Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale in cybersecurity

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Gruppo dirigente

Il team di leadership di MetaCompliance

Carriere

Unitevi a noi e rendete personale la sicurezza informatica

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Attacchi di phishing: Perché non pensiamo prima di cliccare?

Attacchi di phishing pensa prima di cliccare

sull'autore

Condividi questo post

Gli attacchi di phishing riguardano tanto la manipolazione del comportamento umano quanto la tecnologia. Questa affermazione racchiude il motivo per cui è così difficile prevenire le campagne di phishing che portano a ransomware, credenziali rubate e altri attacchi informatici.

Negli anni '70, ci fu una campagna sulla guida in stato di ebbrezza con lo slogan "Pensa, prima di bere, prima di guidare". È stata una campagna efficace, che ha contribuito a ridurre gli incidenti di guida legati all'alcol nel Regno Unito. Far sì che la gente "pensi" prima di agire non è così facile come sembra. Infatti, non è il pensare e l'avere una reazione istintiva a un'e-mail su cui le campagne di phishing fanno affidamento. Il phishing è un affare serio con un recente rapporto che ha scoperto che il 95% dei leader IT crede che i dati siano a rischio dal canale e-mail. 

Quindi, come può il business medio sperare di avere lo stesso successo della campagna di guida in stato di ebbrezza degli anni 70 quando si tratta di contrastare gli assi nella manica di un criminale informatico?

Attacchi di phishing e comportamento umano

Questa difficoltà di prevenzione si riflette nella natura di successo degli attacchi di phishing: Nel 2019 pre-pandemia, le statistiche di phishing erano spaventose, con la compagnia assicurativa Beazley che ha riscontrato un aumento del 105% degli attacchi ransomware nel Q1 2019. Ma il 2020 ha visto gli attacchi di phishing andare fuori scala. L'FBI ha pubblicato un rapporto che mostra che il phishing è stato di gran lunga il più prevalente dei crimini segnalati alla sua sezione reclami, IC3. Una delle forze trainanti del successo del phishing negli ultimi 12 mesi è stata la pandemia di Covid-19, che ha fornito opportunità a bizzeffe ai phisher per sfruttare il comportamento umano: ciò è evidenziato da un impressionante aumento del 30.000 % delle minacce basate su Covid-19 nel corso del 2020; la maggior parte di questi attacchi ha utilizzato siti web dannosi ed e-mail di phishing.

Il phishing (e le sue varianti, Vishing/Smishing/Pharming) è un vettore di attacco prevalente perché la tecnica funziona. Funziona perché utilizza il naturale comportamento umano per compiere un'azione che avvantaggia il criminale informatico dietro un attacco. Essere in grado di manipolare una persona legittima per fare un'azione illegittima è il segno distintivo della truffa, anche prima dell'avvento delle tecnologie moderne. Ma la tecnologia può ingannare anche gli utenti esperti, poiché i modelli di utilizzo della tecnologia diventano "hard-coded" man mano che si acquisisce familiarità con un sistema. 

L'e-mail, per esempio, è una tecnologia quotidiana che usiamo continuamente. Nel 2020, 306,4 milioni di email sono state inviate e ricevute ogni giorno. Aprire un'email e cliccare su un link è quasi una seconda natura, un comportamento istintivo per un compito regolare. È su questa ripetitività, e sulla mancanza di pensiero necessario all'azione, che il phisher si concentra.

5 Caratteristiche tipiche del phishing

Gli attacchi di phishing vogliono catturare le persone prima che pensino troppo. Per fare questo, le campagne devono assicurare che certi criteri siano soddisfatti e che le circostanze siano ottimizzate:

