polizze vita

OPEN FUTURE : NEW PRIVACY RULES from Economist

Mentre il 2018 ha portato cambiamenti paradigmatici alla legge sulla privacy americana, in Europa ha introdotto il regolamento generale sulla protezione dei dati (GDPR). Il significato del GDPR va oltre la fastidiosa raffica di notifiche sulla privacy che è comparsa a maggio. Stabilisce diritti di controllo e trasparenza.

Ma il vero impatto del GDPR sarà nelle aziende, dietro le quinte. Sostenuto da sanzioni significative per le violazioni (fino al 4% delle entrate annuali mondiali), il GDPR impone una serie di obblighi alle società, indipendentemente dal fatto che le persone invocano i loro diritti alla privacy. Richiede alle aziende di articolare motivi legittimi per la raccolta dei dati; raccogliere solo i dati di cui hanno bisogno; progettare nuovi prodotti in modo da proteggere i diritti individuali; e a volte nominare funzionari per la privacy e condurre valutazioni dell’impatto sulla privacy .

……

In una sentenza della Suprema Corte e’ stato riconosciuto che quelli che prima erano dati non sensibili – una registrazione dei  viaggi attraverso luoghi pubblici – nell’era dei big data -si trasformano  in informazioni sensibili. Quando vengono raccolti in massa e analizzati, possono  rivelare la religione, i problemi di salute, le preferenze sessuali e le affiliazioni politiche di una persona. La Corte ha quindi riconosciuto che i danni alla privacy possono innescare notevoli  danni connessi alla violazione di privacy.

Parziale traduzione da ECONOMIST – OPEN FUTURE 16/08/2018 “Toward defining privacy expectations in an age of oversharing : our digital data deserves protection, writes Margot Kaminski, a law professor”  https://www.economist.com/open-future/2018/08/16/toward-defining-privacy-expectations-in-an-age-of-oversharing

20180811_OPP510

sicurezza

GDPR : come rispondere a una violazione dei dati personali (data/breach)

Nell’ambito del GDPR  (regolamento europeo sulla protezione dei dati personali UE 679/2016), un’azienda deve segnalare una violazione dei dati personali (“data breach”) all’autorità di vigilanza entro 72 ore dalla scoperta del fatto.

blue screen of death in silver black laptop
Photo by Markus Spiske temporausch.com on Pexels.com

Potresti pensare che sia una scadenza incredibilmente breve, ma non temere, non ci si aspetta che tu fornisca un rapporto completo in questa fase. Il processo consiste semplicemente nel garantire che la tua azienda sia consapevole della violazione tempestivamente e che si assuma la responsabilità.

Quali informazioni hai bisogno di fornire dopo una violazione dei dati?

Ci sono sei passi da seguire quando raccogli i dettagli della tua violazione privacy o “data breach” 

1.Analisi della situazione: fornire il maggior contesto possibile. Questo dovrebbe includere il danno iniziale (cosa è successo), come ha influito sulla tua organizzazione (cosa è andato storto) e cosa lo ha causato (come è successo).

2.Valutazione dei dati interessati: provare ad accertare le categorie ed il numero di dati personali coinvolti nel “data breach”.

3.Descrivere l’impatto: descrivere le conseguenze della violazione per le parti interessate. Ciò dipenderà dalle informazioni che sono state compromesse.

4.Segnalazione sulla formazione e sensibilizzazione del personale: il personale dipendente dell’azienda coinvolto nella violazione dei dati personali (data breach) ha ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Si devono fornire dettagli sul programma di formazione del personale.

5.Misure preventive e intervento: quali misure aveva adottato l’azienda prima della violazione dei dati (Data Breach) per prevenire incidenti come questo? Quali passi ha intrapreso, o ha intenzione di intraprendere, per mitigare il danno?

6.Supervisione: le autorità di vigilanza richiedono alle organizzazioni di indicare il nome del loro DPO (data protection officer , in italiano RPD responsabile della protezione dei dati) o della persona responsabile della protezione dei dati nella loro organizzazione.

