Il settore finanziario è al centro delle economie globali e per questo è bersaglio dei cyber criminali che mostrano in misura crescente particolare interesse nel perpetrare i propri attacchi informatici via email contro le aziende di questo settore, tra le più colpite nell’area EMEA.
La conferma arriva anche da Libraesva, società italiana specializzata nello sviluppo di soluzioni di email security, sulla base delle evidenze di un’analisi condotta in seno al settore bancario, nazionale ed europeo, con riferimento alla cyber sicurezza con focus sulle email, da anni canale prioritario di veicolazione di attacchi e infezioni malevoli.
La pandemia mondiale ha ulteriormente aggravato la situazione
L’incremento degli attacchi perpetrati contro le banche è cresciuto del +238% dal mese di febbraio 2020 (contro un incremento medio degli attacchi informatici che si attesta solitamente intorno all’80%) e sono oltre 3.000 i dipendenti bancari ad avere subito un attacco da inizio anno.
In piena pandemia, Internet ha conosciuto un aumento d’uso per effettuare pagamenti e operazioni finanziarie, incentivando un notevole incremento dei cyber-attacchi. Se aziende e privati rimangono l’obiettivo preferito dei criminali informatici, le banche non sono quindi da meno e sono chiamate a reagire con piani di intervento su più fronti.
Un recente studio di Moody’s identifica in tre modi come le banche mitigano il rischio informatico.
Il primo è una forte governance aziendale, che comprende framework di sicurezza informatica, applicazione di policy e reporting.
Il secondo è la prevenzione e la risposta al rischio, e la prontezza di recupero.
Il terzo è la condivisione di informazioni con altre banche e l’adozione di standard e protocolli internazionali come strumento per fare fronte comune contro gli attacchi.
Come sottolineato da Paolo Frizzi, Ceo di Libraesva: «Dal phishing al malware, passando per il Business Email Compromise, non si arresta il flusso delle minacce contro gli istituti di credito di tutto il mondo. In Italia la situazione è in linea con gli altri Paesi Europei e l’auspicio che in qualità di esperti di security possiamo fare è che si concretizzi la definizione di standard comuni utili ad affrontare in modo coeso la minaccia informatica in tutte le sue forme».
5 buone pratiche da implementare a cominciare dai clienti
Se le banche stanno attuando misure e infrastrutture di protezione dedicate, d’altro canto gli stessi clienti possono contribuire a ridurre l’impatto potenziale degli attacchi via email.
Gli esperti degli ESVAlabs, i laboratori di ricerca e sviluppo di Libraesva, grazie alla loro quotidiana attività di verifica e analisi di dati e informazioni trasmesse via email hanno stilato un vademecum di buone pratiche d’uso del canale email che consentono di elevare il livello di protezione dalla crescente e mutevole minaccia informatizzata che si articola in 5 principali punti:
- ATTENDIBILITA’ – Quando si eseguono operazioni bancarie, è opportuno operare direttamente dall’applicazione mobile dell’Istituto Bancario o cercando il sito ufficiale tramite i motori di ricerca web, senza selezionare alcun link fosse invece presente in comunicazioni email o SMS. Le mail legittime delle banche infatti solitamente non contengono link, cosa che invece si evidenzia nelle email di phishing.
- ATTENZIONE – Quando si accede al sito della banca dal browser, assicurarsi che nella barra di ricerca compaia https://www… e che, quindi, la connessione al sito sia sicura. La forma http:// è oggi obsoleta e da considerarsi non attendibile.
- TUTELA DEI DATI – Nel ricevere email che sembrano provenire dalla propria banca, controllare anzitutto se l’indirizzo email del mittente sia scritto correttamente, senza errori o elementi che destano sospetti, quindi non rispondere ad alcuna email fornendo dati personali relativi al proprio conto bancario o carte di pagamento.
- SUPERVISIONE – Utilizzare password lunghe e complesse, evitando di ricorrere a quelle utilizzate già per altri siti.
- CAUTELA – Non eseguire transazioni mentre si è connessi a reti Wi-Fi pubbliche, sia da pc che da mobile.
Per Rodolfo Saccani, R&D Security Manager di Libraesva: «Questo elenco di piccoli seppur fondamentali accorgimenti consente di attivare un primo filtro umano che abbiamo constatato cooperare perfettamente con i filtri tecnici che i fornitori di servizi email mettono a disposizione degli istituti e degli utenti. Le tattiche di ingegneria sociale messe in atto dagli attaccanti puntano proprio a cogliere in fallo i più disattenti o noncuranti per varie ragioni. Eppure il fattore umano è in grado anche oggi con le minacce di nuova generazione di fare la differenza e di boicottare le iniziative malevoli degli aggressori».
