6 consigli per proteggere il tuo smartphone dagli hacker

Soltanto qualche giorno fa McAfee ha rilasciato il più recente Mobile Threat Report for 2019. Secondo le conclusioni di esperti e ricercatori di una delle aziende di sicurezza informatica leader nel mondo, vedremo un numero sempre maggiore di cosiddette app fake per smartphone e tablet Android nel corso di quest'anno. Secondo loro si è verificato un aumento di oltre il 650% nelle app fake tra giugno e dicembre 2018.

Le app fake, come una versione gratuita del gioco Fortnite, che ha riscosso un successo mondiale, ottengono l'accesso agli smartphone di tutti noi e in questo modo rubano le identità degli utenti, raccogliendo informazioni preziose come password bancarie, numeri di conto e codici pin.

Secondo McAfee, da giugno a settembre 2018 si è verificato un incremento del 200% nei cosiddetti Financial Trojan sugli smartphone. Queste app contengono dei trojan per rubare le credenziali finanziarie delle vittime e poter, quindi, entrare nei loro conti privati. Una volta all'interno del conto corrente bancario, l'hacker cerca di trasferire la maggior quantità di denaro possibile.

In alcuni casi, le informazioni raccolte tramite lo smartphone personale possono essere ancora più preziose: esso potrebbe infatti contenere le password o il token per accedere alle reti aziendali. A quel punto il problema comincia ad assumere altre proporzioni!

Dato che gli hacker hanno bisogno di backdoor aperte per entrare in qualsiasi sistema o rete, trovare una falla di sicurezza hackerando lo smartphone di un dipendente è uno dei modi migliori per ottenere l'accesso all'interno di un'azienda. Una volta che gli hacker sono entrati in una rete, l'azienda risulta priva di protezione.

A quel punto è solo questione di minuti: gli hacker ruberanno dati sensibili (per esempio nuovi progetti o prodotti da vendere al miglior offerente) ed eseguiranno software dannosi come i ransomware, che cripteranno dati preziosi o nasconderanno un cosiddetto software cryptominer.

Una volta che un sistema è aperto, l'hacker può fare qualsiasi cosa. Pertanto è essenziale proteggere la tua azienda da questo rischio. Di seguito ti diamo alcuni suggerimenti.

Come evitare che vengano hackerati gli smartphone o i dispositivi mobili dei dipendenti

1. I dipendenti dovrebbero essere consapevoli che i loro dispositivi mobili sono una perfetta porta di ingresso nella rete aziendale. I training sulla sicurezza dei dati per l'utilizzo di telefoni e dispositivi mobili, sia privati che aziendali, dovrebbero essere obbligatori per i dipendenti.

2. L'azienda dovrebbe stabilire regole per l'utilizzo sul lavoro di smartphone e dispositivi mobili privati e in particolare per l'accesso alla rete aziendale.

3. Dovrebbe esserci una separazione netta tra utilizzo privato e utilizzo lavorativo. Le app che sono usate negli ambienti business non dovrebbero mai essere utilizzate a scopo privato. In particolare, dovrebbe essere vietato caricare o scaricare dati attraverso le app utilizzate privatamente. È una buona idea gestire a livello centrale tutte le app che sono disponibili su uno smartphone o tablet aziendale (la cosiddetta Mobile Application Management, MAM).

4. Tutti gli smartphone e i dispositivi mobili utilizzati all'interno di un'azienda dovrebbero essere gestiti mediante un'amministrazione centralizzata (nota anche come Mobile Device Management). Con una gestione del genere, l'amministratore è per esempio in grado di implementare tutte le patch e le funzionalità di sicurezza necessarie con un solo lancio.

In breve: è in grado di gestire tutti i dispositivi dalla propria scrivania. Smartphone o tablet che vengono utilizzati dagli ospiti dovrebbero poter accedere alla rete da una guest area speciale e protetta, che offra un accesso a una rete internet limitata con monitoraggio in tempo reale, in modo che nessun malware possa diffondersi in azienda.

5. Tutti i dispositivi mobili utilizzati da un'azienda dovrebbero quindi essere registrati in un inventario che dovrebbe essere sempre aggiornato. Inoltre, ci dovrebbe essere una (breve) documentazione relativa a ogni prodotto e al suo stato attuale (produttore e tipo di prodotto, SO, aggiornamenti e livelli di patch che sono stati installati, numero di telefono e altre informazioni specifiche del dispositivo). Infine: la cessione del dispositivo a un dipendente devrobbe prevedere la firma di un documento.

6. Se lo smartphone o il dispositivo mobile vengono utilizzati per entrambi gli scopi, privato e aziendale, per esempio nel caso di manager di alto livello, devono essere implementate delle misure speciali. Ci sono diverse possibilità per gestire l'utilizzo: una è quella di fornire una speciale app container. Se ne trovano diverse sul mercato come AirWatch Container di VMware, Sophos Mobile Control 6.0 o Container Station per QNAP NAS. In un'app container, il software può lavorare tranquillamente, ma non è in grado di connettersi a link esterni senza preavviso. Inoltre, evita che i dati sensibili vengano copiati o trasferiti tramite funzionalità di copia e incolla a un'app privata e non sicura come WhatsApp. Se tale app container non è disponibile, app e programmi che non devono essere utilizzati da un dipendente dovrebbero essere disponibili solo previa autenticazione e quindi autorizzati dall'amministratore. I download e il trasferimento di dati dovrebbero essere sempre effettuati tramite VPN. Oppure, e si tratta del modo più sicuro, le app che non sono consentite dovrebbero essere bloccate senza possibilità di accesso.

Ricorda però che anche se prendi in considerazione i nostri 6 suggerimenti, non devi pensare di essere sempre protetto o al sicuro dagli attacchi informatici rivolti alla tua azienda. Non sarà mai così, perché gli hacker, indipendentemente dal motivo per cui attaccano, cercheranno continuamente il modo per scovare un loophole nella rete di un'azienda. Quindi, se sei vittima di un attacco, informa le autorità locali.

Se hai necessità di recupero dei dati – per esempio in un caso di Ransomware – contatta un fornitore professionista di servizi di recupero dati come Ontrack Data Recovery.