Riuscireste a immaginare la vostra vita senza e-mail?
Le usiamo per tutto: per comunicare con clienti e committenti, per prenotare un albergo o per inviare un reclamo a un negozio perché il prodotto acquistato è danneggiato. Ma vi siete mai soffermati a pensare a quanto siano sicure le vostre e-mail?
E guardate quante persone da diversi gruppi di età affidarsi alle e-mail per comunicare:
- 94% della Gen Z
- 98% dei Millennials
- 98% di Gen X
- 95% di Boomers
- e anche 90% della Silent Generation!
Si aggiunga che l’email marketing è stato scelto come il canale più efficace Il rapporto State of Marketing Report 2022 di Hubspot ha evidenziato il motivo per cui l’email marketing sta prosperando, nonostante molti abbiano predetto la morte dell’email per anni.
Perché la sicurezza delle e-mail è importante?
Purtroppo, le e-mail sono anche uno dei metodi più preziosi per i criminali per attaccare un’azienda o rubare i dati personali degli utenti. Rapporto CISCO sulle tendenze delle minacce alla sicurezza informatica per il 2021 ha rilevato che circa il 90% delle violazioni di dati avviene a causa del phishing via e-mail.
E le notizie preoccupanti non finiscono qui:
- 3,4 miliardi di e-mail di phishing vengono inviate ogni giorno
- Nel 2022, si è registrato un aumento di 569% delle e-mail di phishing dannose e un aumento di 478% delle segnalazioni di minacce legate al phishing di credenziali pubblicate.
- Gli attacchi BEC (Business email compromise) sono aumentati di 81% nel 2022
- Senza un’adeguata formazione sulla sicurezza, un dipendente su tre cade nelle truffe di phishing
-
Solo 15% di IT administrators enforce the use of two-factor authentication.
I criminali informatici approfittano anche del fatto che al giorno d’oggi le persone ricevono così tante e-mail che difficilmente hanno il tempo di leggere attentamente ogni messaggio che ricevono e di controllare se ci sono messaggi di spam. Questo vale soprattutto per i dipendenti, che in media ricevono 100-120 e-mail al giorno. Chi ha il tempo di controllare ogni e-mail per verificare i requisiti di sicurezza, che si tratti di e-mail di lavoro o personali?
Con un po’ di ingegneria sociale, i criminali possono convincerli a cliccare su un link di phishing o a scaricare un allegato dannoso. Questo va ad aggiungersi al fatto che gli hacker prendono di mira i telefoni aziendali utilizzati dai dipendenti, come ad esempio Sistemi VOIP .
Fortunatamente, ci sono alcune cose semplici che potete fare per proteggere le vostre caselle di posta elettronica e, in questo modo, anche i vostri dati personali o aziendali. Vediamo quindi 8 best practice per la sicurezza delle e-mail che possono rendere il “lavoro” dei criminali informatici molto più difficile.
Creare password forti
L’uso di password forti è uno dei modi migliori per difendere i vostri account di posta elettronica e le informazioni private al loro interno dagli hacker. Ecco alcuni modi per mantenere alti gli standard di sicurezza in termini di password:
- Non utilizzare informazioni personali evidenti o parole comuni
- Essere un mix di lettere, numeri e simboli.
- Avere almeno 10 caratteri (gli esperti consigliano 14-16)
Tuttavia, considerando il numero di account online (sia privati che di lavoro) che tutti noi utilizziamo, creare e ricordare una ventina di password complesse può essere piuttosto complicato.
Ecco dove strumenti di gestione delle password possono essere incredibilmente utili. Questi strumenti sono in grado di generare password uniche ed estremamente difficili da forzare per ogni applicazione e di memorizzarle all’interno del loro database: gli utenti devono quindi ricordare una sola “master password” per sbloccare il database.
Un’altra opzione molto diffusa è quella delle passphrase, password composte da una stringa di parole piuttosto che da caratteri casuali. Essendo in genere più lunghe delle password normali, sono più difficili da forzare. Inoltre, con le passphrase è più facile creare password memorabili ma sicure per gli account.
Per vedere quanto sono sicure le proprie password, si può usare il metodo Il sito Security.org Lo strumento Quanto è sicura la mia password. Ecco come appare per uno dei nostri account:
Non riutilizzate le password tra i vari account
Il riutilizzo delle password è un altro problema di sicurezza molto diffuso. Ad esempio, lo studio di First Contact ha rilevato che 51% delle persone utilizzano la stessa password per il lavoro e per gli account personali.
Quel che è peggio è che il 70% degli utenti che hanno avuto il loro password violate usavano ancora quelle!
