Se la tua azienda concentra i suoi sforzi di protezione contro il phishing solo sulle e-mail, è arrivato il momento di rivedere i protocolli di sicurezza e prestare attenzione ai dispositivi mobili.
Gli hacker puntano sempre al punto di accesso più semplice, e la maggior parte degli smartphone non ha le stesse difese di PC e laptop. Inoltre, molte persone tendono ad essere meno attente quando usano il telefono, pensando di non essere a rischio. Se il tuo team utilizza dispositivi mobili per lavoro (e quasi il 75% dei dipendenti lo fa), devi agire subito per fermare il phishing su dispositivi mobili, o “mishing”.
Gli Attacchi di Phishing su Dispositivi Mobili Sfruttano la Percezione di Legittimità
Fermare gli attacchi mobili è una sfida complicata, perché gli hacker sono molto bravi a camuffare i loro tentativi come messaggi autentici. Alcuni messaggi sono ovviamente falsi — ad esempio, provenienti da una banca con cui non hai rapporti — ma un messaggio che sembra arrivare dal tuo capo è molto più difficile da ignorare.
Ogni vittima di phishing riferisce di aver ricevuto un messaggio che sembrava provenire da una fonte fidata come un collega, un fornitore o un cliente. Con gli attacchi mobili, creare questa percezione di legittimità è ancora più facile. Gli schermi più piccoli dei dispositivi mobili rendono più difficile individuare i segnali tipici delle truffe di phishing, come errori nei link URL o sostituzioni di caratteri nei contatti (ad esempio, usare “B” al posto di “8” o “0” al posto di “O”). Inoltre, gli hacker usano il prefisso "https://" per i loro siti dannosi, ingannando ulteriormente le vittime sulla legittimità del sito.
Tuttavia, la vera minaccia è il “phishing-as-a-service”, lo strumento più sofisticato utilizzato dagli hacker per attacchi di malware mobile.
Che Cos’è il Phishing-as-a-Service?
Per ogni attacco di phishing riuscito, migliaia di messaggi infetti non raggiungono mai le vittime o vengono subito eliminati da chi riconosce la minaccia. Soluzioni di protezione avanzate bloccano i messaggi sospetti prima che arrivino nelle caselle di posta, analizzando i loro contenuti.
Tuttavia, una piattaforma di phishing-as-a-service chiamata Darcula permette ai criminali di inviare messaggi di phishing praticamente impossibili da rilevare. Gli hacker inviano link dannosi tramite Rich Communication Services (RCS), invece del tradizionale sistema SMS.
RCS cripta i messaggi end-to-end, rendendo più facile per le truffe passare inosservate. Poiché gli strumenti di rilevamento delle minacce non possono analizzare i messaggi RCS, i destinatari credono che siano legittimi.
Proteggi Subito la Tua Azienda dalle Minacce Mobili
Secondo i ricercatori di sicurezza, almeno il 25% dei dispositivi protetti ha incontrato malware mobile nell’ultimo anno, con trojan e software a rischio che rappresentano la maggior parte delle minacce.
Sebbene alcune vulnerabilità siano legate ai sistemi operativi, il “sideloading” delle app — cioè installare applicazioni da fonti diverse dagli store ufficiali — è responsabile di almeno l’80% delle infezioni da malware.
È il momento di rafforzare la sicurezza della tua azienda contro gli attacchi di phishing su dispositivi mobili. Un approccio completo che includa la verifica delle app, la difesa dalle minacce, politiche di sicurezza di rete più rigide e una formazione continua sul tema può fermare gli hacker.
