Le credenziali dei dipendenti rubate sono uno dei modi più efficaci per gli aggressori di infiltrarsi nell'infrastruttura di un'azienda. Nel 2022, il numero di attacchi di phishing mobile è stato più alto che mai.
Una volta che hanno in mano le credenziali di uno qualsiasi degli account, è molto più facile per loro aggirare le misure di sicurezza e ottenere l'accesso ai dati sensibili. Ma come fanno gli aggressori a ottenere queste credenziali? In molti casi, la risposta è il phishing mobile. Uno studio globale, “The Global State of Mobile Phishing Report” di Lookout, ha rilevato che nel 2022 il numero di attacchi di phishing mobile ha raggiunto il massimo storico: un dispositivo personale su tre e un dispositivo aziendale su tre è stato colpito da almeno un attacco sospeso ogni trimestre. Questa tendenza è proseguita senza sosta nel primo trimestre del 2023.
In che modo BYOD ha cambiato il panorama del phishing
🔎 Frequenza degli attacchi di phishing mobile sui telefoni cellulari in tutto il mondo nel 2022 (Immagine: Lookout).
Gli ambienti di lavoro ibridi e le politiche BYOD (Bring-your-own-device) potrebbero essere due dei motivi dell'aumento. Le aziende hanno dovuto accettare che i dispositivi mobili personali vengano sempre più utilizzati per scopi professionali. Tuttavia, è importante ricordare che qualsiasi dispositivo mobile, personale o aziendale, gestito o non gestito, iOS o Android, è vulnerabile ai tentativi di phishing.
Smartphone e tablet hanno reso più facile per i dipendenti essere produttivi da qualsiasi luogo, ma hanno anche portato nuove sfide per i team IT e di sicurezza. Le politiche BYOD significano che più persone che mai utilizzano i propri dispositivi personali per lavoro. Ciò significa che i rischi che corrono quando utilizzano questi dispositivi per motivi personali comportano anche rischi per l'azienda. I team IT e di sicurezza hanno anche una visibilità significativamente inferiore su questi dispositivi rispetto ai dispositivi di proprietà aziendale, il che significa che è più difficile controllare questi rischi elevati.
Attacchi mirati ai dispositivi privati dei dipendenti
Questi fattori indicano che gli aggressori ora prendono di mira i dispositivi personali degli utenti per penetrare negli ambienti aziendali. Un dipendente può essere vittima di un attacco di ingegneria sociale attraverso canali privati come social media, WhatsApp o e-mail. Una volta che questo è il caso, gli aggressori possono ottenere l'accesso alle reti o ai dati del suo datore di lavoro. Inoltre, non è un evento una tantum, con i dati di Lookout che mostrano che entro il 2022 oltre il 50% dei dispositivi personali è stato esposto a qualche forma di attacco di phishing mobile almeno una volta al trimestre.
Sono in gioco milioni
I dati non sono l'unica cosa che le aziende rischiano quando i dipendenti cadono in una truffa di phishing. Lookout stima che l'impatto finanziario massimo di un attacco di phishing riuscito sia aumentato a quasi 5.000 milioni di dollari per le aziende con XNUMX dipendenti. I settori altamente regolamentati come quello assicurativo, bancario e legale sono considerati i mercati più redditizi e sono particolarmente vulnerabili agli attacchi a causa della grande quantità di dati sensibili in loro possesso.
Questi costi elevati arrivano in un momento in cui gli attacchi di phishing sono ai massimi storici. Rispetto al 2020, il numero di attacchi di phishing è ora superiore del 10% sui dispositivi aziendali e del 20% sui dispositivi personali. Inoltre, le persone fanno clic sui collegamenti di phishing più spesso rispetto al 2020, il che potrebbe significare che gli aggressori stanno migliorando nella creazione di messaggi dall'aspetto autentico. Con più rischi e più denaro in gioco che mai, le organizzazioni devono adattare le proprie strategie di sicurezza per proteggere i propri dati.
Proteggi i dati dalle minacce di phishing mobile
Il panorama del phishing mobile è più insidioso che mai, soprattutto con l'aumento del lavoro da remoto. I team IT e di sicurezza devono adottare strategie che consentano loro di visualizzare, rilevare e mitigare i rischi per i dati posti dagli attacchi di phishing su tutti i dispositivi dei dipendenti. Ciò si applica indipendentemente dal fatto che i dispositivi siano di proprietà dell'azienda o privati. Con la giusta strategia, basata sul principio Zero Trust e SASE (Secure Access Service Edge), è possibile rendere sicuro il mondo del lavoro ibrido.
“Il rilevamento del phishing sul dispositivo e basato sull'intelligenza artificiale tramite una piattaforma di sicurezza basata su cloud consente di fermare gli attacchi nel punto in cui iniziano. Una soluzione di sicurezza come questa impedisce agli utenti di connettersi a siti Web di phishing su dispositivi aziendali e personali", ha dichiarato Sascha Spangenberg, Global MSSP Solutions Architect di Lookout. “Tale soluzione rileva e blocca gli attacchi di phishing tramite qualsiasi app mobile e impedisce ai dipendenti di rivelare credenziali o scaricare software dannoso. La protezione contro le minacce di phishing mobile deve essere una priorità se il lavoro ibrido è una realtà".
Altro su Lookout.com
A proposito di Lookout I co-fondatori di Lookout John Hering, Kevin Mahaffey e James Burgess si sono riuniti nel 2007 con l'obiettivo di proteggere le persone dai rischi per la sicurezza e la privacy posti da un mondo sempre più connesso. Ancor prima che gli smartphone fossero nelle tasche di tutti, si sono resi conto che la mobilità avrebbe avuto un profondo impatto sul modo in cui lavoriamo e viviamo.