Nel mese scorso abbiamo illustrato come l’uso non attento del nostro dispositivo più personale (lo smartphone) possa costituire un serio pericolo per la sicurezza dei nostri dati. Continuiamo questa nostra panoramica analizzando altri interessanti studi sull’argomento.
Il livello di consapevolezza dell’utente nell’uso del dispositivo mobile è ancora molto basso. Un recente studio condotto da Kaspersky Lab e B2B International dimostra come quasi il 30% degli utenti non sappia neanche cosa sia un malware. In questo scenario si inserisce lo scarsissimo livello di attenzione e consapevolezza degli utenti che spesso scaricano applicazioni e visitano siti poco sicuri con troppa disinvoltura. Il rapporto Symantec, già citato nel precedente articolo, afferma che il 17% delle applicazioni per Android (quasi un milione) contengono malware.
Le transazioni economiche attraverso smartphone e dispositivi mobili hanno avuto un vero boom nel 2015, e di conseguenza sono diventate di enorme interesse anche per i cyber criminali. Nel terzo trimestre del 2015, secondo Kaspersky, la prima modalità con la quale i cyber criminali guadagnano dalle minacce per mobile sono i programmi di pubblicità intrusiva (adware) e risultano più della metà del totale (52,2%). La seconda minaccia più rilevante nello stesso periodo è rappresentata da applicazioni legittime ma potenzialmente dannose, se usate impropriamente dall’utente o manipolate dai cyber criminali. Al terzo posto troviamo i trojan attraverso SMS.
Per la prima volta nella top 10 dei principali malware finanziari troviamo trojan per il mobile banking (Faketoken e Marcher). La costante crescita dei trojan mobile che mirano a rubare le credenziali bancarie è confermata dalle recenti analisi di Kasperksy Lab sul trojan Asacub, che da “semplice” malware per il furto di dati sensibili come contatti e cronologia web, si è evoluto in un tool per il furto di denaro attraverso campagne di phishing di banche soprattutto russe e americane.
Il 2015 è stato anche l’anno che ha sfatato il mito dell’inviolabilità dell’iPhone, lo smartphone di casa Apple; pur rimanendo Android la piattaforma preferita come bersaglio dei cyber criminali. A settembre 2015 l’azienda di sicurezza Zerodium ha indetto un contest offrendo un milione di dollari a chi avesse scoperto una vulnerabilità per effettuare il jailbreak da remoto su iOS 9. Solo due mesi dopo la stessa azienda ha confermato che il contest era stato vinto.
Un’indagine di Kaspersky Lab fa emergere che un ulteriore rischio è costituito dall’aumento del furto fisico dei dispositivi mobili, con relativo pericolo di perdita di dati sensibili, materiale aziendale e accessi a servizi aziendali. Questo rischio è aggravato dal fatto che il dipendente che subisce il furto del proprio dispositivo lo denuncia alla società con un ritardo medio che va dai 2 ai 5 giorni, allungando pericolosamente i tempi di risposta a questa minaccia. La vulnerabilità in questi casi non è solo tecnica, ma soprattutto umana perché i dipendenti tendono a non avvisare in tempi rapidi i responsabili aziendali del furto avvenuto. Ben il 38% degli impiegati denunciano il furto del proprio dispositivo dopo 2 giorni, e il 9% addirittura dopo 5 giorni, mentre solo la metà dei dipendenti denuncia l’accaduto il giorno stesso. Il dato più preoccupante è costituito da un 19% di aziende che hanno dichiarato di aver perso dati aziendali sensibili in seguito al furto del dispositivo mobile. Parallelamente con l’aumento della diffusione dell’uso dei dispositivi mobili in ambito aziendale, aumentano anche i furti e i rischi relativi per le aziende, ma diminuisce il livello di allarme percepito dai dipendenti, in tutte le zone del Mondo prese in esame dall’indagine di Kaspersky, il numero di dipendenti che notificano tale sottrazione diminuisce col tempo.
Concludendo, proteggere le informazioni, che, come si sa, sono il vero “denaro” del cyber space, risulta molto più complicato se si considera quanto si stia diffondendo l’accesso a informazioni sensibili attraverso dispositivi mobili e smartphone. È molto complicato infatti conciliare le esigenze di mobilità con le esigenze di sicurezza, e spesso gli attacchi sono facilitati dalle errate configurazioni dei sistemi o dalla superficialità di chi li usa. Questo tipo di attenzioni è da considerarsi obbligatorio sia per difendersi da attacchi esterni sia da attacchi realizzati da persone interne alla struttura, che possono, per le più svariate ragioni, voler danneggiare, rubare o rivendere dati a cui non dovrebbero avere accesso o effettuare operazioni ancora più dannose. A livello aziendale è quindi indispensabile avere “regole” che disciplinino l’uso dei dispositivi mobili, sia aziendali sia personali, impedendo, ad esempio di collegarsi alle reti wireless libere e gratuite offerte dai locali commerciali, ristoranti o bar e di inserire dati aziendali sensibili durante la navigazione wireless non protetta (account bancari, password, credenziali aziendali).
Unica ricetta per non rischiare la perdita dei propri dati sensibili è di fare uno smart-use del proprio smartphone.
Facebook Comments