Source : Niall McCreanor – IT GOVERNANCE

abstract business code coder
Photo by Pixabay on Pexels.com
sicurezza

GDPR : come condividere file online in modo sicuro – TrackMyRisks per Clienti e Fornitori

Tutte le aziende ed i professionisti hanno quotidianamente un numero enorme di documenti che viene inviato come allegati di posta elettronica, con il rischio crescente che tali documenti siano intercettati e spiati dal “cyber crime” e tale attivita’ non conforme a Regolamento Europeo sul Trattamento dei dati personali (GDPR EU 679/2016), sia sanzionata dalle Autorità. In particolare l’art. 32* del GDPR pone molta importanza sulla sicurezza del trattamento dati, come per l’invio di file a clienti, fornitori o dipendenti. Per un trattamento conforme al GDPR, i dati particolari devono essere condivisi in modo cifrato, utilizzando sistemi per criptarne il loro contenuto.

Spesso si usa l’email per condividere file, ma è il sistema più a rischio in quanto una email su 131 contiene nell’allegato file un malware o virus, secondo Symantec’s Internet Security Threat Report 2017.

Gli allegati alle email, però, non sono l’unico sistema per trasmettere documenti: un altro modo è quello di condividere i documenti attraverso una piattaforma sicura di file sharing come TrackMyRisks – che offre totale tracciabilità  dei documenti che e’ cosi importante sia per la gestione del rischio e la conformità al GDPR – predisposta per la Golinucci srl e i suoi clienti in ambito di consulenza GDPR ed offerta gratuitamente per gestire fino ad un massimo di 15 documenti per volta, e a pagamento per altre quantita’.

Ovviamente, potrete attribuire una data di scadenza ad ogni documento o semplicemente eliminarlo una volta raggiunta la condivisione, così da poter avere sempre spazio disponibile per nuovi documenti.

Attraverso l’elevato grado di cifratura dei dati, oltre al fatto che non si corre il rischio di essere intercettati nell’invio del file, TrackMyRisks Vi aiuta ad aumentare il vostro grado di conformità al GDPR in tutta sicurezza.**

A differenza di altri sistemi di “docs-sharing” , tutti i dati memorizzati in TrackMyRisks sono crittografati durante il caricamento ( “upload”), il “download” e mentre sono archiviati online.

Come registrarsi a TrackMyRisks   https://trackmyrisks.com : basta accettare l’invito che arriverà per email dall’oggetto “Invitation to join TrackMyRisks account”, cliccando su “Accept invitation” ed indicando in seguito nome, cognome, email e password.

Una volta registrati, potrete condividere file con la Golinucci, ma anche file con altre persone o aziende che noi non vedremo, essendo in un’area riservata a voi dedicata.

Come caricare e condividere file con altri soggetti: dalla piattaforma DASHBOARD cliccare su + nell’area DOCUMENTS, scegliere ed allegare il file cliccando su BROWSE, inserendo poi il NOME, il periodo di validità (dal gg/mm/aaaa al gg/mm/aaaa) ed eventualmente una descrizione che può essere utile come messaggio al vostro interlocutore.

Per condividere il file basta cliccare sui tre punti “…” che si trovano alla destra della riga dove appare il file dell’area DOCUMENTS, poi scegliere SHARE, selezionare il documento da condividere nella modalità EDIT (STEP 1) ed inserire l’indirizzo email di uno o più soggetti con cui volete condividere il file (STEP 2).

Così si rispetta il requisito dell’art. 32 del GDPR e si condividono file in modo sicuro e conforme.

*Art 32 GDPR EU 679/2016

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

** MISURE DI SICUREZZA di TrackMyRisks

Le misure di sicurezza di TrackMyRisks sono:                                                                                            – Ogni utente può vedere solo i documenti che sono stati condivisi con lui                                           – Tutti i dati sono criptati                                                                                                                               – Tutti i file sono archiviati in Europa                                                                                                            – Tutti i dati sono archiviati attraverso Amazon’s S3 storage e non sono replicati in altri devices

 LIVELLO DI CRITTOGRAFIA di TrackMyRisks

I dati sono criptati criptati attraverso l’algoritmo AES 256-bit all’interno del database e a livello di archiviazione, così come durante il trasporto in HTTPS (TLS).

