Il mio telefono è più sicuro del mio computer?

Il mio telefono è più sicuro del mio computer?

Da WannaCry a NotPetya, le violazioni della sicurezza stanno diventando notizie sempre più comuni. Ma la grande domanda è: da dove vengono queste violazioni? E siamo più vulnerabili su desktop o sui dispositivi mobili?

Guardando più da vicino alcune recenti violazioni della sicurezza, la maggior parte (tra cui WannaCry) è derivata da attacchi che hanno come obiettivo i desktop. Questi attacchi spaziano dallo sfruttamento delle vulnerabilità integrate, all’infiltrazione tramite software obsoleti, al semplice errore umano.

La maggior parte delle violazioni dei dati tendono ad avere origine all’interno del sistema operativo Windows, ed è qui che si concentra l’attività della sicurezza informatica. Un rapporto di Business Insider Intelligence del 2016 ha stimato che tra il 2015 e il 2020,  sarebbero stati spesi $ 386 miliardi per iniziative di sicurezza per proteggere i PC. Il rapporto prevedeva che, nello stesso periodo di tempo, sarebbero stati spesi 113 miliardi di dollari per proteggere i dispositivi mobili.

I desktop sono meno sicuri?

Quando Windows è stato sviluppato per la prima volta, è stato creato per un PC standalone. Non è stato creato pensando al mondo connesso. Di conseguenza, il sistema operativo aveva buchi di sicurezza e molti di questi si sono trascinati fino ad oggi. I progetti per Mac OS e Linux erano basati su un sistema multiutente in rete e tendono a essere più sicuri di Windows, che funziona sull’86% dei computer del mondo.

Per risolvere i problemi di sicurezza di Windows, quasi tutte le aziende hanno varie forme di software anti-virus, firewall e web gateway sicuri per proteggere i dati sensibili. Anche molti proprietari di PC personali che utilizzano Windows utilizzano una qualche forma di software anti-virus per proteggere i loro laptop e desktop.

Fatti vs sensazioni

Un altro elemento che alimenta il fatto che i desktop siano meno sicuri è l’esperienza. Molti di noi hanno avuto a che fare con un virus o qualche forma di malware sui nostri computer. Tuttavia, pochi di noi hanno avuto la stessa esperienza con i nostri telefoni. Questo crea l’idea che non dobbiamo preoccuparci delle minacce alla sicurezza sui nostri dispositivi mobili nello stesso modo in cui ci preoccupiamo di quelle sui nostri desktop.

I dispositivi mobili sono effettivamente più sicuri?

In termini di come sono stati fatti, sì. Smartphone, tablet e altri dispositivi portatili non sono stati progettati solo per un mondo connesso, ma progettati da sviluppatori che hanno applicato le lezioni apprese dai desktop che li hanno preceduti. I dispositivi mobili hanno iniziato con un modello di sicurezza integrato molto diverso rispetto al sistema operativo Windows originale, che aveva pochissima sicurezza.

Ma solo perché i dispositivi mobili sono stati creati per essere più sicuri, non significa necessariamente che lo siano ancora.

Il fattore umano

In realtà non è possibile che tutto sia sicuro al 100%, specialmente se consideriamo il fattore umano. Siamo ancora abbastanza spesso l’anello debole della catena. Non importa quanta formazione riceve qualcuno, le persone commettono errori. Dal mancato aggiornamento del software, al clic sui link di phishing o alla semplice perdita di dispositivi, l’errore umano può rendere anche il sistema più sicuro suscettibile di violazione.

Interagiamo anche in modo diverso con i nostri dispositivi mobili rispetto a computer portatili o desktop. Quando si tratta di lavorare, molti dipendenti considerano i telefoni aziendali come dispositivi personali. Questo mix di lavoro e uso personale su un dispositivo può mettere a rischio i dati di un’intera azienda, anche se solo un dipendente cade vittima di un attacco.

È solo una questione di tempo

Dal momento in cui il primo iPhone è stato lanciato nel 2007 ad oggi, gli hacker sono diventati sempre più abili nel navigare tra i livelli di sicurezza esistenti per compromettere i dispositivi mobili. E la quantità di dati sensibili sui dispositivi mobili continua a crescere in modo esponenziale. Non solo riempiamo i nostri telefoni con immagini e video, ma anche informazioni altamente sensibili come dettagli bancari, accessi per account di social media e piattaforme di archiviazione basate su cloud come Dropbox.