Il motivo per cui questa è una pessima idea è semplice. I criminali informatici sanno bene quante persone riutilizzano le loro password, quindi controllano sempre quanti account possono sbloccare con una sola password. Ad esempio, se si utilizza una password per 5 account personali, se la password trapela, tutti e 5 gli account saranno compromessi.
Utilizzare la stessa password per gli account aziendali e privati è particolarmente pericoloso, perché in questo modo gli hacker possono accedere rapidamente alla casella di posta elettronica del lavoro e ai dati in essa contenuti. La sicurezza delle e-mail aziendali è molto diversa da quella delle e-mail utilizzate per scopi personali e i contenuti dannosi per le e-mail legate al lavoro sono molto più gravi di una truffa nigeriana per le e-mail personali.
Utilizzare l’autenticazione a più fattori
E già che si parla di sicurezza degli account, anche l’aggiunta di una misura di verifica supplementare può aumentare visibilmente la sicurezza del vostro account. Con 2FA e MFA, anche se gli hacker rubano il login e la password, non saranno in grado di accedere alla casella di posta elettronica fino a quando non confermeranno la loro identità attraverso ulteriori controlli di sicurezza, e questo potrebbe essere sufficiente per farli desistere.
Dopo aver implementato il 2FA e richiesto ai propri utenti di utilizzarlo a ogni accesso, Google ha dichiarato di aver registrato una diminuzione delle violazioni di account da parte di 50%.
Come si può aggiungere al proprio account, ad esempio quello di Gmail? In realtà è molto semplice. Per proteggere il vostro account personale con la 2FA, dovete farlo:
- Aprite il vostro account Google.
- Nel pannello di navigazione, selezionare Sicurezza.
- In “Accesso a Google”, selezionate Verifica in due passaggi e poi Inizia.
- Seguire i passaggi sullo schermo.
Nel frattempo, per i conti aziendali, è possibile trovare l’opzione 2FA nella console di amministrazione, sotto Menu → Sicurezza→ Autenticazione→ Verifica in 2 fasi. Da qui si può anche stabilire se l’MFA deve essere obbligatorio per tutti gli utenti o solo per gruppi specifici e quali metodi possono scegliere per la verifica.
I sistemi di posta elettronica come Gmail segnalano le attività sospette e chiedono all’utente di eseguire l’autenticazione a due fattori prima di consentirgli di visualizzare i contenuti delle e-mail. Se siete la persona che sta cercando di accedere, potete farlo in pochi secondi. In questo modo è possibile prevenire molte minacce via e-mail.
Formare i dipendenti sulle migliori pratiche di sicurezza delle e-mail
Tuttavia, anche le password più complicate e i numerosi controlli di sicurezza aggiuntivi non saranno di grande aiuto se i dipendenti non sanno o non capiscono perché è così importante proteggere i loro account. Rapporto Verizon sulle violazioni dei dati (DBIR) per il 2023 ha rilevato che la disattenzione degli utenti è stata la causa di 98% delle violazioni di dati, e i criminali informatici sanno esattamente come sfruttarla a loro vantaggio.
Formazione regolare sulla cybersicurezza come parte del loro gestione continua delle prestazioni è un modo eccellente per insegnare ai dipendenti le conseguenze di una violazione dei dati e cosa possono fare per prevenirla. Potete usarle per parlare con loro della politica aziendale di sicurezza delle e-mail, delle minacce alla sicurezza delle e-mail che potrebbero incontrare e delle best practice raccomandate per proteggere i loro account.
Ad esempio, potreste insegnare loro il valore della crittografia delle e-mail, a non aprire e-mail sospette o a non accedere alle e-mail attraverso una rete wi-fi pubblica. Inoltre, non aprire le e-mail non richieste, cercare di utilizzare un software antivirus e, in generale, fare attenzione ai mittenti sconosciuti.
La formazione sulla cybersecurity è anche un’ottima pratica per istruire i dipendenti su come reagire quando si accorgono di una violazione e su chi devono avvisare della violazione. Di conseguenza, la violazione può essere contenuta più rapidamente, riducendo così i danni causati.
Diffidate degli allegati alle e-mail e dei link sospetti.
94% di malware viene consegnato via e-mail – attraverso allegati dall’aspetto autentico o link a siti web apparentemente affidabili. Sebbene gli algoritmi di Gmail e i software antimalware siano in grado di individuare e bloccare la maggior parte degli allegati o dei siti web sospetti, alcuni degli attacchi più sofisticati potrebbero comunque sfuggire ai radar.