Per saperne di piu’ sull’utiizzo del sistema di “docs-sharing” TrackMyRisks : tel. 0547 22351 , dpo@golinucci.it

sicurezza

SIM SWAP FRAUD : che cosa e’ la truffa di SCAMBIO DI SIM e come proteggersi?

Tra le truffe informatiche , nel mondo del “cyber risk” alcune minacciano direttamente il denaro contenuto nel conto corrente bancario del malcapitato, come le “sim swap fraud” o la truffa di scambio di SIM : è una truffa diversa dal “phising” in cui i truffatori ti ingannano a consegnare i tuoi dati bancari e le password tramite un link a un sito Web ingannevole.

E’ una forma relativamente nuova e sofisticata di frode che consente agli hacker di accedere a conti bancari, numeri di carte di credito e altri dati personali. È difficile da individuare e persino più difficile annullare il danno risultante.

I truffatori si rivolgono al tuo gestore di telefonia mobile per indurlo a scambiare il tuo numero di telefono su una carta controllata dagli hacker: è una truffa spaventosa e dall’elevato rischio di perdita finanziaria, ma ci sono cose che puoi fare per proteggere il tuo conto corrente bancario ed in seguito trovi i passi da compiere se ritieni che i tuoi dati teefonici siano finiti nele mani sbagliate.

Cos’è una truffa di scambio di sim  (sim swap fraud)?

E’ una frode del tipo “furto di identità “dove i truffatori utilizzano questo tipo di truffa quando ad. esempio, hanno già accesso al tuo sistema bancario online, perche’ ad esempio tramite uno “spyware” inserito nel tuo computer , hanno acquisito a user e la password d’accesso alla tua home-banking , ma non possono trasferire alcun denaro dall’account, perché le banche utilizzano spesso l’autenticazione in due passaggi , per cui e’ richiesto digitare il codice OTP (one time password) ricevuto come notifica sul tuo smartphone.

Questo è normalmente un codice univoco che viene inviato al numero di telefono nominato, il numero che hai scelto di associare alla tua banca, in modo da poterlo inserire nel tuo portale di home banking online per completare la transazione.

Per ottenere l’accesso al tuo telefono, i truffatori convincono il tuo gestore di telefonia mobile a passare il tuo numero su una nuova sim card controllata dagli hacker : questi conoscono il nome del tuo gestore di telefonia mobile, perché possono vedere le fatture che paghi dal tuo conto online.

Diversi gestori di telefonia richiedono informazioni aggiuntive per effettuare lo scambio, ma alcuni richiedono solo il numero di telefono e il numero di serie della nuova sim.

Possono essere necessarie fino a 24 ore per spostare il numero da una sim a un’altra, ma può essere molto più veloce.

I truffatori quindi intercettano i tuoi messaggi e utilizzano il codice per trasferire illegalmente i tuoi soldi dal tuo account,ma normalmente, le banche possono rilevare l’attività fraudolenta e bloccarla.

Come posso proteggermi?

Molti provider di rete hanno informazioni su come evitare di essere vittima di questa frode disponibile online:assicurati di avere una password unica e sicura configurata con il tuo account di telefonia mobile, cambiandola regolarmente con una nuova, mai usata in precedenza.

Ciò rende più difficile per i truffatori mantenere i dettagli di accesso, che in genere riguardano solo le banche che rispondono su SMS: vale la pena scoprire se la tua banca ti consente di utilizzare autenticazioni a due fattori tramite app e dispositivi mobili.

Stai attento se noti che il tuo telefono ha perso il segnale inaspettatamente e contatta il tuo operatore di rete il prima possibile.