A differenza dei computer desktop pesanti o anche dei portatili leggeri, i telefoni cellulari vivono nelle nostre tasche e borsette. In qualsiasi momento, stiamo trasportando dispositivi dotati di telecamere, microfoni e segnali GPS incorporati. Il desiderio degli hacker di accedere a questi dispositivi è ovvio.

Quindi quali sono i problemi di sicurezza per i dispositivi mobili oggi? Di seguito sono riportati i tipi di minacce a cui prestare attenzione.

Malware mobile

Gli aggressori si stanno continuamente innovando. La nostra ricerca mostra che il numero di malware dannosi destinati ai dispositivi mobili è più che triplicato nel 2016, provocando quasi 40 milioni di attacchi a livello globale. La Market Guide di Gartner del 2018 ha rivelato che ogni anno ci sono 42 milioni di attacchi di malware mobile.

L’opinione comune è che gli iPhone non siano sensibili al malware, in parte a causa del malinteso che i computer Mac siano più sicuri. In realtà, su iOS sono stati trovati numerosi tipi diversi di malware e i numeri sono in aumento (per ulteriori informazioni sulle minacce su iPhone, leggi il nostro post: Beware iOS users: malware is by no means an Android-only problem ).

I dispositivi Android sono altrettanto vulnerabili alle minacce, se non di più, e gli hacker sono stati rapidi a scoprire e sfruttare queste vulnerabilità (per ulteriori informazioni sulle minacce su Android, leggi il nostro post: “4 ways hackers are infiltrating Android phones with malware“).

Phishing

Il phishing è la minaccia più grande per i dispositivi mobili. Mentre gli schermi più piccoli rendono molto più facile perdere gli URL completi nelle finestre del browser, il consenso generale sul fatto che i dispositivi mobili siano più sicuri lascia molti utenti con la guardia abbassata e gli hacker ne approfittano.

I dati di IBM mostrano che gli utenti hanno tre volte più probabilità di essere vittime di un attacco di phishing su un dispositivo mobile rispetto a un desktop e che vengono create nuove pagine di phishing ogni 20 secondi. Anche gli attacchi stessi stanno diventando più sofisticati, con pagine che spesso si presentano come collegamenti legittimi da marchi noti. Ciò rende sempre più difficile per gli utenti distinguere tra ciò che è vero e ciò che è inganno. Poiché il 90% delle violazioni dei dati inizia con attacchi di phishing, la protezione dei dispositivi mobili sta diventando sempre più critica.

Quindi, abbiamo un falso senso di sicurezza quando si tratta di dispositivi mobili?

In breve, sì. I consumatori e le aziende pensano allo stesso modo che i dispositivi mobili siano sicuri e questo ci fa tornare alla questione dei fattori umani. Molti di noi non pensano nemmeno alla possibilità di minacce alla sicurezza sui nostri dispositivi mobili, e questa mancanza di consapevolezza è esattamente ciò che rende vulnerabili i  dispositivi.

Uno studio del 2014 di Consumer Reports ha rilevato che oltre un terzo degli utenti mobili non implementava alcuna sicurezza sui propri dispositivi, con il 36% che utilizzava PIN a 4 cifre e solo l’11% utilizzava password più complesse.

Questa mentalità sta gradualmente cambiando man mano che sempre più utenti incontrano i link di phishing tramite SMS o messaggi di WhatsApp. Tuttavia, solo il 14% degli americani pensa che sia più importante che i propri dispositivi mobili siano dotati di una crittografia adeguata rispetto a quella dei loro laptop.

Le prove dimostrano che, sebbene i dispositivi mobili all’inizio potevano essere più sicuri dei computer desktop, il gioco è cambiato e gli hacker sono sempre più evoluti. Le minacce sono reali ed è necessario aver la consapevolezza di mantenere i dispositivi protetti.

Fonte: Wandera

Ingegneria sociale – Una battaglia di cervelli?

Ingegneria sociale – Una battaglia di cervelli?

È probabile che la maggior parte delle persone che conoscete siano persone brave e affidabili. Si potrebbe non voler bere il caffè con il collega scontroso dalla contabilità, ma probabilmente si lascerebbero tutti gli effetti personali nel proprio ufficio nel caso lui passasse accanto.