Per questo motivo, gli utenti e i dipendenti abituali devono essere cauti quando ricevono e-mail con allegati o che invitano a fare clic su un link incluso. Ecco alcuni segnali rivelatori che indicano che l’allegato o il link potrebbero provenire da hacker:
- L’estensione del file non corrisponde al tipo di file (ad esempio, termina con una doppia estensione, come doc.exe, oppure ha solo un’estensione eseguibile. Si dovrebbe essere particolarmente sospettosi se si ricevono allegati che terminano con estensioni exe, jar o rar/zip).
- L’indirizzo del mittente è leggermente diverso da quello che si trova sul suo sito web o nella sua lista di e-mail: questo è un segno inequivocabile di e-mail di spam.
- L’e-mail che sembra provenire da una fonte affidabile (come la vostra banca) presenta errori di ortografia, grammatica, formattazione o interpunzione.
- Il messaggio invita ad aprire l’allegato o a cliccare sul link il prima possibile, perché in caso contrario si potrebbero subire delle conseguenze (il famigerato “La tua carta di credito sarà presto bloccata” è l’esempio migliore).
Per stare sul sicuro, è meglio chiamare sempre il mittente per chiedere informazioni sulle e-mail se si hanno dei dubbi e scansionare tutti gli allegati che si ricevono per verificare la presenza di virus o malware. In alternativa, è possibile copiare il nome del mittente, il link o parte del messaggio e inserirlo nel motore di ricerca: altri utenti potrebbero già contrassegnarlo come pericoloso.
Aggiornate regolarmente il vostro programma antivirus o antimalware.
Le moderne soluzioni antimalware sono in grado di proteggere i vostri dispositivi da numerose minacce: virus, trojan, malware, ransomware e siti web sospetti. A patto che siano regolarmente aggiornate. I criminali informatici inventano nuovi metodi per attaccare i dispositivi e rubare i dati praticamente ogni giorno – e ogni giorno, Vengono rilevati 560.000 nuovi malware.
Se i programmi antivirus utilizzati non vengono aggiornati regolarmente, potrebbero ignorare la nuova minaccia, mettendo a rischio l’account e-mail e l’intero dispositivo.
La maggior parte delle piattaforme di cybersicurezza più diffuse come Crowdstrike o alternative Se volete assicurarvi che la vostra piattaforma sia sempre aggiornata, vale la pena di selezionare questa opzione.
Utilizzare i protocolli di autenticazione delle e-mail
L’implementazione di protocolli di autenticazione per i vostri domini di lavoro può anche rendere i vostri account molto più sicuri e identificare gli intenti malevoli attraverso varie forme di identificazione.
I protocolli di autenticazione delle e-mail sono stati progettati per prevenire gli attacchi di phishing, spoofing e BEC verificando se l’e-mail proviene da un mittente legittimo. In parole povere, questi protocolli verificano se le e-mail delle campagne di marketing più recenti sono inviate da voi o se qualcuno si sta spacciando per il vostro marchio.
Attualmente abbiamo tre protocolli di autenticazione:
- SPF (Sender Policy Framework) – Esamina l’indirizzo IP del mittente per garantire che ogni e-mail provenga da un indirizzo IP affidabile.
- DKIM (Domain Keys Identified Mail) – utilizza la crittografia a chiave pubblica/privata per firmare i messaggi e-mail e dimostrare che non sono stati alterati.
- DMARC (Domain-based Message Authentication Reporting and Conformance) – garantisce che l’e-mail sia conforme a SPF e DKIM prima di essere consegnata.
Utilizzando questi protocolli, potete rassicurare i vostri clienti e abbonati sul fatto che i vostri domini non saranno vittime di spoofing e che le e-mail che ricevono provengono sicuramente da voi. Abbiamo menzionato alcuni altri vantaggi di questi protocolli nel nostro altro articolo su metodi di autenticazione , per cui è consigliabile leggere anche quello.
Quando si inviano campagne di mailing, assicurarsi che le liste siano pulite
Il nostro ultimo suggerimento: regolarmente pulire le liste di e-mail.
Ok, avete sentito dire che lo scrubbing delle liste e-mail può aumentare i tassi di deliverability, migliorare la reputazione del vostro dominio e garantirvi un ROI migliore, ma cosa ha a che fare con la sicurezza? Molto, in realtà! Esaminando gli indirizzi della vostra lista e-mail, potete individuare gli indirizzi e-mail inattivi e obsoleti, ma anche quelli sospetti che potrebbero appartenere a spammer o a ISP, che mirano a trovare e punire gli spammer.
