Proofpoint, una delle principali società di cybersecurity al mondo, ha diffuso il suo decimo report annuale State of the Phish. Dallo studio emerge che il 72% dei lavoratori italiani ha consapevolmente messo in pericolo la sicurezza delle proprie aziende.
Nonostante il calo degli attacchi di phishing riusciti (il 65% delle organizzazioni italiane ne ha subito almeno uno nel 2023, contro il 79% dell’anno precedente), le ripercussioni negative sono cresciute in modo esponenziale. Si evidenzia infatti che sono state raddoppiate le segnalazioni di sanzioni finanziarie dirette, come le multe, e si sono quadruplicate le segnalazioni di danni alla reputazione.
Il report sfida inoltre la credenza comune che le persone si comportino in modo pericoloso per ignoranza in materia di cybersecurity, e che la formazione sulla sicurezza basti a eliminare completamente i comportamenti a rischio. Questa illusione si riflette anche nella convinzione dei professionisti della sicurezza che la maggior parte dei dipendenti sia consapevole di essere responsabile della protezione aziendale. Una dinamica che dimostra un gap tra i limiti della tecnologia di sicurezza individuale e la formazione degli utenti.
I principali risultati del report State of the Phish 2024 di Proofpoint per l’Italia
Il 74% dei lavoratori adulti intervistati ha confessato di aver compiuto azioni rischiose, come riutilizzare o condividere una password, cliccare su link provenienti da mittenti sconosciuti o fornire le proprie credenziali a una fonte non affidabile. Il 97% di loro era a conoscenza dei rischi implicati. Ciò significa che significa che il 72% dei dipendenti italiani ha deliberatamente minato la sicurezza della propria azienda. Le ragioni dietro le azioni rischiose sono diverse: comodità (34%), voglia di risparmiare tempo (41%) e senso di urgenza (24%).
Naviga con NordVPN – Scopri la super offerta NordVPN – 63% di sconto
Mentre il 74% dei professionisti della sicurezza intervistati sostiene che la maggior parte dei dipendenti sa di essere responsabile della protezione, il 63% dei dipendenti non ne è sicuro o nega di esserlo. Nonostante quasi tutti i dipendenti che hanno intrapreso un’azione rischiosa fossero consapevoli dei rischi implicati (97%) – una chiara prova che la formazione sta funzionando per aumentare la consapevolezza dei dipendenti – ci sono evidenti differenze tra ciò che professionisti della sicurezza e dipendenti ritengono sia efficace per stimolare un vero cambiamento di comportamento.
I professionisti della sicurezza pensano che la soluzione sia una maggiore formazione (82%) e controlli più rigidi (78%). Tuttavia quasi tutti i dipendenti intervistati (93%) hanno affermato che darebbero priorità alla sicurezza se i controlli fossero semplificati e più facili da usare.
Autentificazione Multifattore e attacchi BEC
Ogni mese vengono lanciati più di un milione di attacchi con il framework MFA-bypass EvilProxy. Tuttavia, in modo preoccupante, l’89% dei professionisti della sicurezza italiani crede ancora che l’MFA fornisca una protezione totale contro l’account takeover.
Non meno allarmanti i dati relativi agli attacchi BEC (Business Email Compromission). Il report ci dice che in Italia il 51% delle aziende è stato vittima di attacchi BEC nel 2023 (la stessa percentuale del 2022). A livello globale, le imprese hanno riportato meno tentativi di frode via email. Nonostante ciò il numero degli attacchi è aumentato in paesi come Giappone (+35% rispetto all’anno precedente), Corea del Sud (+31%) ed Emirati Arabi Uniti (+29%).
Questi Paesi potrebbero essere stati meno colpiti dagli attacchi BEC in passato a causa di barriere culturali o linguistiche. Tuttavia l’intelligenza artificiale generativa permette agli attaccanti di creare email più persuasive e personalizzate in più lingue. Proofpoint registra una media di 66 milioni di attacchi BEC mirati ogni mese.
State of the Phish 2024: il ransomware resta una minaccia lucrativa e crescono gli attacchi TOAD
Lo State of the Phish 2024 rivela che il 71% delle aziende italiane ha subito un’infezione da ransomware nell’ultimo anno. Si tratta di un dato allarmante: un incremento del 61% rispetto a quello precedente. Inoltre il 66% dei professionisti IT italiani ha affermato che la propria azienda ha subito più infezioni da ransomware separate. Di quelle infettate, il 23% ha deciso di pagare gli attaccanti (in diminuzione rispetto al 27% del precedente anno). Solo il 25% ha recuperato l’accesso ai propri dati dopo un solo pagamento (in diminuzione rispetto al 38% di un anno fa).
Crescono anche gli attacchi TOAD ( telephone-oriented attack delivery). Sebbene possano sembrare messaggi innocui, contenenti solo un numero di telefono e alcune informazioni sbagliate, questa catena di attacchi si scatena quando un dipendente ignaro chiama un call center truffaldino, fornendo le proprie credenziali o concedendo accesso remoto ad attori malintenzionati. Proofpoint rileva in media 10 milioni di attacchi TOAD al mese. Il picco recente si è avuto ad agosto 2023, in cui sono stati registrati 13 milioni di episodi.
“I criminali informatici sanno che gli esseri umani possono essere facilmente sfruttati, sia per negligenza, sia con la compromissione della loro identità o, in alcuni casi, per intenzioni malevole,” ha dichiarato Ryan Kalember, Chief Strategy Officer di Proofpoint. “Gli individui giocano un ruolo centrale nella sicurezza di un’azienda, visto che il 74% delle violazioni è ancora incentrato sull’elemento umano. Sebbene la promozione della cultura della sicurezza sia importante, la formazione da sola non è efficace. Sapere cosa fare ed metterlo in pratica effettivamente sono due cose diverse. La sfida non è solo creare consapevolezza, ma anche attivare un cambiamento del comportamento.”
- IL NOSTRO ECHO DOT CON IL MIGLIORE AUDIO DI SEMPRE - Goditi un’esperienza audio migliorata rispetto ai precedenti Echo Dot con Alexa: voci più nitide, bassi più profondi e un suono più ricco in ogni stanza.
- LA TUA MUSICA E I TUOI CONTENUTI PREFERITI - Ascolta musica, audiolibri e podcast da Amazon Music, Apple Music, Spotify, Deezer e altri servizi musicali o tramite Bluetooth in tutta la casa.
- ALEXA È SEMPRE PRONTA AD AIUTARTI - Chiedi ad Alexa le previsioni del tempo e imposta dei timer con la voce, ricevi risposte alle tue domande e ascolta le barzellette più divertenti. Hai bisogno di qualche minuto in più al mattino? Puoi semplicemente toccare il tuo Echo Dot per posporre la sveglia.
- LA TUA CASA GESTITA IN TUTTA COMODITÀ - Controlla i dispositivi per Casa Intelligente compatibili con la tua voce e con le routine, attivate dai sensori di temperatura integrati. Grazie alla creazione di nuove routine, il ventilatore intelligente si può attivare quando la temperatura va sopra il livello desiderato.
- ASSOCIA I TUOI DISPOSITIVI PER SFRUTTARE AL MASSIMO LE FUNZIONALITÀ DI ECHO - Riempi la casa di musica posizionando i tuoi dispositivi Echo compatibili in diverse stanze. Crea un sistema home theater con Fire TV.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