Per l’esperto di ingegnere sociale, il fatto che la maggior parte delle persone si fidino e sono utili è una benedizione. E’ ciò che permette loro di trarre vantaggio da quasi tutti – dai receptionist ai dirigenti. Ed è il modo in cui si infiltrano anche nelle reti più sicure e fanno uscire le informazioni dai sistemi più protetti con facilità: arruolando l’aiuto di uno o due assistenti inconsapevoli sul libro paga dell’azienda.

Noi umani siamo molto più facili da manipolare di un firewall adeguatamente configurato o di uno strumento completo per la protezione degli endpoint. Pensaci: ci vuole meno tempo per ingannare qualcuno nel consegnare le sue password (spesso solo una questione di una conversazione o due, in cui viene sfruttata la fiducia) di quanto non faccia la forza bruta per attaccare una password di 10 cifre (nel caso ve lo stiate chiedendo, ci vogliono 4 mesi).

La formazione alla consapevolezza dei dipendenti è la chiave?
Per cercare di compensare il fattore umano, le aziende si rivolgono a programmi di formazione per la sensibilizzazione alla sicurezza dei dipendenti. L’idea alla base di questi programmi è quella di portare i dipendenti al punto da poter individuare un’email fasulla o un furfante a un miglio di distanza. Con questa maggiore consapevolezza, le aziende sperano di impedire all’ingegneria sociale di ottenere il meglio dai loro dipendenti e dai loro dati.

L’istruzione è fantastica; qualsiasi tentativo di sensibilizzare i dipendenti dovrebbe essere debitamente elogiato. La formazione di sensibilizzazione alla sicurezza può ridurre notevolmente il tasso di successo degli attacchi comunemente associati a violazioni dei dati come il phishing. Ora i vostri dipendenti sanno meglio come non cadere nella truffa “Windows Tech Support” e probabilmente si rendono anche conto che le email mal formulate che proclamano che hanno vinto il Gran Premio di Google / Microsoft / Apple devono essere cancellate e segnalate.

L’errore umano ci sarà sempre
Ecco il problema; L’educazione non può andare così lontano quando il nemico è l’astuzia umana. Gli aggressori sono sempre alla ricerca di nuovi modi per truffare e violare, sia a livello umano che a livello di macchina. Così, mentre i tuoi dipendenti sanno che devono tenersi alla larga da alcune delle più ovvie email fasulle, potrebbero non sospettare che il curriculum appena arrivato nella casella di posta delle risorse umane sia in realtà solo un allegato malware. Probabilmente l’hacker ha impiegato solo pochi minuti a carpire l’indirizzo email, sapere la posizione lavorativa e usare queste informazioni per creare un’e-mail di spear-phishing altamente plausibile. Negli ultimi anni, infatti, alcune organizzazioni sono state ingannate da aggressori che hanno sfruttato questa tecnica per violare la rete aziendale.

La formazione dei dipendenti non avrebbe impedito a una persona del reparto HR di aprire quell’allegato – aprendolo, stava semplicemente facendo il proprio lavoro. Inoltre, anche se i dipendenti sono molto più attenti, basta un singolo errore per aprire la porta agli infiltrati. Quando si tratta di proteggere la rete, è necessario avere un margine di errore il più vicino possibile allo zero.

Formazione + isolamento del browser
La verità è che, indipendentemente dalla quantità di formazione offerta, la gente commetterà sempre degli errori. Forse sarà il nuovo ragazzo, che non era presente all’ultimo seminario di sensibilizzazione, o forse è un socio troppo desideroso di ricercare nuovi contatti: in ogni caso, le persone saranno sempre vulnerabili all’ingegneria sociale. Questo è il motivo per cui è fondamentale ridurre al minimo il grado in cui la sicurezza si basa sulla capacità decisionale imperfetta degli utenti.

Le tecnologie che utilizzano un modello di sicurezza zero-trust, come l’isolamento remoto del browser, sono fondamentali per garantire che anche quando gli utenti commettono un errore di valutazione troppo umano e fanno clic sui collegamenti “errati”, le reti non vengono compromesse.

Fonte: Ericom Software

Il phishing su mobile è il più grande rischio di sicurezza mobile?

