Entro la fine del 2021, gli attacchi ransomware sono saliti a un tentativo ogni 11 secondi. Anche le violazioni dei dati continuano a un ritmo inebriante, con quasi 19 miliardi di record violati nella prima metà del 2021.
Molti di questi attacchi utilizzano il phishing o i dati rubati ad un certo punto dell'attacco e le statistiche lo dimostrano con il phishing che è il vettore di attacco numero uno, con un aumento di volume del 161% nel 2021.
Perché fare il phishing dei tuoi utenti?
Il phishing gioca sulla fallibilità e sul comportamento umano rendendo la tattica insidiosa e difficile da proteggere. Secondo una ricerca, il 96% delle violazioni di dati inizia con un'e-mail di phishing. Un'e-mail di phishing è meno simile a una bomba che esplode e più simile a una miccia che brucia lentamente; il phishing si traduce in credenziali di accesso rubate, infezioni da malware e può lasciare la vostra rete vulnerabile a un lento furto di dati e al caos informatico per molti mesi.
Un rapporto ha scoperto che il 74% delle e-mail di phishing sono state utilizzate per rubare le credenziali che i vostri dipendenti usano per accedere alle vostre app aziendali.
Il phishing funziona perché inganna le persone a fare cose che vanno a vantaggio del criminale informatico che ha inviato l'e-mail dannosa. Per esempio, l'email phishing tipicamente usa stratagemmi come far sentire il destinatario preoccupato che se non clicca su un link potrebbe finire nei guai al lavoro. Le condizioni che suscitano paura, incertezza e dubbio, insieme all'urgenza, e altri trucchi psicologici fanno del phishing il metodo numero uno per iniziare un attacco informatico.
I dipendenti devono capire questi astuti trucchi di phishing per avere la possibilità di resistere all'impulso di cliccare su un link dannoso o scaricare un allegato infetto.
Per evitare che la vostra azienda diventi un numero in un mucchio di statistiche di phishing, potete usare una piattaforma di simulazione di phishing per fare phishing ai vostri utenti. Per uno sguardo più approfondito su come funziona il phishing e per aiutarvi ad iniziare, leggete la MetaCompliance Ultimate Guide to Phishing.
Cos'è la simulazione di phishing?
Le simulazioni di phishing sono servizi basati sul cloud che generano email di phishing simulate. Queste email riflettono le minacce di phishing in corso ed emergenti. Le email di phishing simulate vengono inviate ai destinatari di un'organizzazione come parte di una campagna organizzata da un'azienda, spesso con l'aiuto di un'organizzazione esperta in sicurezza.
Le e-mail di phishing simulate aiutano poi a formare il personale su come individuare le tattiche di phishing.
Come funziona la simulazione di phishing?
Gli strumenti di simulazione di phishing funzionano come parte di una più ampia campagna di consapevolezza della sicurezza. Si inseriscono perfettamente in una strategia organizzata di educazione e consapevolezza che lavora in armonia per migliorare la sicurezza delle e-mail e ridurre gli attacchi informatici a un'organizzazione.
Gli strumenti di simulazione di phishing, come MetaPhish, sono basati sul cloud e possono essere configurati e gestiti centralmente da una console di amministrazione e reporting. La simulazione di phishing inizia configurando modelli pronti all'uso per riflettere un attacco di phishing noto o emergente.
I modelli sono progettati per utilizzare marchi ben noti che sono spesso utilizzati in campagne di phishing reali. Per esempio, marchi come Microsoft sono regolarmente i primi e più usati nelle campagne di phishing.
Un modello di simulazione di phishing include l'email di phishing e tutte le relative pagine di destinazione fasulle necessarie per portare un utente attraverso il ciclo di vita del phishing. Quando un dipendente riceve un'email di phishing simulata, se l'email include un link dannoso e il dipendente clicca sul link, il dipendente sarà portato a questa pagina di destinazione associata.
È importante che gli strumenti di simulazione del phishing siano altamente configurabili. I modelli di phishing devono essere modificabili per adattarsi all'esatto ambiente di diversi settori industriali.
Alcuni strumenti di simulazione di phishing, come MetaPhish, vengono con l'aiuto di esperti di terze parti per garantire che il design dei modelli corrisponda da vicino alle campagne di phishing reali. Questo assicura che siano il più possibile simili a un vero phish. In questo modo, i risultati dell'esercizio di phishing simulato sono più accurati.
Rendere la simulazione di phishing un'esperienza di apprendimento
Una cosa è fare il phishing ai vostri utenti, ma assicurarsi che imparino dall'esperienza può essere complicato. Pertanto, gli strumenti di simulazione di phishing devono utilizzare l'apprendimento attivo. Se un dipendente cade nei trucchi dell'email di phishing simulata, l'evento deve essere trasformato in qualcosa di positivo.
L'apprendimento del punto di necessità tira l'utente fuori dal ciclo di vita del phishing per sottolineare dove hanno sbagliato e le loro vulnerabilità. In genere, questo avviene in un frangente, come quando un dipendente clicca su un link di phishing o inserisce le credenziali di accesso a un sito web di phishing.
Una volta che si verifica una truffa di phishing, il dipendente viene presentato con un messaggio di avvertimento, un'infografica o un sondaggio sullo schermo, che spiega all'utente cosa è successo, cosa potrebbe accadere se questa fosse una vera e-mail di phishing, e come assicurarsi che non cadano di nuovo in quel trucco.
Catturare i risultati della simulazione di phishing
Le metriche sono un aspetto importante del Security Awareness Training e della simulazione di phishing. Misurare il successo di un programma di Security Awareness Training permette a un'organizzazione di sintonizzare finemente la consegna del materiale per migliorare i risultati.
Le piattaforme di simulazione di phishing, come MetaPhish, offrono una dashboard di reporting che mostra i risultati delle simulazioni di phishing: per esempio, quanti dei vostri dipendenti hanno cliccato su un link in una e-mail di phishing simulata.
I report generati possono essere resi granulari fino al livello del dispositivo utilizzato per accedere all'email di phishing, permettendo di concentrarsi ulteriormente nella creazione di campagne di simulazione di phishing successive. I singoli dipartimenti o gruppi di utenti possono anche avere un focus sulla formazione, permettendo alla vostra organizzazione di approfondire aree specifiche del business che lavorano con dati sensibili o finanziari, come la contabilità fornitori o le risorse umane.
La simulazione di phishing è un modo pratico di educare la vostra forza lavoro sui pericoli del phishing e le tattiche intelligenti di ingegneria sociale utilizzate dai criminali informatici. La tecnica per formare i dipendenti sulla consapevolezza della sicurezza è anche riconosciuta dagli standard di sicurezza delle informazioni come ISO 27001.
Impiegando una piattaforma di simulazione di phishing basata sul cloud si ha la possibilità di giocare i criminali informatici al loro stesso gioco e vincere.