Sappi anche che se ricevi un sacco di chiamate fastidiose, questa potrebbe essere una tattica usata dai truffatori per farti spegnere il telefono, il che semplifica lo scambio di sim.

 

Una volta che i criminali  hanno raccolto abbastanza informazioni su un soggetto, creano una falsa identità. In primo luogo, chiamano il fornitore del cellulare della vittima e sostengono che la sua carta SIM è stata persa o danneggiata. Quindi, chiedono al rappresentante del servizio clienti di attivare una carta SIM o un numero in loro possesso.

La maggior parte dei provider di servizi di telefonia mobile non accetta tali richieste a meno che i chiamanti rispondano alle domande di sicurezza, ma i truffatori di SIM vengono preparati, utilizzando i dati personali raccolti attraverso il Web per sconfiggere i controlli di sicurezza del vettore senza generare allarmi.

Una volta ottenuto il libero accesso al numero di telefono di una vittima, i criminali prendono di mira i conti bancari.

“L’aggressore può leggere i tuoi messaggi SMS e vedere con chi stai chattando e che cosa,” ha detto Blaich. “Molte banche ti invieranno un codice per accedere a un account o reimpostare una password per un telefono cellulare tramite SMS, il che significa che un utente malintenzionato che commette frodi con SIM può richiedere e ricevere il codice e accedere alla tua banca.”

Segni di SIM SWAP FRAUD

È difficile rilevare le frodi prima che ciò accada. La maggior parte delle vittime scopre di essere stata compromessa quando cerca di effettuare una chiamata o inviare un messaggio. Una volta che gli hacker disattivano una SIM, i messaggi e le chiamate non verranno eseguiti.

Source : THE SUN

sicurezza

GDPR: come inviare informazioni sensibili via e-mail 

Le organizzazioni devono sempre preoccuparsi della sicurezza delle informazioni che inviano via e-mail. Non si puo’ mai essere sicuro di chi abbia accesso ai tuoi messaggi, e ognuno di noi è probabilmente stato colpevole almeno una volta di aver inviato un messaggio alla persona sbagliata o di aver cliccato accidentalmente sul tasto  “rispondi a tutti”.

Il tuo messaggio consegnato in errore potrebbe aver contenuto solo chiacchiere mondane e ti ha lasciato imbarazzato. Tuttavia, se la tua e-mail conteneva informazioni su dati sensibili ( http://www.iotiassicuro.it/files/GDPR-GOLINUCCI-1.pdf ) , questo tipo di errore potrebbe essere una violazione dei dati e una violazione del GDPR dell’UE (Regolamento generale sulla protezione dei dati).

Il problema con l’email

Per quanto sia comodo inviare email , la spedizione di documenti con posta elettronica non offre molto in termini di sicurezza. Gli esperti spesso confrontano l’invio di e-mail con il postare lettere: si compone un messaggio e un indirizzo di consegna, e poi lo si consegna a qualcun altro da consegnare. Confidiamo che finirà nella giusta destinazione e che nessuno la leggerà lungo la strada, ma non possiamo mai essere certi.

Questi problemi sono la ragione per cui molte organizzazioni usano ancora i fax. La tecnologia potrebbe essere incredibilmente obsoleta, ma è molto più sicura della posta elettronica. Tuttavia, questa soluzione funziona solo se tu e la persona con cui avete a che fare avete ancora ancora i fax, il che sta diventando sempre meno probabile.

Potresti considerare l’utilizzo di un fax se lo fai già, ma non raccomanderemmo la sua ampia adozione. Invece, invitiamo le organizzazioni a guardare a nuove tecnologie compatibili con i loro processi esistenti.

Crittografia

Il GDPR non raccomanda molte tecnologie specifiche (per evitare di diventare ridondante quando emerge una nuova tecnologia), ma fa più riferimenti alla crittografia. Questo è il processo di blocco delle informazioni in modo che solo gli utenti autorizzati possano accedervi.

Tuttavia, la tecnologia si è ampiamente dimostrata poco maneggevole per la posta elettronica. e c’è una soluzione alternativa per condividere documenti senza allegarli  a posta elettronica.