Il phishing su mobile è il più grande rischio di sicurezza mobile?

Si parla molto di malware, attacchi man-in-the-middle e perdite di dati. Queste sono minacce importanti e diffuse per chiunque gestisca dispositivi mobili, ma uno degli attacchi più trascurati e altrettanto pericolosi è il phishing su mobile, che non sempre viene preso in considerazione.

Anni di duro lavoro per difendere le imprese contro le email di phishing e-mail hanno reso molte organizzazioni certe di essere protette dal phishing condotto su applicazioni mobili, social media e altri approcci più nuovi.

La ricerca dell’Università del Texas incolpa l’eccessiva sicurezza ad individuare gli attacchi di phishing come il motivo principale per cui tanti utenti ne sono vittima, in quanto la maggior parte delle persone crede di essere più astuta dei responsabili dell’attacco. I dati provenienti da Proofpoint suggeriscono che gli attacchi di phishing condotti su social media sono saliti del 500% negli ultimi tre mesi del 2016.
Anche Wandera ha effettuato le proprie ricerche. Dove si verificano gli attacchi di phishing? In quali applicazioni e su quali sistemi operativi? Sono stati analizzati milioni di punti dati attraverso un campione di 100.000 dispositivi e hanno trovato una serie di intuizioni interessanti.

Le scoperte
Gli attacchi di phishing sono ovunque e utilizzano canali di distribuzione a più livelli.
La ricerca di Wandera si è concentrata sull’analisi del traffico su domini di phishing conosciuti e, grazie alla propria infrastruttura cloud unica, i ricercatori sono stati in grado di determinare quali applicazioni e servizi vengono utilizzati per distribuire i link pericolosi.

Gli URL di phishing conosciuti vengono distribuiti in tutti i modi, ma la loro ricerca mostra che le applicazioni di gioco sono la scelta più popolare per gli aggressori, seguiti da applicazioni di posta elettronica, sport e servizi di notizie / meteo.

Come combattere il phishing mobile
Affrontare il problema di phishing mobile è un problema complesso. Gli obiettivi si spostano costantemente e gli aggressori sono sempre in cerca di nuove tecniche. Il blocco di intere categorie di applicazioni non eliminerà sempre il problema.

Parte della soluzione deve comprendere l’educazione e la formazione dei dipendenti a livello aziendale. Questa dovrebbe includere alcuni principi base, come ad esempio non fare mai clic su collegamenti in email non richieste o condivisi tramite app mobili e non condividere credenziali o informazioni personali con nessuno tramite un canale mobile – anche in quelle applicazioni di cui normalmente vi fidate.
Anche i migliori programmi di formazione non risolveranno il problema del tutto. Come qualunque amministratore IT ammetterà, alla fine un dipendente cadrà in una campagna di phishing, considerando la sofisticazione degli attuali attacchi.
A tal fine, è assolutamente indispensabile che si abbia una soluzione di sicurezza in grado di monitorare e intercettare qualsiasi traffico diretto nei siti di phishing.

Questa ricerca dimostra che il phishing mobile rischia di rimanere tra le maggiori preoccupazioni dei CISO nel 2017. Leggi il report completo.

Download “Mobile Data Report: Focus on phishing” Phishing-2-1.pdf – Scaricato 197 volte – 1 MB

Fonte: Wandera

 

Sicurezza dell’endpoint aziendale: Milioni di dispositivi utilizzano ancora sistemi obsoleti

Sicurezza dell’endpoint aziendale: Milioni di dispositivi utilizzano ancora sistemi obsoleti

Duo Security ha analizzato la sicurezza di 4.6 milioni di dispositivi endpoint, tra cui 3.5 milioni di telefoni cellulari in società e aree geografiche diverse.

Con una maggiore adozione di servizi cloud e dispositivi mobili, le imprese non hanno più frontiere distinte definite tra l’interno e l’esterno del firewall, rendendo la salute dei dispositivi che si collegano alla propria rete più critica che mai per proteggerli dalle nuove minacce di sicurezza.
Per misurare lo stato di salute dei dispositivi, la relazione analizza gli indicatori principali inclusi i sistemi operativi, browser e plugin non aggiornati, che rendono gli endpoint più esposti alle vulnerabilità, e le funzionalità di sicurezza che i device mobili hanno abilitato. Inoltre, per la prima volta, la relazione mette in evidenza i dati più recenti delle valutazioni di phishing simulate di Duo. Il phishing è uno dei modi più semplici e più efficaci per rubare le credenziali utente, sfruttando software obsoleti, e ottenere accesso alle applicazioni aziendali.

