Articolo di Robert Holmes, VP of Products, Proofpoint
L’email rimane il principale canale di comunicazione per le aziende e quello preferito dai singoli individui. Ma ovunque vadano le persone, sono seguite dai cybercriminali, che continuano a sfruttare l’email per diffondere phishing, frodi, spam e altre truffe. Google, Yahoo! e Apple si sono organizzati per reagire, adottando nuovi requisiti di autenticazione delle email, pensati per impedire alle minacce di abusare della posta elettronica. Sebbene questo significativo cambiamento rappresenti un’ottima notizia per i consumatori, le aziende non hanno molto tempo per prepararsi: Google, Yahoo! e Apple inizieranno ad applicare i loro nuovi requisiti già nel primo trimestre del 2024.
A poche settimane dalla loro entrata in vigore, più di un quarto (27%) delle aziende Forbes Global 2000 non è pronto per questi nuovi requisiti. Questo può avere un impatto significativo sulla loro capacità di inviare comunicazioni via email ai clienti in modo tempestivo, mettendoli a rischio di frodi e truffe. Il report State of the Phish 2023 di Proofpoint ha rivelato che il 44% dei consumatori globali ritiene un’email sicura quando include un brand familiare.
L’analisi condotta da Proofpoint sulle aziende Forbes Global 2000 e la loro adozione di DMARC (Domain-based Message Authentication Reporting and Conformance), un protocollo di autenticazione ampiamente utilizzato che aiuta a garantire l’identità delle comunicazioni email e protegge i nomi di dominio dei siti da spoofing e uso improprio, ha mostrato i risultati seguenti:
- Più di un quarto (27%) delle aziende Global 2000 non dispone di alcun record DMARC, mostrandosi per questo completamente impreparati ai prossimi requisiti di autenticazione delle email.
- Ben il 69% non blocca attivamente le email fraudolente che raggiungono i propri clienti e meno di un terzo (31%) ha implementato il livello più alto di protezione per impedire che le email sospette raggiungano i clienti.
- Il 27% ha implementato una policy di monitoraggio, il che significa che le email non qualificate possono comunque arrivare nella casella di posta del destinatario; e solo il 15% ha implementato una policy di quarantena per indirizzare le email non qualificate alle cartelle spam/junk.
L’autenticazione delle email è una best practice da anni. DMARC è lo standard di riferimento per la protezione dall’impersonificazione dei messaggi di posta, una tecnica chiave utilizzata nelle frodi e negli attacchi di phishing. Tuttavia, come rivela l’analisi delle aziende Global 2000 di Proofpoint, molte aziende non l’hanno ancora implementata: con la scadenza ormai imminente, chi è in ritardo nell’adozione del DMARC dovrà recuperare in fretta se desidera continuare a inviare email ai clienti. Le aziende che non si adegueranno potrebbero vedere le loro email inviate direttamente nelle cartelle spam dei clienti o del tutto rifiutate.
L’implementazione, tuttavia, può essere impegnativa, in quanto richiede una serie di passaggi tecnici e manutenzione continua. Non tutte le aziende hanno le risorse o le conoscenze interne per soddisfare tempestivamente i requisiti. In questo senso, risulta fondamentale il ruolo dei consulenti di sicurezza per la verifica e la creazione dei registri DMARC, proprio nell’ottica di rispettare i nuovi requisiti imposti da Google, Yahoo! e Apple.
Come ogni strumento di sicurezza, DMARC non è una soluzione universale a ogni problema, ma aggiunge un ulteriore livello di protezione per rafforzare le difese generali di un’azienda e i nuovi requisiti di autenticazione della posta elettronica rappresentano per le aziende una grande opportunità di colmare le lacune di sicurezza in questo specifico ambito.