La nuvola

Il cloud è un’opzione molto migliore per condividere le informazioni sensibili (“doc-sharing”). Le persone possono caricare gli allegati sul Cloud e quindi inviare ai destinatari un collegamento. Quando l’informazione non è più necessaria, può essere cancellata.

Quest’ultimo passaggio è essenziale: nonostante ciò che molti pensano, il Cloud non è una fortezza impenetrabile che mantiene automaticamente tutte le tue informazioni al sicuro. È semplicemente un server gestito da una terza parte che si assume la responsabilità di mantenerlo sicuro. Tuttavia, in base al GDPR, sia la tua organizzazione che il fornitore di servizi sono corresponsabili in caso di “data breach” ( violazione privacy) , quindi è essenziale rimuovere le informazioni il più rapidamente possibile.

source : Luke Irwin  – IT GOVERNANCE UK

sicurezza

KINGPIN : la vera storia della rapina digitale piu’ incredibile del secolo

Tra le letture di quest’estate segnaliamo il “cyberthriller” di Kevin Poulsen – Hoepli Editore –  KINGPIN : la vera storia della rapina digitale piu’ incredibile del secolo , una storia vera che fa conoscere come il “cyber crime” rappresenti una delle maggiori minacce dei giorni nostri. Qui sotto una breve descrizione del thriller e parte della prefazione di Raoul “Nobody” Chiesa Presidente, Security Brokers ScpA.

DESCRIZIONE L’ex hacker Kevin Poulsen si è costruito negli ultimi dieci anni una reputazione invidiabile come uno dei massimi giornalisti investigativi nel campo della criminalità digitale. In Kingpin riversa per la prima volta in forma di libro una conoscenza e un’esperienza diretta impareggiabili, consegnandoci la storia avvincente di un gioco del gatto col topo e una panoramica senza precedenti del nuovo e inquietante crimine organizzato del ventunesimo secolo.

PREFAZIONE “Questo libro non è un romanzo, come lo sono invece molti altri. È una storia vera, che racconta di ragazzi e di uomini realmente esistiti, personaggi con ruoli diversi nell’immenso ingranaggio del cybercrime, provenienti dagli Stati Uniti, dal Canada, dal Regno Unito, dalla Turchia, dall’Europa dell’Est, dallo Sri Lanka… Personaggi che hanno fatto delle scelte, decidendo di percorrere la “via più breve” sino a diventare i Men at the Top, gli uomini in cima alla piramide, i Kingpin del crimine digitale. Il cybercrime è un problema globale che impatta su tutto il sistema economico e sociale di ogni nazione del mondo, dalle istituzioni finanziarie al libero mercato (elettronico) e le cui vere vittime finali sono i cittadini, gli utenti.
 Oggigiorno senza internet non possiamo fare nulla: gli aerei e le stanze d’albergo che prenotiamo, gli acquisti che facciamo, le foto che pubblichiamo e le ore passate nelle chat e sui social network, ma anche le offerte di lavoro e le relazioni personali, tutto questo si svolge attraverso uno strumento informatico (Pc, tablet, smartphone che esso sia) e la Rete delle reti. Kingpin svela, al pubblico generalista così come agli appassionati e agli esperti del settore, un sottobosco che si snoda per tutto il mondo, un gergo e un modo di commettere crimini spesso sconosciuto ai più. Ritengo che così come la storia di Frank Abbagnale jr. (il protagonista del film Prova a prendermi, interpretato da Leonardo Di Caprio) abbia aperto gli occhi ai consumatori di tutto il mondo –in prima linea quelli nordamericani –sul tema del furto d’identità, allo stesso modo avverrà per i navigatori italiani con Kingpin. Il cybercrime è in continua evoluzione, non si ferma un attimo; ogni giorno noi esperti del settore rileviamo nuove tipologie di attacco, nuovi trojan bancari, nuove botnet.* Nel contempo il cybercrime si muove geograficamente, si sposta, si inserisce in nazioni e in tessuti sociali prima esenti da questa forma di criminalità.
Il cybercrime è senza ombra di dubbio il fenomeno criminale più pericoloso del nostro tempo, in grado di rovinare la vita alle persone, ma allo stesso tempo è il più sottovalutato. Viviamo in un’era digitale, in un mondo digitale, e quasi senza che ce ne accorgiamo le nostre vite dipendono interamente dai sistemi informatici e dalle reti di trasmissione dati. È essenziale che gli utenti e i cittadini, nei vari Paesi del mondo così come in Italia, capiscano di che cosa stiamo parlando, apprendano le tecniche utilizzate dai cybercriminali per frodarli e comprendano gli errori che commettono quando navigano in Rete.
cybercrime è uno dei quattro crimini transnazionali emergenti, insieme al traffico d’armi, di droga e di esseri umani.