Stato di sicurezza del dispositivo
Il 31% degli endpoint esegue la versione più recente del sistema operativo Windows 10 rispetto al 15% nel 2016. Le aziende migrano lentamente verso la versione più aggiornata e sicura due anni dopo la sua release. Tuttavia, il 13% degli endpoint sta navigando pericolosamente su una versione non supportata del browser di Internet Explorer che non è più in grado di ricevere aggiornamenti sulle vulnerabilità note.

Sicurezza cellulare
Solo il 27% dei telefoni Android sta eseguendo l’ultima versione più importante del sistema operativo, rispetto al 73% degli iPhone che operano su iOS 10 o superiore. Questa differenza netta è probabilmente legata al fatto che molti dispositivi Android sono obbligati a passare sia dai produttori che dagli operatori telefonici per il roll out degli aggiornamenti, il che può rallentare il tempo di distribuzione delle patch.

Sicurezza nel Regno Unito e EMEA
Rispetto all’America settentrionale, i paesi EMEA (Europa, Medio Oriente e Africa) sono leggermente più aggiornati. Nell’EMEA, il 40% degli endpoint esegue l’ultima versione, Windows 10, rispetto al 31% in Nord America. Nel Regno Unito, il 37% degli endpoint gestisce Windows 10, rispetto al 31% complessivo.

Sicurezza nell’industria

  • L’industria tecnologica ha il maggior numero di endpoint che esegue il sistema operativo Windows 10 con l’87%, mentre le industrie sanitarie e manifatturiere sono in fondo con rispettivamente solo il 16% e il 6% degli endpoint che utilizzano l’ultimo sistema operativo.
  • I dati del settore sanitario rivelano che il 76% degli endpoint esegue Windows 7 – un sistema operativo di 8 anni – molto superiore alla media del 59% di tutti gli altri endpoint. Peggio ancora, la percentuale di endpoint nel sistema sanitario con Windows XP è aumentata dal 2% al 3%, superiore all’1% degli endpoint complessivi. Questo è preoccupante, dato che Microsoft ha interrotto il supporto per la sicurezza di Windows XP nel 2014, e continuare ad eseguire il sistema operativo potrebbe entrare in conflitto con i requisiti di certificazione HIPAA.
  • L’industria della biotecnologia è ultima per le funzionalità di sicurezza mobile, con la quantità minima di dispositivi mobili con blocco dello schermo o la crittografia abilitata, il che significa che manca la protezione dei dispositivi mobili.

Phishing in aumento
L’analisi di Duo su 3.575 campagne simulate di phishing condotta negli ultimi 12 mesi da Duo Insight, su oltre 80.000 destinatari, ha rilevato che il 62% delle campagne ha catturato almeno una credenziale e il 68% aveva almeno un dispositivo obsoleto.

• Il 44% dei destinatari ha aperto l’email e il 25% dei destinatari ha fatto clic sul collegamento.
• Il 13% dei destinatari ha inserito le credenziali (username e password).
• Il 13% dei destinatari usa browser obsoleti e il 17% sta utilizzando sistemi operativi non aggiornati.

Un quarto dei destinatari, che fanno clic sul collegamento nell’email, indica che potrebbero aver potenzialmente visitato un sito dannoso, mettendo a rischio i loro dispositivi. La maggior parte dei destinatari utilizza dispositivi non aggiornati per aprire email di phishing e questo mette gli utenti nella condizione di essere maggiormente danneggiati da malintenzionati che utilizzano vulnerabilità note.

Mike Hanley, Sr. Direttore della Sicurezza per Duo ha spiegato: “Come sottolineato da molte delle ultime violazioni, i software e sistemi non aggiornati sono un obiettivo primario da parte di utenti malentezionati muniti di vulnerabilità e malware noti. Il 2017 Trust Access Report mostra che, mentre stiamo facendo progressi in alcune aree come l’adozione di Windows 10, c’è ancora molto spazio di miglioramento “.

Fonte: Help Net Security