  1. Fonte affidabile: Un modo per rimuovere il processo di pensiero è quello di far sentire il destinatario dell'email al sicuro. Le campagne di phishing tipicamente si mascherano da marchi noti. In un'analisi di quali marchi vengono utilizzati dai phisher, Microsoft risulta ripetutamente in cima come uno dei marchi preferiti dai phisher per lo spoofing. Altri marchi spacciati includono Netflix e PayPal.
  2. Il richiamo del click: Mentre il 79% delle persone dice di saper riconoscere un'email di phishing, quasi la metà continuerà a cliccare su un link in un'email sospetta. Le ragioni di questo comportamento sono probabilmente dovute all'addestramento implicito che tutti noi abbiamo subito per utilizzare i contenuti di internet. Cliccare è quasi una risposta pavloviana quando un'email contiene un link. I designer dell'esperienza utente (UX) hanno usato questo tipo di condizionamento per aiutare le persone ad usare la tecnologia più facilmente; i criminali informatici usano la stessa manipolazione psicologica per farci cliccare su un link di phishing per iniziare la fase successiva del phish.
  3. Condurre per compito: Mantenere l'email focalizzata su un compito semplice aiuta nella rimozione del processo di pensiero. Compiti ripetitivi e riconosciuti come la reimpostazione della password sono i preferiti dai phisher. Questo permette di fare quell'importante "click" senza pensare troppo profondamente alle possibili conseguenze. Se il compito è legato al lavoro, allora è più probabile che il click venga fatto e che l'evento di phishing abbia inizio.
  4. L'urgenza: Spesso, le email di phishing conterranno una sorta di driver per spingere il comportamento di auto-click. Questi driver sono spesso la minaccia di una disciplina o una preoccupazione sollevata su un'azione, come il pagamento di una bolletta. Alcune campagne di phishing sono altamente mirate (Spear phishing). Queste campagne spesso impersonano un amministratore delegato; il falso amministratore delegato invia poi un'e-mail al dipartimento di contabilità con la richiesta urgente di trasferire denaro su un conto bancario. Il conto è, ovviamente, di proprietà di un truffatore.  
  5. Sovraccarico di lavoro: Uno studio sugli ospedali presi di mira dalle campagne di phishing ha concluso che il personale sovraccarico di lavoro era più propenso a cliccare su un link di phishing. Se non si ha tempo per pensare, si passa alla risposta automatica.

Una nota sugli attacchi di spear phishing. Questo tipo di phishing richiede un livello più profondo di ricognizione per fornire email di phishing più convincenti al bersaglio. Questo livello di dettaglio rende le email di spear phishing ancora più difficili da individuare per i dipendenti. Di conseguenza, gli attacchi e-mail di spear-phishing sono aumentati del 667% durante la pandemia di Covid-19.

Come far cliccare un dipendente su un link di phishing

I criminali informatici sono maestri nel creare le condizioni per una campagna di phishing di successo. Utilizzando tutti i trucchi per far cliccare un utente, come ad esempio marchi spoofed di fiducia, per rendere l'utente una facile esca. Un esempio di questo è stato uno stratagemma di phishing di Office 365 nel 2020. Aveva tutti gli elementi che manipolano gli utenti a cliccare prima di pensare:

  • Sono state inviate ai dipendenti delle e-mail spoof fatte apparire come Microsoft Office 365. 
  • L'e-mail aveva il titolo "Formazione COVID-19 per i dipendenti: Un certificato per luoghi di lavoro salubri". I dipendenti sono stati incoraggiati ad agire sull'e-mail per motivi di lavoro.
  • Ai destinatari delle e-mail è stato chiesto di fare clic su un link nell'e-mail che li ha portati a una pagina di login di Office 365 fasulla: la pagina sembrava identica a una vera pagina di Office 365.
  • Ad un utente veniva richiesto di inserire le proprie credenziali di Office 365 per accedere e ricevere il certificato. Se lo facevano, quelle credenziali venivano rubate e poi utilizzate per accedere al vero portale di Office 365.

Come impedire a un dipendente di cliccare su un link di phishing

Prevenire i comportamenti hard-coded richiede una formazione specialistica di consapevolezza. I tecnologi hanno progettato i sistemi per essere facili da usare e per rendere il click un'azione facile, questa risposta di auto-click deve essere rotta per prevenire il successo del phishing. Fornendo un test di phishing ben pensato e controllato, un'organizzazione può aiutare a cambiare il comportamento da cui dipendono i criminali informatici. I test di phishing simulati creano un ambiente sicuro per addestrare gli utenti sui modi sottili in cui i phisher manipolano il loro comportamento, in modo che possano stare attenti a questi trucchi. Come parte di un più ampio programma di consapevolezza della sicurezza, la simulazione di phishing è efficace nel prevenire il successo del phishing che si traduce in credenziali rubate, esposizione dei dati e infezione da ransomware. 

Guida definitiva al phishing

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti