La formazione sulla consapevolezza della sicurezza basata sui ruoli adatta i materiali di formazione e i meccanismi di consegna al ruolo di un dipendente e riduce il rischio informatico associato a quel ruolo.
Il mondo è un luogo complesso e diversificato e le persone al suo interno sono un crogiolo di abilità, competenze e attitudini. All'interno di un'azienda, questa diversità è spesso messa a frutto creando ruoli specifici che fanno leva su queste diverse abilità e competenze.
Il fatto che le persone lavorino in ruoli specifici all'interno di un'organizzazione non sfugge ai criminali informatici. I truffatori spesso adattano i loro attacchi in base all'obiettivo. Ad esempio, gli attacchi BEC (Business Email Compromise) si concentrano in genere sui dipendenti che ricoprono ruoli di responsabilità e di contabilità. I truffatori adattano le campagne di phishing o altri attacchi di social engineering in modo da riflettere il titolo di lavoro di un individuo, facendo così leva su caratteristiche umane intrinseche come la fiducia, per garantire il successo.
Tuttavia, se i truffatori usano l'ingegneria sociale basata sui ruoli e il phishing per migliorare il successo dei loro attacchi informatici, allora due possono giocare a quel gioco.
Formazione sulla consapevolezza della sicurezza basata sui ruoli per fermare il phishing basato sui ruoli
Ai criminali informatici piace assicurarsi che ogni campagna che progettano sarà un successo: sanno che più un'email di phishing è fatta su misura, più è probabile che il bersaglio creda che l'email sia reale e quindi clicchi su un link dannoso o agisca sulla richiesta dell'email di cambiare banca e inviare denaro con urgenza, ecc.
Lo spear-phishing è spesso l'arma scelta quando un criminale informatico prende di mira un ruolo specifico in un'organizzazione. Questa forma di phishing presenta una messaggistica altamente personalizzata per manipolare determinati tipi di dipendenti. I ruoli tipici che sono soggetti ad attacchi di spear-phishing sono:
- Dirigenti di livello C e assistenti esecutivi
- Libro paga
- HR
- Finanze e conti passivi
- Utenti privilegiati
Dirigenti di livello C e assistenti esecutivi: "Whaling" e le frodi BEC(Business Email Compromise) si concentrano sui dirigenti di livello C in un'organizzazione bersaglio. I truffatori possono anche prendere di mira gli assistenti esecutivi, utilizzando l'ingegneria sociale e lo spear-phishing per ottenere l'accesso all'account e-mail del CEO o altre informazioni personali. Per avviare la frode BEC vengono utilizzate email compromesse o spoofing del CXO.
Dipartimento del libro paga: i truffatori prendono di mira gli impiegati del libro paga che gestiscono i pagamenti degli stipendi dei dipendenti, per reindirizzare il denaro sul conto bancario del truffatore. Per esempio, il truffatore può spoofare l'email di un dipendente che chiede di cambiare i dettagli del conto bancario del libro paga.
Risorse Umane (HR): l'HR risiede su informazioni altamente riservate e personali. Ciò rende questo ruolo a rischio di campagne di spear-phishing che cercano di ottenere l'accesso ai dati che possono poi essere sfruttati in ulteriori attacchi. Le Risorse Umane diventano quindi parte di un tentativo di frode più complesso e a più fasi, come le frodi BEC e del libro paga; un dipendente delle Risorse Umane può essere ingannato nel rivelare informazioni su un dirigente di livello C o un altro dipendente per ottenere le informazioni necessarie per portare a termine la frode.
Finanza e contabilità fornitori: il dipartimento che tiene i cordoni della borsa è un obiettivo ovvio per i criminali informatici. Le frodi BEC, per esempio, finiscono spesso alla porta della contabilità fornitori. Ma ci sono molti tipi di frode che si concentrano su questo ruolo. Le frodi contabili sono molto diffuse e un rapporto ha scoperto che il 50% delle piccole imprese nel Regno Unito sono state esposte a questo tipo di frode, sia da minacce interne che esterne.
Utenti privilegiati: i criminali informatici prendono di mira gli utenti privilegiati perché hanno le "chiavi del castello aziendale". Gli utenti privilegiati ricevono i diritti di accesso alle aree sensibili di una rete e, in quanto tali, offrono un percorso diretto in quella rete per qualsiasi criminale informatico che possa ingannarli per consegnare le loro credenziali o scaricare malware. Un rapporto ha rilevato che il 63% delle organizzazioni ritiene che gli utenti privilegiati presentino il più alto rischio di minacce interne.
Phishing simulato all'interno di programmi di formazione sulla consapevolezza della sicurezza basati sui ruoli
Il phishing simulato è un ottimo modo per educare i dipendenti sul phishing e sulle minacce informatiche. Adattando i messaggi di phishing simulato ai ruoli all'interno della vostra forza lavoro, potete simulare le stesse tattiche usate dai criminali informatici quando prendono di mira un gruppo specifico all'interno di un'organizzazione. Questo rende la simulazione di phishing più reale e specifica per il ruolo di quell'individuo.
Per eseguire simulazioni di phishing basate sui ruoli, una piattaforma deve supportare modelli di phishing che possono essere personalizzati in base al ruolo. Per esempio, i titoli di phishing basati sui ruoli riflettono i tipi di ruoli che sono spesso presi di mira dallo spear-phishing.
Esempi di attacchi di phishing basati sui ruoli
Obiettivo utente privilegiato: Il gruppo di hacker Lazarus è famoso per l'attacco ransomware WannaCry nel 2017. Più recentemente, il gruppo ha utilizzato campagne di phishing mirate, basate su offerte di lavoro fasulle, che si concentrano su utenti privilegiati. Una delle più recenti è stata quella che ha preso di mira l'amministratore di sistema di una piattaforma di criptovaluta. L'amministratore di sistema ha ricevuto un documento di phishing sotto forma di un'offerta di lavoro tramite il suo account personale di LinkedIn.
Conti da pagare: Facebook e Google sono stati truffati per oltre 100 milioni di dollari da un truffatore che ha preso di mira i dipendenti dei due giganti tecnologici utilizzando e-mail di spear-phishing rivolte a determinati ruoli utente.
Frode sui mandati di stipendioLe campagne di phishing che coinvolgono il furto delle buste paga dei dipendenti sono un terreno ideale per i truffatori motivati finanziariamente. Spesso, i truffatori inviano email al personale delle Risorse Umane o delle Paghe con una richiesta di cambio di conto corrente. L'email di phishing spesso si finge un vero dipendente e include la sua firma email e sembra provenire da un dominio aziendale interno. Se il cambiamento viene effettuato, lo stipendio del dipendente viene pagato sul conto bancario del truffatore.
Motivi per personalizzare la formazione sulla consapevolezza della sicurezza
Lo spear-phishing è uno dei preferiti dai truffatori di ruolo e ha molto successo a causa della natura mirata di questo tipo di phishing. Secondo un rapporto di Symantec, lo spear-phishing è usato come vettore principale nel 65% degli attacchi informatici. Prendendo di mira ruoli specifici dei dipendenti, i criminali informatici possono creare truffe complesse e a più fasi che funzionano.
I programmi di formazione basati sui ruoli e il phishing simulato associato al ruolo forniscono un programma su misura per la formazione che batte i criminali informatici al loro stesso gioco. Insegnare ai dipendenti l'esatta natura del phishing e delle truffe di ingegneria sociale che mirano specificamente al loro ruolo, dà ai dipendenti le conoscenze per esaminare attentamente le e-mail e altre comunicazioni.