Il passaggio alla modalità di lavoro da remoto ha intensificato il numero, la precisione e l’impatto degli attacchi di phishing.
Lo conferma Ivanti, la piattaforma di automazione che aiuta a rendere ogni connessione IT più intelligente e sicura, che ha presentato i risultati di un nuovo sondaggio condotto coinvolgendo 1.000 professionisti dell’IT aziendale negli Stati Uniti, nel Regno Unito, in Francia, Germania, Australia, Nuova Zelanda e Giappone.
Stando a quanto emerso dall’indagine, quasi tre quarti (74%) delle organizzazioni è stata vittima di un attacco di phishing e il 40% ha dichiarato di averne subito uno nell’ultimo mese.
L’80% degli intervistati ha assistito a un aumento dei tentativi di phishing mentre l’85% ha dichiarato come gli attacchi di phishing stiano diventando sempre più sofisticati. Conseguentemente, il 73% ha affermato come il team IT interno sia stato oggetto di tentativi di phishing confermando come il 47% degli attacchi sia andato a buon fine.
Attualmente, le truffe di smishing e vishing rappresentano la tipologia di attacchi più comuni tra gli utenti mobili. Secondo una recente ricerca di Aberdeen, i cybercriminali registrano un tasso di successo più alto sugli endpoint mobili rispetto a quelli sui server. Nel contempo, il rischio annuale di subire un attacco di phishing su dispositivi mobili, con conseguente violazione dei dati, ha un valore medio di circa 1,7 milioni di dollari e un’estensione di volume che può arrivare a circa 90 milioni di dollari.
Gli hacker stanno sfruttando le lacune di sicurezza fornite dall’Everywhere Workplace, dove i lavoratori a distanza possono accedere con facilità ai dati aziendali attraverso i dispositivi mobili. Il 37% degli intervistati afferma come la mancanza di tecnologie adeguate e la scarsa formazione dei dipendenti siano le cause principali del successo di questi attacchi, dove il 34% evidenzia la mancanza di consapevolezza sul tema da parte dei dipendenti. Nonostante il 96% dei professionisti IT abbia dichiarato che la propria azienda offre adeguati corsi di formazione sulla cybersecurity per prevenire attacchi di phishing e ransomware, il 30% degli intervistati ha affermato che solo l’80-90% dei dipendenti li ha portati a termine.
Attacchi di phishing: pesa anche la mancanza di skills
Nel corso dell’indagine è anche emerso come la carenza di team IT qualificati abbia aggravato gli effetti del phishing. Più della metà (52%) degli intervistati ha dichiarato che, nell’ultimo anno, la propria azienda ha dovuto affrontare la mancanza del personale e il 64% è convinto che questa carenza accresca il tempo di risoluzione degli incidenti. Infatti, con un numero inferiore di addetti IT (rilevato dal 46% degli intervistati) si riduce le possibilità di rimediare rapidamente ai problemi di sicurezza, considerando che il periodo di inattività causato da un cyberattacco, genera costi e danneggia la produttività dell’azienda.
Come sottolineato in una nota ufficiale da Derek E. Brink, Vice President & Research presso Aberdeen Strategy & Research: «Ridurre il rischio di subire un attacco di phishing è una corsa contro il tempo, sotto molteplici punti di vista. I team IT non devono limitarsi ad anticipare i cybercriminali ma devono controllare anche i comportamenti dei propri dipendenti, che sono velocissimi a cliccare su link dannosi. Nonostante molte organizzazioni abbiano investito in iniziative di formazione sulla security awareness, è fondamentale implementare l’automazione avanzata, l’intelligenza artificiale e le tecnologie di machine learning volte a identificare, verificare e neutralizzare le minacce di phishing in modo più rapido e sistematico».
Per Chris Goettl, Senior Director of Product Management di Ivanti: «Indipendentemente dall’esperienza o dalla competenza in tema di sicurezza informatica, oggi chiunque può subire un attacco di phishing. Il sondaggio rileva infatti come quasi la metà dei professionisti IT sia stata facilmente ingannata da cybercriminali esperti. Per combattere efficacemente gli attacchi di phishing, le organizzazioni devono implementare una strategia di sicurezza ‘zero trust’ attraverso la gestione unificata degli endpoint, il rilevamento delle minacce on-device e capacità anti-phishing. In aggiunta le aziende dovrebbero anche considerare la possibilità di abbandonare l’utilizzo delle password, favorendo l’utilizzo di sistemi di autenticazioni biometrici, eliminando la vulnerabilità più sfruttata dagli attacchi di phishing».