CLEARWATER, Fla. (Comunicato stampa - 10 ottobre 2011) - L'esperto di sicurezza IT Stu Sjouwerman, fondatore e CEO della società Internet Security Awareness Training (ISAT) KnowBe4, avverte che le piccole e medie imprese (PMI) rischiano di trovarsi a proprio agio per perdite di cyberheist legate al phishing quando le istituzioni finanziarie negano la responsabilità per le incursioni. Sjouwerman (pronunciato "shower-man") ha citato un recente articolo di Bloomberg secondo cui i criminali informatici stanno saccheggiando fino a $ 1 miliardo all'anno da conti bancari di piccole e medie dimensioni, mentre le banche accusano le vittime di consentire l'accesso non autorizzato.
$config[code] not found"Molti criminali informatici operano da paesi stranieri e legano fondi rubati all'estero. Ciò rende difficile per le autorità rintracciare e perseguire i ladri, quindi ci sono poche possibilità di recuperare i soldi ", ha spiegato Sjouwerman. "E poiché la FDIC non offre la stessa protezione per gli account aziendali come per i conti personali, ciò lascia una delle due parti a coprire le perdite: la banca o il proprietario dell'azienda. Quindi non c'è da meravigliarsi se le banche accusano le PMI di permettere ai criminali informatici di infiltrarsi nelle loro reti in primo luogo. "
Sjouwerman ha osservato che i criminali informatici utilizzano spesso e-mail di phishing e altre tattiche simili per indurre i dipendenti a fare clic su un collegamento, che quindi scarica automaticamente malware nel sistema dell'utente. "Usando logger e altri strumenti, i cyberhieve sono in grado di rubare le informazioni e le password dell'account mentre l'utente rimane completamente all'oscuro della violazione della rete. Gli hacker quindi avviano una serie di bonifici tramite le credenziali del proprietario dell'attività commerciale. In molti casi, quando la banca o l'azienda notano un'attività insolita, i soldi sono finiti da tempo e non sono rintracciabili. Di conseguenza, la banca danneggia la PMI per consentire ai criminali informatici di rubare le credenziali bancarie online della società, mentre la PMI accusa la banca di avere misure di individuazione e antifurto insufficienti. "
Recenti cause giudiziarie hanno dimostrato che il verdetto può andare in entrambi i modi. Come descritto dettagliatamente nei verbali di tribunale, un attacco di phishing ha consentito ai criminali informatici di accedere agli account aziendali di Experi-Metal, Inc., presso Comerica Bank, per culminare in 97 ordini di bonifico che ammontavano a più di $ 1,9 milioni, oltre a uno scoperto di $ 5 milioni. Comerica è stata in grado di recuperare tutti tranne $ 561,399 dei fondi rubati, che Experi-Metal ha perseguito in una causa contro la banca (Experi-Metal, Inc., contro Comerica Bank). Nella sua opinione di banco, il giudice ha ritenuto la Comerica responsabile per non aver rilevato o arrestato l'attività fraudolenta in precedenza e per aver concesso uno scoperto di $ 5 milioni su quello che di solito è un conto a saldo zero.
Tuttavia, in un altro caso simile, la corte si è pronunciata a favore della banca. Secondo i documenti del tribunale, Patco Construction è stata vittima di un cyberheist da $ 588,851, che sembrava derivare da un trojan Zeus / Zbot che permetteva ai criminali informatici di rubare le credenziali bancarie online dell'azienda. L'istituto finanziario di Patco, Ocean Bank, è stato in grado di bloccare alcuni dei trasferimenti, ma più di $ 345.000 non sono stati recuperati, portando Patco a citare in giudizio la banca per la perdita (Patco Construction Company, Inc., v. People United Bank d / b / a / Ocean Bank). Dopo aver soppesato gli argomenti presentati da entrambe le parti, il giudice confermò la decisione raccomandata dal magistrato, che doveva concedere la mozione della banca per un giudizio sommario e negare il movimento incrociato di Patco.
"Poiché le imprese non possono fare affidamento sulla protezione FDIC o sui precedenti dei casi per garantire il rimborso dei fondi rubati, spetta alle PMI impedire ai criminali informatici di accedere ai loro sistemi e rubare le loro credenziali bancarie", ha affermato Sjouwerman. "Molti proprietari di aziende sono convinti che il loro software anti-virus e il team IT siano una protezione sufficiente contro gli hacker, ma il fatto è che i criminali informatici possono ignorare tutte queste misure attirando un singolo dipendente a fare clic su un link in un'email di phishing".
Sjouwerman afferma che il modo migliore per contrastare questo debole anello è attraverso la formazione sulla sicurezza in Internet. "KnowBe4 ha condotto uno studio di caso tra molti dei nostri clienti e ha confrontato la percentuale di dipendenti che erano Phish-prone ™ - o suscettibili di tentativi di phishing - sia prima che dopo aver implementato il nostro corso sulla consapevolezza della sicurezza in Internet. Abbiamo riscontrato che tra il 26% e il 45% dei dipendenti erano inclini ai Phish prima dell'allenamento; tuttavia, il totale complessivo è stato immediatamente ridotto del 75% dopo la prima sessione di allenamento. Dopo quattro settimane di test aggiuntivi e riqualificazione, la percentuale di Phish era vicina o prossima a zero in ogni azienda. Quando i tuoi dipendenti sanno a cosa fare attenzione, hanno meno probabilità di cadere vittime di tattiche di phishing. Questo può aiutare a tenere i criminali informatici fuori dalla tua rete e dai conti bancari, e ti aiuta a tenerti fuori dai tribunali. "
KnowBe4 invita le PMI a trarre vantaggio da un test di sicurezza phishing gratuito, che rivelerà quanti dipendenti sono attualmente predisposti ai Phish. La società offre anche una serie di risorse gratuite per la formazione sulla criminalità informatica sul suo sito web. Coloro che cercano ulteriori consigli sulla lotta contro gli attacchi informatici troveranno una grande quantità di informazioni nel libro di Sjouwerman, Cyberheist: la più grande minaccia finanziaria che affronta le imprese americane dopo il crollo del 2008.
Per ulteriori dettagli sui servizi di formazione sulla sicurezza in Internet di KnowBe4, visitare http://www.knowbe4.com. Per una panoramica del Cyberheist o per ordinare la versione tascabile o e-book, visitare
Informazioni su Stu Sjouwerman e KnowBe4
Stu Sjouwerman è il fondatore e CEO di KnowBe4, LLC, che offre Internet Security Awareness Training (ISAT) basato sul web alle piccole e medie imprese. Esperto di sicurezza dei dati con oltre 30 anni nel settore IT, Sjouwerman è stato il co-fondatore di Sunbelt Software, una pluripremiata società di software anti-malware che lui e il suo partner hanno venduto a GFI Software nel 2010. Rendendosi conto che l'elemento umano la sicurezza è stata seriamente trascurata, Sjouwerman ha deciso di aiutare gli imprenditori ad affrontare le tattiche del crimine informatico attraverso una formazione avanzata sulla consapevolezza della sicurezza in Internet. È autore di quattro libri, tra cui il cyberheist: la più grande minaccia finanziaria che affronta le imprese americane dopo il crollo del 2008.