Se vi scoprono a inviare le vostre e-mail a questi domini, è molto probabile che la reputazione del vostro dominio ne risenta e, nel peggiore dei casi, potreste addirittura finire nella lista nera.
Come si possono individuare tutte le email tossiche nella propria lista senza passare giorni (o più) a verificarle manualmente? Verifica e-mail del buttafuori strumento può darvi una mano qui.
Basta aggiungere la vostra lista di e-mail (fino a 250.000 indirizzi) all’applicazione e Bouncer mostrerà quali e-mail appartengono a utenti reali, la probabilità che le e-mail rimbalzino e vi mostrerà anche quali sono le vostre esigenze:
- indirizzi e-mail violati o violabili
- indirizzi o domini non validi
- Trappole anti-spam , ecc.
Bouncer assegna anche un punteggio alla tossicità delle e-mail (da 1 a 5), in modo da sapere quali indirizzi rimuovere immediatamente.
Sembra utile, vero? Allora, che ne dite di utilizzare Bouncer per la vostra prossima campagna e-mail? Con una lista di e-mail pulitissima, il successo della vostra prossima campagna e la protezione del vostro dominio e-mail saranno più facili che mai.
È ora di proteggere i vostri account di posta elettronica
Per tenere il vostro account di posta elettronica privato e aziendale (e i dati al suo interno) lontano dai criminali informatici, dovete adottare tutte le precauzioni di sicurezza possibili e dire addio alla preoccupazione di attività dannose, potenziali minacce e messaggi sospetti.
Password forti e modificate regolarmente, l’aggiunta dell’autenticazione a più fattori, l’aggiornamento regolare degli strumenti antivirus e l’attenzione ai tentativi di phishing o di infezione sono tutti elementi importanti per la sicurezza dei vostri account.
Inoltre, grazie alla sicurezza del conto, sarete in grado di respingere facilmente qualsiasi attacco di phishing o tentativo di violazione.
FAQ: Migliori pratiche per la sicurezza delle e-mail
Come posso proteggere il mio account di posta elettronica professionale?
Il modo migliore per rendere il vostro account più sicuro è quello di utilizzare password forti e uniche per ogni account che state utilizzando – potete utilizzare i gestori di password per questo scopo. Un’idea intelligente è anche quella di attivare l’autenticazione a due fattori (o più) per un ulteriore livello di sicurezza. Se utilizzate la posta elettronica di Exchange Online, prendete in considerazione l’implementazione di un sistema di sicurezza affidabile. soluzione di backup dei dati per Microsoft 365 per proteggere da potenziali perdite o danneggiamenti dei dati.
Come posso identificare ed evitare gli attacchi di phishing?
Anche se a prima vista potrebbero sembrare e-mail autentiche, in realtà ci sono alcune caratteristiche dei messaggi di phishing che li rendono facilmente riconoscibili. Il più caratteristico è che chiedono urgentemente informazioni personali o finanziarie, minacciando di incorrere in gravi conseguenze se non le si rispetta.
Quando ricevete un’e-mail di questo tipo (che sostiene di provenire dalla vostra banca, ad esempio), dovreste innanzitutto verificare se l’e-mail del mittente è corretta: i criminali utilizzano tipicamente e-mail che assomigliano a domini affidabili ma che presentano una o più differenze (ad esempio, nomi di dominio diversi).
Se l’e-mail presenta errori ortografici o grammaticali o se il logo ha un aspetto sbagliato, anche questo dovrebbe destare i vostri sospetti.
Che cos’è l’autenticazione a più fattori e perché dovrei usarla per le e-mail?
Autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza all’account e-mail richiedendo due o più tipi di fattori di autenticazione diversi durante l’accesso. Ad esempio, una password e un codice di verifica una tantum, una conferma da un dispositivo affidabile o una scansione dell’impronta digitale.
L’utilizzo dell’MFA riduce significativamente il rischio che qualcuno possa accedere alla vostra casella di posta elettronica anche se la vostra password viene compromessa.
Esistono pratiche di sicurezza delle e-mail specifiche per le aziende?
La creazione di una politica di cybersecurity per gli account di posta elettronica aziendali e lo svolgimento di regolari corsi di formazione sulla sicurezza per i dipendenti sono un ottimo modo per garantire che tutti i dipendenti sappiano come proteggere i propri account e dispositivi dalle minacce informatiche.
All’interno della policy si può indicare come creare password forti, quando e come utilizzare i dispositivi privati per il lavoro o quali sono le linee guida per l’apertura degli allegati ricevuti.