Questo libro vi farà entrare in un mondo sommerso, in quel digital underground di cui spesso leggiamo sui giornali, ma del quale non è sempre così semplice comprendere le logiche; vi aprirà gli occhi, certamente vi farà pensare, vi aiuterà a riflettere. Fatene buon uso e, come diceva Sun Tzu duemila anni fa, “conoscete il vostro nemico”, per non risultare sconfitti in questa guerra elettronica dell’economia sotterranea. In ultimo, un commento su Max Vision, il protagonista principale di questa storia. Come ho scritto, Max è uno dei cervelli migliori che abbia mai “incontrato”: ha purtroppo scelto la strada sbagliata, non una volta sola ma diverse, e ha oltrepassato un punto di non ritorno. Voglio però dire a tutte le giovani e brillanti menti italiane, ai nostrani “smanettoni”, che il cybercrime non paga. Se avete la passione per l’hacking, studiate, applicatevi nel mondo della sicurezza informatica e fatene una professione, leale, legale e ben pagata. Ma non cadete nell’errore di oltrepassare quella sottile linea che separa il mondo dei white hat da quello dei black hat: non ne vale davvero la pena.”  Raoul “Nobody” Chiesa Presidente, Security Brokers ScpA

assicurazioni, sicurezza

Come individuare un attacco di phishing

Il “phishing” è una delle più grandi minacce  per gli individui e le organizzazioni: sappiamo  cosa sono, che aspetto hanno, e dove cercarli?

Nel senso più ampio, il “phishing” è qualsiasi tentativo di porsi come una fonte affidabile al fine di ottenere dalla gente a consegnare informazioni personali per compiere frodi online. Il phishing di solito assume la forma di messaggi di massa inviati a centinaia o migliaia di persone, oppure i criminali possono utilizzare altre forme di comunicazione o creare attacchi più sfumati.

Abbiamo elencato le forme più comuni di phishing, insieme ad esempi per aiutarvi a individuare questi attacchi.

Email phishing

La maggior parte delle persone sono almeno vagamente consapevoli cosa sono gli attacchi di “email phishing” . Sono i messaggi mal scritti e inattesi che cercano di spaventarvi:forse il vostro conto corrente è stato violato, oppure è necessario confermare un pagamento con carta di credito..

A prescindere dalla forma che i messaggi prendono, contengono sempre una richiesta di informazioni, un allegato da aprire (spesso un file. zip) o un link da cliccare.

Se una e-mail non è indirizzata a voi personalmente, contiene allegati sospetti o link o viene inviata da un indirizzo email fasullo, è probabilmente una truffa di phishing.

Spear phishing

Ci sono altri due, più sofisticati, tipi di phishing che coinvolgono email. Il primo, Spear phishing, descrive le email dannose inviate a una persona specifica. I criminali che fanno questo avranno già alcuni o tutti i seguenti dati : il nome della vittima, il luogo di lavoro, il titolo lavorativo, l’indirizzo email e le informazioni specifiche sul  lavoro.

