Ti ricordi il 1998?

Se non sei troppo giovane ricorderai sicuramente con un pizzico di nostalgia le hit del periodo, l’esplosione del Nokia 5110 e Windows ’98.

Ma c’è un’altra cosa di cui avere nostalgia.

In quel periodo non eravamo sotto costante attacco.

“Dobbiamo mettere al sicuro i nostri PC. Scarichiamo l’ultimo antivirus free e assicuriamoci che i dipendenti nascondano i post-it con le password nel cassetto alla fine della giornata”.

Senza esagerazione questa era la strategia di cyber difesa implementata dalle piccole aziende (e non solo).
 
La situazione oggi

Tornando a oggi, l’ex capo della divisione cybercrime dell’Europol è dell’opinione che il cyber crimine è la più grande minaccia per le aziende di tutto il mondo.

Gli hacker lavorano instancabilmente per trovare nuove tecniche in grado di mettere in ginocchio le aziende.

L’ultima tendenza in fatto di cyber crimine sembra prevedere l’uso di email di phishing con delle fatture false.

L’allegato di queste email, in realtà contiene un trojan che si attiva nel momento in cui provi a scaricare “la fattura”.

Il malware in questione può essere di diverso tipo e può portare un cyber criminale a rubarti le credenziali, minare cripto valuta o cifrare tutti i tuoi dati.
 

Ne hai ricevuta almeno una negli ultimi mesi? Scommetto proprio di sì.

E finché capitano sotto mano a te, che sei cosciente dei pericoli che viaggiano via email, va ancora bene.

Ma se dovessero finire in mano ai tuoi clienti? Cosa pensi che succederebbe?
 
Come ti può aiutare MDaemon

Se utilizzi MDaemon sei già a buon punto.

Perché?

Con MDaemon disponi già di un po’ di strumenti di difesa e sicurezza integrati. Tuttavia, questo tipo di minacce si evolve a una velocità impressionante, per cui ti consiglio di non sederti sugli allori.

L’ultima versione di MDaemon, come le precedenti, include nuove funzionalità che migliorano la difesa, quindi assicurati di tenere sempre aggiornata la tua versione.

Oltre a questo, qui sotto ti faccio un elenco con alcune impostazioni e suggerimenti che dovresti implementare per assicurarti di fare il possibile per contrastare queste minacce.
 
Controlla più frequentemente gli aggiornamenti


Come ti dicevo prima, mantenere i sistemi di sicurezza aggiornati è fondamentale per mettere al sicuro gli utenti di posta elettronica.

Assicurati che sia Setup -> Event Scheduling -> Antivirus -> Scheduling, che Security -> ClamAV Plugin siano settati per eseguire aggiornamenti regolari (meglio se ogni ora).

Questo ti garantisce che le ultime firme di Cyren e Clam Antivirus (i motori antivirus utilizzati da MDaemon) siano sempre disponibili quando si analizza un’email.

Un consiglio: data la frequenza degli aggiornamenti degli antivirus, se ricevi troppe email con gli update, puoi abilitare l’opzione Security -> Antivirus -> Recipients -> ‘Only send antivirus update notification on failure’. In questo modo ti verranno notificati solo eventuali problemi durante gli aggiornamenti.

Contribuisci comunicando nuove minacce

Se per caso il sistema di sicurezza non dovesse intercettare un virus, puoi caricare l’allegato su https://www.virustotal.com/  per vedere se Cyren e Clam Antivirus hanno o meno delle firme per quel malware.

Se non ce l’hanno puoi passare l’informazione ai due motori antivirus segnandoli come “falsi negativi” a questi link:

Cyren
Clam AV
 
Controlla i vecchi messaggi

Se la firma di un virus non era disponibile quando hai ricevuto un’email, puoi sempre andare a ricontrollarla dopo un po’ di tempo: magari questa volta l’antivirus rileverà qualcosa di anomalo!

Per farlo vai in Security -> Mailbox Scanning -> Antivirus e abilita la scansione delle mailbox come qui sotto.

 
Puoi scegliere di far partire la scansione ogni notte o per il periodo di tempo che ritieni più opportuno.

Ti illustro come funziona il processo.

La scansione della mailbox viene registrata nel file \MDaemon\Logs\SPScanCT-YYYYMMDD.log . Quando viene rilevata una minaccia compare questo:






Come puoi vedere qui sopra, quando un’email viene considerata infetta viene spostata in quarantena con una specifica motivazione associata (l’header X-MDBadQueue-Reason), puoi anche chiedere di ricevere un alert con una panoramica dei messaggi in quarantena abilitando l’opzione che trovi in Queues -> Mail Queues/DSN.



I file non scansionabili (ad esempio quelli protetti da password) rimangono nella mailbox, in quanto non possono essere messi in quarantena.
 
Blocca documenti di Office

Puoi anche configurare Clam Antivirus per bloccare i documenti Office che contengono delle macro. I documenti con le ricevute false, infatti, ne fanno spesso uso.

Per farlo, apri \MDaemon\SecurityPlus\ClamAVPlugin\conf\clamd.conf in un editor di testo e aggiungi quanto segue:
#With this option enabled OLE2 files with VBA macros, which were not detected by #signatures will be marked as “Heuristics.OLE2.ContainsMacros”.

OLE2BlockMacros Yes

Poi riavvia MDaemon.
 
Abilita “Refuse non-RFC compliant email”

In molti casi, le email con le finte fatture che arrivano nella tua casella di posta o in quelle dei tuoi clienti contengono numerosi indirizzi nell’header “FROM” per far sembrare che siano state spedite da un mittente valido con cui magari avete avuto a che fare in passato.

L’ultima versione di MDaemon (18.5.1.) ha implementato una nuova funzionalità che puoi trovare in Setup -> Server Settings -> Servers -> Refuse Messages which violate RFC standards.

Se questa opzione è attiva (è abilitata di default sulle nuove installazioni) respingerà in automatico le email che hanno un header “FROM” come quello che ti ho descritto sopra.

Altri suggerimenti

Password

Assicurati che gli utenti abbiano delle password sicure per accedere alle proprie mailbox. In questo modo ridurrai il rischio che le loro credenziali vengano rubate.

Un buon sito per verificare che gli account non siano stati compromessi è questo.

Bloccare le email per aree geografiche

In Security -> Security Settings -> Screening -> Location Screening puoi abilitare la funzionalità Location Screening, che ti consente di bloccare tutte le email e i tentativi di connessione provenienti dalle aree geografiche da te stabilite.

Per cui, ad esempio, se sai che il tuo client riceve spam dall’India e non ha fornitori, collaboratori o clienti indiani, tanto vale utilizzare la suddetta funzionalità per metterlo al sicuro.

Questi strumenti integrati in MDaemon, uniti a un’attenta formazione del personale, dovrebbero mantenere i tuoi clienti alla larga dai pericoli della posta elettronica.
 
 
Tratto dal blog di zensoftware.

Condividi sui Social Network