Email e rischio truffe: la sicurezza delle aziende FTSE-MIB 40

La gran parte delle truffe che riguardano i consumatori arriva via email o sfruttando canali di comunicazione consolidati.

Email e rischio truffe

Proofpoint sottolinea come la maggioranza delle aziende FTSE-MIB 40 italiane non impedisca preventivamente il rischio truffe relative alle email.
Il FTSE MIB (Financial Times Stock Exchange Milano Indice di Borsa) è il più significativo indice azionario della Borsa italiana. È il paniere che racchiude le azioni delle 40 società italiane ed è considerato l’indice di benchmark del mercato italiano, in quanto rappresenta l’80% della capitalizzazione del listino azionario del Paese.

Proofpoint ha analizzato le aziende  verificando l’adozione del DMARC, (acronimo di Domain-based Message Authentication, Reporting & Conformance). Si tratta di un protocollo di autenticazione per la validazione dei messaggi di posta elettronica.
Tra le 40 realtà prese in esame dalla ricerca, il 43% non ha adottato il protocollo DMARC. Questo le mette a rischio di impersonificazione truffaldina (spoofing) dell’identità da parte dei cybercriminali, e incrementa il rischio di frode online per i loro clienti. E anche tra quelle che ne fanno uso, il 13% lo ha implementato nella modalità raccomandata e più sicura.

Email e rischio truffe

Si tratta del livello “Reject”, che blocca attivamente le email fraudolente prima che raggiungano l’obiettivo. Questo lascia clienti e partner del restante 87% delle aziende ad alto rischio di una potenziale frode via email.
I cybercriminali utilizzano regolarmente il metodo dello spoofing del dominio per spacciarsi per realtà e brand noti, inviando e-mail da un indirizzo apparentemente legittimo. Queste e-mail sono pensate per ingannare le persone e spingerle a cliccare su un link o a condividere dati personali.
È impossibile per un normale utente di Internet identificare un mittente falso da uno reale. Applicare e implementare una policy DMARC protegge dipendenti, clienti e partner dai cybercriminali che cercano di impersonificare un dominio noto.

Email e rischio truffe. Più sensibilizzazione sul tema

Oggi più che mai, la cybersecurity corre sul filo della email. La gran parte delle minacce che prendono di mira i consumatori arriva via posta elettronica o sfruttando canali di comunicazione consolidati.
Spesso, i cybercriminali si nascondono dietro i brand più noti, approfittando della loro fama e della fiducia dei consumatori, per convincerli ad abbassare la guardia e sottrarre dati sensibili, quando non direttamente denaro.

Ma come si proteggono le aziende da questa minaccia? Come possono i consumatori essere sicuri che quando ricevono un messaggio email da una determinata azienda, questo arrivi veramente dalla realtà che appare indicata come mittente? La risposta rimane piuttosto preoccupante.
Proofpoint aveva condotto la stessa analisi nel novembre 2018. Allora, solo il 28% delle aziende (11 su 40) aveva adottato il protocollo di sicurezza DMARC. Solo 3 ne avevano implementato il livello più elevato, mostrandosi in grado di bloccare in modo proattivo le email fraudolente.

Email e rischio truffe

Luca Maiocchi, Country Manager di Proofpoint. “Il confronto tra queste due analisi a due anni di distanza ci restituisce una situazione leggermente migliorata, frutto della crescente attenzione che viene riservata alla sicurezza delle comunicazioni email da parte delle aziende. Molto però resta ancora da fare, se consideriamo che oltre il 40% delle aziende che abbiamo analizzato non ha nemmeno adottato il protocollo DMARC. Serve ulteriore sensibilizzazione e consapevolezza sul tema, dato che il canale email resta quello ampiamente privilegiato da parte dei cybercriminali.”

Il protocollo DMARC è il “controllo passaporti” del mondo della sicurezza email. Verifica l’identità autenticando correttamente i mittenti rispetto agli standard DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) stabiliti.
Questa autenticazione protegge dipendenti, clienti e partner dai criminali informatici che cercano di impersonare un’azienda legittima.