Le migliori università statunitensi sono tra le peggiori al mondo nel proteggere gli utenti dalle frodi e-mail, mancando di misure di sicurezza per prevenire tattiche di minaccia comuni come lo spoofing del dominio o altri tipi di e-mail fraudolente, hanno scoperto i ricercatori.
Il novantasette percento delle prime 10 università negli Stati Uniti, nel Regno Unito e in Australia stanno sottoponendo studenti, personale e amministrazione a rischi più elevati di furto d'identità basato su e-mail e altri attacchi perché i loro sistemi mancano di sicurezza di base, secondo una nuova ricerca di Proofpoint rivelata martedì. Inoltre, le istituzioni statunitensi sono i peggiori trasgressori del gruppo, con alcuni dei livelli più poveri di protezione della sicurezza informatica, hanno scoperto i ricercatori.
La notizia è preoccupante, soprattutto perché l'e-mail rimane il vettore più comune per i compromessi di sicurezza in tutti i settori, ha osservato Ryan Kalember, vicepresidente esecutivo della strategia di sicurezza informatica di Proofpoint, in una dichiarazione. Inoltre, la frequenza, la sofisticazione e il costo degli attacchi informatici contro le università sono aumentati negli ultimi anni, ha affermato.
"È la combinazione di questi fattori che rende particolarmente preoccupante il fatto che le principali università degli Stati Uniti siano attualmente le più vulnerabili agli attacchi", ha osservato Kalember.
In effetti, le università e altre istituzioni di istruzione superiore memorizzano "masse di dati personali e finanziari sensibili, forse più di qualsiasi settore al di fuori dell'assistenza sanitaria", ha affermato. Questo, sfortunatamente, li rende un obiettivo principale per i criminali informatici, che attualmente hanno un percorso facile per attaccare a causa della mancanza di protezioni e-mail, ha affermato.
Mancanza di protezione della posta elettronica
Tra le università degli Stati Uniti, Proofpoint ha esaminato le università di Columbia, Harvard, Princeton, Yale e Stanford, le Università della California Berkeley e Los Angeles, l'Università della Pennsylvania, il Massachusetts Institute of Technology e la New York University.
I ricercatori hanno utilizzato l'analisi DMARC (Domain-based Message Authentication, Reporting and Conformance) di queste università e delle prime 10 nel Regno Unito e in Australia per effettuare la loro valutazione.
DMARC è un protocollo di convalida della posta elettronica volto a proteggere i nomi di dominio dall'uso improprio da parte dei criminali informatici autenticando l'identità del mittente prima di inviare un messaggio alla destinazione prevista, hanno osservato i ricercatori. Questo uso improprio può verificarsi nei criminali informatici che impersonano un'entità autentica attraverso quello che viene chiamato "spoofing" del suo dominio, che porta un destinatario di un'e-mail a pensare che sia legittimo quando non lo è.
DMARC ha tre livelli di protezione: monitorare, mettere in quarantena e rifiutare; L'ultimo è il più sicuro per impedire alle e-mail sospette di raggiungere la posta in arrivo. Proofpoint ha rilevato che nessuna delle migliori università statunitensi e britanniche disponeva di una politica di rifiuto in grado di bloccare attivamente le e-mail dannose dal raggiungere i loro obiettivi, lasciando gli utenti dei loro sistemi di posta elettronica completamente esposti alle frodi e-mail.
Mentre il 65% delle migliori università statunitensi e britanniche – o 13 su 20 – aveva un livello base di protezione DMARC per monitorare o mettere in quarantena le e-mail, cinque delle prime 10 università statunitensi non hanno pubblicato alcun livello di record DMARC, hanno scoperto i ricercatori.
Più specificamente, 11 delle 20 istituzioni indagate negli Stati Uniti e nel Regno Unito hanno una politica di monitoraggio in atto, mentre solo 2 hanno una politica di quarantena in atto, hanno detto. In tutte le 30 università osservate, 17 di loro (57%) hanno implementato almeno una politica di monitoraggio, mentre quattro di loro (13%) avevano almeno una politica di quarantena, secondo Proofpoint.
Università nel mirino
Le strutture educative non sono mai state all'avanguardia della sicurezza e nuovi protocolli come le lezioni a distanza tenute sulla piattaforma video Zoom e altri messi in atto durante la pandemia di COVID-19 hanno solo esacerbato la situazione.
In effetti, con questo nuovo passaggio all'apprendimento remoto e un modello ibrido di corsi di persona e online in futuro, gli attacchi informatici contro le università continueranno a salire, hanno detto i ricercatori. Lo sfruttamento dell'errore umano attraverso e-mail dannose di ingegneria sociale è un frutto a basso impatto per i criminali informatici, soprattutto quando non vi è alcuna barriera per impedire a queste e-mail sospette di raggiungere la posta in arrivo di vittime ignare, secondo Proofpoint.
Inoltre, la posta elettronica è spesso un gateway per attacchi più pericolosi. Un tipo di attacco che può iniziare come violazione relativa alla posta elettronica è il ransomware, che è diventato una delle principali spine nel fianco delle università negli ultimi anni. In effetti, un college di 157 anni, il Lincoln College con sede nell'Illinois, ha persino chiuso i battenti di recente a causa di una combinazione di pressioni dalla pandemia e un attacco ransomware che lo ha spinto al suo punto di rottura.
Un problema importante che Proofpoint ha scoperto nel suo recente rapporto Voice of the CISO è che i CIO nel settore dell'istruzione si sentono trascurati dalle rispettive organizzazioni, senza il supporto per implementare protezioni di sicurezza che potrebbero bloccare le istituzioni da minacce comuni, come le e-mail dannose, ha osservato Kalember.
Senza questo supporto in futuro, e senza utilizzare protezioni DMARC in grado di bloccare le e-mail dannose prima ancora che raggiungano la posta in arrivo di una persona, gli utenti continueranno a essere esposti a minacce che possono essere facilmente evitate, ha affermato.
"Le persone sono una linea di difesa fondamentale contro le frodi e-mail, ma rimangono una delle maggiori vulnerabilità per le organizzazioni", ha affermato Kalember. "Quando è pienamente conforme a DMARC, un'e-mail dannosa non può raggiungere la tua casella di posta, eliminando il rischio di interferenze umane".