Una delle violazioni dei dati più famosi nella storia recente, l’attacco hacker al Comitato nazionale democratico, è stato fatto con l’aiuto di Spear phishing. Il primo attacco ha inviato e-mail contenenti allegati dannosi a più di 1.000 indirizzi e-mail. Il suo successo ha portato a un’altra campagna che ha  imbrogliato  i membri del comitato a condividere le loro password.

Whaling (Caccia alla balena)

Il secondo genere di phishing , denominato “caccia alla balena” è ancora più mirato, prendendo a riferimento le figure apicali di un’azienda. Sebbene l’obiettivo finale della caccia alle balene sia lo stesso di qualsiasi altro tipo di attacco di phishing, la tecnica tende ad essere molto più sottile. Trucchi come link falsi e URL dannosi non sono utili in questo caso, poiché i criminali stanno tentando di imitare il CEO o altra figura decisionale.
Le truffe che coinvolgono false dichiarazioni dei redditi sono una varietà sempre più comune di “caccia alle balene”. I moduli fiscali sono molto apprezzati dai criminali perché contengono una serie di informazioni utili: nomi, indirizzi, numeri di previdenza sociale e informazioni sul conto bancario.


Smishing e vishing

Sia con l’emissione di annunci che con il vishing, i telefoni sostituiscono le e-mail come metodo di comunicazione. Lo smishing coinvolge i criminali che inviano messaggi di testo (il cui contenuto è molto simile a quello del phishing di posta elettronica), e il vishing implica una conversazione telefonica.
Una comune truffa di vishing  riguarda un criminale che si atteggia a un investigatore di frodi (dalla società di carte di credito  o dalla banca) che dice alla vittima che il suo conto è stato violato. Il criminale chiederà quindi alla vittima di fornire i dettagli della carta di pagamento per verificare la propria identità o trasferire denaro in un conto “sicuro” , quello de criminale.

Social media phishing

Un vettore di attacco relativamente nuovo, i social media offrono una serie di modi in cui i criminali possono ingannare le persone. URL falsi; siti web, post e tweet clonati; e l’instant messaging (che è essenzialmente uguale a smishing) può essere utilizzato per convincere le persone a divulgare informazioni sensibili o a scaricare malware.
In alternativa, i criminali possono utilizzare i dati che le persone pubblicano volentieri sui social media per creare attacchi altamente mirati.
Nel 2016, migliaia di utenti di Facebook hanno ricevuto messaggi che dicevano che erano stati menzionati in un post. Il messaggio era stato avviato da criminali e scatenato un attacco a due stadi. Il primo stadio ha scaricato un Trojan contenente un’estensione del browser Chrome dannosa sul computer dell’utente.
Quando l’utente ha effettuato l’accesso a Facebook utilizzando il browser compromesso, il criminale è stato in grado di dirottare l’account dell’utente. Sono stati in grado di modificare le impostazioni sulla privacy, rubare dati e diffondere l’infezione tramite gli amici di Facebook della vittima.

 

I Vostri dipendenti sono l’ultima linea di difesa

Le aziende possono mitigare il rischio di phishing con mezzi tecnologici, come i filtri antispam, ma questi si sono sempre dimostrati inaffidabili. Le e-mail dannose continueranno a essere trasmesse regolarmente e, quando ciò accadrà, l’unica cosa che impedisce alla Vostra organizzazione di subire una violazione è la capacità dei dipendenti di rilevare la loro natura fraudolenta e di rispondere in modo appropriato.  

Fonte : IT Governance

Per conoscere maggiori dettagli sui corsi di formazione per i dipendenti relativi alla protezione privacy come richiesti da Regolamento Europeo sul Trattamento dei Dati GDPR 679/2016 e quali assicurazioni coprono l’azienda dai cyber-risks come il PHISING, GOLINUCCI srl è a vostra disposizione . email dpo@golinucci.it , telefono 0547 22351.

https://www.golinucci.it/prodotti-e-servizi/per-le-aziende/cyber-risk

https://www.golinucci.it/prodotti-e-servizi/sicurezza-e-privacy/gdpr-privacy-e-sicurezza