Categories: NewsNewsletter

Come le aziende possono prevenire il furto di credenziali

Secondo il report 2023 sulle indagini per violazioni dei dati di Verizon, il furto di credenziali è uno dei metodi più comuni utilizzati dai cybercriminali per ottenere l’accesso non autorizzato a un’azienda. Il furto di credenziali espone le organizzazioni a un rischio di violazioni dei dati maggiore, quindi è necessario adottare misure per prevenirlo.

Per prevenire il furto di credenziali, le aziende devono incoraggiare l’uso delle chiavi di accesso, investire in un password manager aziendale, applicare l’autenticazione a più fattori (MFA) e formare i dipendenti sulle migliori prassi in materia di sicurezza informatica.

I più comuni metodi di furto delle credenziali

Il phishing e le violazioni dei dati pubblici sono due degli attacchi di furto di credenziali più comuni.

Attacchi di phishing
Il phishing è un tipo di attacco di social engineering che mira a convincere le vittime a rivelare le proprie informazioni personali. Spesso, nei tentativi di phishing i criminali si fingono una persona o un’azienda conosciuta dalla vittima, che spronano ad agire con urgenza senza farsi troppe domande. I cybercriminali possono sferrare attacchi di phishing usando messaggi e-mail, SMS o telefonate. Se l’obiettivo di un cybercriminale è rubare le credenziali, può inviare un’e-mail di phishing o un SMS fingendosi un’azienda e indirizzando la vittima su un portale di accesso falso. Inserendo le proprie credenziali in questo portale di accesso, la vittima essenzialmente le consegna al cybercriminale, che può quindi utilizzarle per compromettere l’account della vittima.

Violazioni dei dati di tipo pubblico
Le violazioni dei dati di tipo pubblico avvengono quando un’azienda subisce una violazione che espone i dati di dipendenti e/o clienti. Molte di queste violazioni dei dati espongono le credenziali di accesso degli utenti. Quando si verificano queste violazioni, i cybercriminali raccolgono quante più informazioni possibili a seguito della violazione in modo da poterle utilizzare in prima persona o pubblicarle sul dark web.

Come prevenire il furto di credenziali

Ecco come le aziende possono prevenire il furto di credenziali.

1. Incoraggiare l’uso delle chiavi di accesso

Le chiavi di accesso sono una nuova tecnologia di autenticazione che consente agli utenti di accedere a un account senza che sia necessario inserire una password. Se i dipendenti hanno la possibilità di eseguire gli accessi utilizzando queste chiavi di accesso, è bene incoraggiarli a farlo perché sono più sicure delle password e non rischiano di essere trafugate. Le aziende devono istruire i dipendenti su come abilitare le chiavi di accesso in modo che siano più propensi a utilizzare quelle come metodo di accesso anziché le password.

2. Investire in un password manager aziendale

Molti siti web e applicazioni non offrono ancora il supporto degli accessi tramite chiavi di accesso e di conseguenza per la maggior parte degli account si continuerà a utilizzare le password. Il modo migliore per assicurarsi che i dipendenti utilizzino password efficaci è ricorrere a un password manager. Investendo nell’acquisto di un password manager aziendale, le aziende possono assicurarsi che ogni dipendente utilizzi password efficaci. Inoltre, i password manager possono inviare notifiche agli amministratori IT se le credenziali di accesso di un dipendente compaiono in una violazione dei dati, in modo da poter chiedere al dipendente di cambiare le password. In questo modo si riduce il rischio di un attacco di stuffing delle credenziali o di acquisizione dell’account che potrebbero avere gravi conseguenze.

3. Applicare l’uso dell’autenticazione a più fattori

È importante che tutti abilitino sui propri account l’autenticazione a più fattori. Con l’autenticazione a più fattori gli utenti devono fornire più di un metodo di autenticazione oltre al nome utente e alla password. Se un cybercriminale o altra persona non autorizzata ottiene le credenziali di un dipendente, l’autenticazione a più fattori richiede la verifica dell’identità tramite altri metodi di autenticazione. Questo rende più difficile per gli utenti non autorizzati compromettere gli account dei dipendenti.

4. Formare i dipendenti sulle migliori prassi in materia di sicurezza informatica

I dipendenti possono essere l’anello più debole di un’azienda, specialmente se non sono adeguatamente formati o informati sulle migliori prassi in materia di sicurezza informatica. Per mitigare il rischio di furto delle credenziali dei dipendenti, le aziende devono prevedere del tempo per insegnare loro come individuare ed evitare le minacce informatiche più comuni.

Come si è già detto, gli attacchi di phishing sono tra i metodi più comuni di furto di credenziali. Questo vuol dire che le aziende devono formare regolarmente i dipendenti su come riconoscere ed evitare i tentativi di phishing. Uno dei modi migliori per formare i dipendenti sul phishing è inviare loro simulazioni di e-mail di phishing. Grazie a queste simulazioni, le aziende possono scoprire se i dipendenti sono stati correttamente addestrati e sono in grado di individuare i tentativi di phishing. Nel caso in cui non si dimostrino perfettamente in grado di individuare i tentativi di phishing, gli amministratori IT possono prevedere altri corsi di formazione per ovviare al problema.

Proteggi la tua azienda dal furto di credenziali

Il furto di credenziali può comportare notevoli perdite finanziarie e danneggiare la reputazione delle aziende, perciò è importante adottare misure preventive e investire in strumenti che consentano di mitigare queste minacce. Uno degli strumenti su cui dovrebbero investire le aziende per proteggere l’attività e i dipendenti dal furto di credenziali e da altri attacchi legati alle password è un password manager.

Fonte: Keeper Security

Alessandra Bellotti

Comments are closed.

Recent Posts

Omnissa nominata Leader nell’IDC MarketScape 2024 per il Virtual Client Computing

Omnissa è stata nominata Leader nel 2024 IDC MarketScape Worldwide Virtual Client Computing Vendor Assessment* (2024, IDC #US51271924). Questa è…

14 ore ago

Omnissa ONE: Successo per il primo evento in Europa presso il Postillion Hotel and Convention Centre di Amsterdam

Omnissa celebra il successo del suo primo grande evento europeo, Omnissa ONE, tenutosi presso il Postillion Hotel and Convention Centre…

3 settimane ago

Keeper è stato nominato leader G2 in diverse categorie di sicurezza informatica nell’autunno 2024

Keeper Password Manager è stato valutato dagli utenti su G2, il più grande e affidabile marketplace di software al mondo,…

4 settimane ago

Migliora il rilevamento e la risposta alle minacce con un’accurata discovery degli asset

Il rilevamento delle minacce si basa su una comprensione completa di ogni dispositivo e sistema presenti nella rete. In assenza…

4 settimane ago

La guida completa per proteggere i dispositivi mobili in azienda

I dispositivi mobili sono diventati una parte indispensabile della vita moderna. Se vent'anni fa la maggior parte delle persone li…

4 settimane ago

HaloITSM

HaloITSM, società all’avanguardia per i servizi  ITSM (IT Service Management) ed ESM (Enterprise Service Management). Offre una piattaforma di service…

1 mese ago