.

Ransomware business model!

Cyberangels Blog Ransomware business model! Scritto da Sata Houstberg Foto di Jared Brashier on Unsplash I ransomware rappresentano una delle più grandi minacce a …

Cyberangels Blog Il business dei domini rubati Scritto da Sata Houstberg Foto di Jared Brashier on Unsplash Parlando con gli appassionati di calcio …

Cyberangels Blog Rubano dal carrello i dati della carta di credito… con una foto! Scritto da Sata Houstberg Foto di Jan Antonin …

Cyberangels Blog 5 miliardi di motivi per cui i tuoi dati valgono (anche in incognito) Scritto da Sata Houstberg Photo by Braydon …

Cyberangels Blog I miei dati aziendali su un sito di file sharing Scritto da Andrea Toponi Lo scorso 2 Marzo è rimbalzata …

Proteggiti con CyberAngels. Registrati subito Gratis

|