Uno dei pericoli in costante aumento su internet
Ogni utente di posta elettronica le conosce e le ha avute nella propria casella di posta: le e-mail di phishing. Soprattutto le e-mail di phishing di massa dal design familiare, come "Il tuo account è stato limitato a causa di attività sospette", continuano a godere di un'enorme popolarità tra i criminali informatici. Sempre abbinate alla richiesta di seguire un link a una pagina spesso ingannevolmente simile per inserirvi i dati di accesso, portano purtroppo al successo numerosi destinatari e promettono un'attività redditizia. Con queste e-mail, la truffa è fondamentalmente sempre la stessa e relativamente banale, ma promette comunque un grande successo a fronte di un piccolo sforzo.
Spear phishing
A differenza del phishing di massa a migliaia di indirizzi e-mail, i criminali dello spear phishing si impegnano di più e selezionano con precisione i loro obiettivi in anticipo. Ai dipendenti dell'azienda vengono inviate e-mail che sembrano provenire dall'IT dell'azienda stessa, da partner commerciali o da clienti. Sempre più spesso si basano su situazioni esistenti. Un esempio impressionante che ha causato danni su scala gigantesca è Emotet: si è diffuso tramite allegati di posta elettronica ed è stato in grado di leggere l'intero traffico di comunicazione delle sue vittime e di imitarlo in modo ingannevole. Queste e-mail di phishing sono molto più complesse nella loro struttura ed è molto più difficile riconoscerle come tali.
Tuttavia, la maggior parte delle e-mail di phishing che arrivano ripetutamente nella casella di posta elettronica può essere disinnescata con qualche semplice sguardo. A tal fine, però, i dipendenti hanno bisogno del poco know-how di cui dispongono. Devono interiorizzare e sapere dove si annidano i pericoli e cosa cercare nelle e-mail in arrivo.
Il crimine informatico è molto più del phishing
Purtroppo, la sicurezza informatica non si esaurisce con il tema della sicurezza delle e-mail da parte del personale. Un approccio preparato alle procedure di autenticazione, ad esempio l'uso di password forti, l'utilizzo di un secondo (e possibilmente terzo) fattore e la capacità di esaminare i collegamenti ipertestuali per verificarne l'effettiva destinazione, sono solo alcune delle competenze che devono essere acquisite passo dopo passo e aggiornate di continuo. Perché i pericoli non si nascondono più solo nella casella di posta elettronica. Il crescente collegamento in rete di tutti i settori della vita richiede che i dipendenti acquisiscano una conoscenza completa di tutti i pericoli di Internet. Tra l'altro, non sono solo i datori di lavoro a trarne vantaggio, ma anche i dipendenti stessi nell'uso di smartphone, computer e simili.
Sensibilizzazione e formazione
Le misure di sensibilizzazione e formazione sono diventate essenziali per le aziende e le autorità, soprattutto perché i criminali informatici non attaccano solo la tecnologia ma anche il semplice utente.
Tuttavia, spesso è più difficile, soprattutto per le grandi organizzazioni, fornire a tutti i dipendenti il know-how necessario e urgente. Di solito questo non è possibile con la formazione e i piccoli corsi, anche perché i corsi devono essere ripetuti e si aggiungono continuamente nuovi dipendenti. Per questo motivo, le piattaforme di apprendimento e formazione sono da tempo uno standard. Nei portali di e-learning, i dipendenti possono trovare tutto ciò di cui hanno bisogno in un unico posto e possono costruire, approfondire e aggiornare le loro conoscenze in qualsiasi momento. Allo stesso tempo, i datori di lavoro ricevono la prova che le misure di formazione sono state eseguite, cosa che spesso è richiesta anche dalla legge.