Se i criminali informatici non conoscono il nome utente e la password, non possono entrare nel backend del vostro sito. Purtroppo, hanno trovato il modo di ottenere le informazioni necessarie, ad esempio attraverso campagne di phishing. Che aspetto hanno?
"Il tuo CMS richiede un cambio di password. Accedi e cambiala immediatamente". Questi inviti ad agire rapidamente fanno talvolta parte di campagne di phishing. Se gli amministratori di un sito web cedono i propri dati di accesso, i criminali informatici possono prendere il controllo del sito."
Gli hacker sfruttano i fattori umani, come la nostra tendenza ad agire in modo avventato. Se volete ridurre al minimo le possibilità che si introducano nel vostro sito web, prestate attenzione alla formazione dei dipendenti", suggerisce Martin Cambal, Global Web Development Manager di ESET. "Ad esempio, eseguite una finta campagna di phishing per scoprire se i dipendenti sono in grado di identificare correttamente i rischi. Quindi istruire i dipendenti che cadono vittime delle tattiche di phishing. Le aziende più piccole possono esternalizzare la formazione dei dipendenti".
I dipendenti devono prestare attenzione ai dettagli ortografici, come ad esempio se l'e-mail è stata inviata da examples.com invece che da example.com. "Inoltre, bisogna diffidare di un falso senso di urgenza. Un malintenzionato che si spaccia per il fornitore del sistema di gestione dei contenuti potrebbe chiedervi di scaricare un aggiornamento di sicurezza apparentemente urgente. Ma una volta scaricato, il vostro dispositivo può essere infettato da malware", aggiunge Cambal.
Gli aggressori potrebbero tentare di scansionare il vostro sito web con strumenti automatici alla ricerca di vulnerabilità. Per questo motivo è necessario nascondere gli aspetti identificativi del sistema. Ad esempio, dovreste tenere gli aggressori all'oscuro del sistema di gestione dei contenuti (CMS) che state utilizzando. "Gli elementi del CMS possono essere nascosti e il codice sorgente modificato in modo che i criminali informatici non possano sapere quale piattaforma state utilizzando", spiega Cambal.
Gli aggressori possono tentare di scansionare il vostro sito web con strumenti automatici alla ricerca di vulnerabilità. Per questo motivo è necessario nascondere aspetti identificativi del sistema. Ad esempio, dovreste tenere gli aggressori all'oscuro del sistema di gestione dei contenuti (CMS) che state utilizzando. "Gli elementi del CMS possono essere nascosti e il codice sorgente modificato in modo che i criminali informatici non possano sapere quale piattaforma state utilizzando", spiega Cambal.
A nome della vostra azienda. In che modo il dominio della vostra azienda può essere usato impropriamente per lo spam e il phishing?
I criminali informatici possono anche utilizzare impropriamente il dominio aziendale per campagne di phishing e spam. È qui che l'implementazione di un sender policy framework (SPF) si rivela utile. "Create record SPF ben studiati che elenchino gli indirizzi IP autorizzati a inviare e-mail con il dominio del vostro sito web. L'assenza di tali record significa che chiunque può inviare un'e-mail con il vostro nome di dominio.
L'autorizzazione di un insieme di indirizzi IP affidabili dovrebbe essere una delle misure di sicurezza di base per le e-mail", riflette Cambal. In definitiva, la gestione dei record del sistema dei nomi di dominio (DNS) e l'accesso ad essi è fondamentale, in quanto è ciò che consente una configurazione più sicura (della posta elettronica) - ad esempio, per consentire l'uso autorizzato del dominio per l'invio di e-mail - e rende possibile la creazione di sottodomini.
La responsabilità di verificare l'uso dei domini nelle e-mail spetta al server di posta elettronica ricevente. "Se il server scopre che l'e-mail è stata inviata da un indirizzo IP che non è elencato nei record SPF del dominio nell'indirizzo di ritorno della busta, può decidere di rifiutare la consegna", spiega Cambal. "Molti amministratori IT dimenticano che i nomi di dominio possono essere utilizzati in modo improprio anche per combattere la concorrenza: immaginate che un'azienda rivale invii e-mail dannose con il vostro dominio aziendale. In queste situazioni, è in gioco la reputazione della vostra azienda". Ma se il server ricevente valuta l'indirizzo IP del mittente come non autorizzato, può trattarlo come spam.
In generale, per le piccole e medie imprese è consigliabile utilizzare un provider esterno di servizi di posta elettronica che si occupi dei server e-mail, invece di gestirli in proprio. "L'outsourcing è vantaggioso se le comunicazioni via e-mail della vostra azienda non sono estremamente riservate", suggerisce Cambal.
Diffidate dall'invio di e-mail in massa e monitorate l'utilizzo del vostro dominio.
Ma perché i messaggi inviati dal server di posta elettronica della vostra azienda a volte finiscono nelle cartelle di spam, anche se sono stati creati da voi e non da un malintenzionato? "Quando un numero elevato di e-mail viene inviato da un indirizzo IP in un breve lasso di tempo e un utente lo segnala come spam, il server di posta elettronica può penalizzare il dominio di posta elettronica e inserire il messaggio nella cartella della posta indesiderata o non consegnarlo affatto", spiega Cambal.
Molte aziende utilizzano un unico dominio per tutte le comunicazioni via e-mail, comprese le newsletter. Una soluzione migliore è quella di separare le comunicazioni e-mail uno-a-uno da quelle uno-a-molti, ad esempio utilizzando un sottodominio come thankyou.example.com per le conversazioni transazionali invece di example.com. "In questo modo, se un dominio viene bloccato come spam, è possibile utilizzarne altri", spiega Cambal.
Inoltre, come potete determinare se il vostro dominio e-mail aziendale è stato utilizzato in modo improprio? Se avete attivato la segnalazione DMARC e un utente malintenzionato invia un messaggio sotto il vostro dominio, dovreste ricevere una notifica dal server di posta in arrivo. Questo vi permette di monitorare l'efficacia della vostra configurazione SPF e di informarvi potenzialmente che qualcuno sta cercando di abusare del vostro dominio aziendale. In questo modo, potrete proteggere la reputazione della vostra azienda.
