Il phishing è un problema serio per le aziende di ogni dimensione e settore. Ma cos'è una simulazione di phishing? Una simulazione di phishing è un esercizio di formazione progettato per educare i dipendenti sugli attacchi di phishing imitando scenari reali. Utilizzando queste esercitazioni di phishing simulato, un'organizzazione può prendere il controllo di questa insidiosa minaccia, migliorando la propria capacità di identificare e rispondere efficacemente ai tentativi di phishing.
I criminali informatici amano fare phishing ai dipendenti per rubare credenziali e dati e infettare le aziende con ransomware. Il rapporto sulle tendenze dell'attività di phishing dell'Anti-Phishing Working Group (APWG) mostra che il phishing ha raggiunto il massimo storico nel secondo trimestre del 2022. Inoltre, questi attacchi hanno registrato un aumento del 7% nel furto di credenziali ai danni di dipendenti aziendali.
Il risultato è spesso catastrofico quando viene rubata una password o altri dati: un attacco di phishing ha fatto sì che il Dipartimento della Difesa degli Stati Uniti consegnasse 23,5 milioni di dollari (19,3 milioni di sterline) a un criminale informatico; la Open University di Londra ha subito oltre un milione di attacchi di phishing nell'arco di nove mesi, causando enormi disagi, e la lista continua.
Perché i programmi di simulazione del phishing sono importanti?
Il phishing è probabilmente uno degli strumenti di maggior successo nell'arsenale dei criminali informatici per ottenere informazioni sensibili. Un rapporto di RiskIQ sulle perdite dovute alla criminalità informatica ha rilevato che ogni minuto si perdono 17.700 dollari (14.500 sterline) a causa di attacchi di phishing.
Il phishing è un metodo intelligente di ingegneria sociale che inganna i dipendenti e gli altri utenti inducendoli a compiere azioni a vantaggio dell'hacker. I criminali informatici utilizzano ampiamente il phishing: nel 2021 l'83% delle organizzazioni sarà bersaglio di attacchi di phishing.
Con il passare del tempo, gli hacker che si celano dietro le e-mail di phishing si accorgono dei sistemi software automatizzati che impediscono il phishing, come le piattaforme anti-spam/email gateway. Di conseguenza, gli hacker modificano il funzionamento delle truffe di phishing e il contenuto delle e-mail in modo da eludere i gateway di posta elettronica.
Ad esempio, un rapporto che ha analizzato 55,5 milioni di e-mail inviate a Microsoft Office 365 ha rilevato che il 25% delle e-mail di phishing contenenti allegati dannosi sono state autorizzate a passare attraverso il gateway di posta elettronica integrato in Office 365. Il risultato è che le e-mail di phishing sono difficili da prevenire e finiscono nella casella di posta di un dipendente ignaro, pronte a ingannarlo per fargli consegnare le credenziali di accesso o installare un malware.
Tuttavia, questo dipendente ignaro può diventare un dipendente esperto di informatica, consapevole e attento alla sicurezza, grazie a regolari esercitazioni di phishing simulato.
Cosa succede in un attacco di simulazione di phishing?
Gli attacchi di phishing simulati sono progettati per assomigliare esattamente a un tentativo di phishing reale. Una piattaforma di phishing simulato viene utilizzata per generare e-mail di phishing simulato come parte di una campagna di formazione dedicata alla consapevolezza della sicurezza. I dipendenti e tutti gli altri gruppi di utenti che necessitano di una formazione di sensibilizzazione sulla sicurezza dovrebbero ricevere queste e-mail di phishing simulato.
La piattaforma di test di phishing interagirà con l'utente per aiutarlo a conoscere i pericoli del phishing. Tuttavia, la piattaforma deve anche registrare e verificare ciò che accade quando l'utente riceve l'e-mail di phishing simulata. Ad esempio, l'utente apre l'e-mail, clicca su un link o scarica un allegato e così via?
Questi eventi vengono registrati e vengono generati rapporti che possono essere utilizzati per valutare il successo della formazione di sensibilizzazione alla sicurezza e quali aree devono essere migliorate.
Caratteristiche principali del miglior software di simulazione del phishing
Un software avanzato di simulazione di phishing deve avere diverse caratteristiche importanti:
Imita e-mail di phishing reali
Il sistema deve creare e-mail di phishing realistiche che riflettano le campagne di phishing attuali viste nella vita reale.
Fornite un'ampia scelta di modelli
La piattaforma di simulazione di phishing dovrebbe essere dotata di un'ampia serie di modelli che possono essere utilizzati per progettare un'e-mail di phishing dall'aspetto realistico. I modelli dovrebbero essere configurabili in modo da corrispondere a marchi noti e creare nomi di dominio e URL "simili".
Può essere adattato ai ruoli
È noto che i truffatori prendono di mira ruoli organizzativi specifici, come le risorse umane e la contabilità. Anche i dirigenti sono un gruppo mirato e dovrebbero essere coinvolti in esercitazioni di phishing simulato, dato che attacchi informatici specifici come la Business Email Compromise (BEC) possono colpire il livello C. Pertanto, i messaggi di phishing simulati devono essere adattati a gruppi di dipendenti.
Apprendimento per necessità
Le persone imparano meglio quando sono coinvolte e hanno un' esperienza di apprendimento interattiva. Una piattaforma che offre un apprendimento puntuale consente ai dipendenti di imparare dai propri errori. Ad esempio, i dipendenti riceveranno una notifica di avvertimento se cliccano su un link dannoso.
Un'esperienza interattiva che spiega cosa è successo e i pericoli associati a un'e-mail di phishing. Alcuni sistemi avanzati si spingono oltre e istruiscono il dipendente sulle strategie da evitare per prevenire futuri tentativi di phishing.
Fornisce opzioni linguistiche
Molte aziende impiegano personale in inglese come seconda lingua o uffici in paesi non anglofoni. Pertanto, i modelli di e-mail di phishing simulati devono essere in grado di offrire un supporto in altre lingue.
Audit e relazioni
Le metriche di un'esercitazione di phishing simulata sono essenziali, in quanto offrono un'idea dei progressi della formazione sulla consapevolezza della sicurezza. Inoltre, le metriche indicano quanti dipendenti sono vulnerabili agli attacchi di phishing.
Alcuni sistemi avanzati forniscono una ripartizione granulare delle metriche di phishing per analizzare reparti e gruppi di utenti specifici. I report generati da queste metriche dimostrano l'efficacia di un programma di simulazione del phishing e identificano le aree deboli nella comprensione del phishing da parte del personale.
Quanto sono efficaci le simulazioni di phishing?
Secondo un'indagine di Cisco, le e-mail di phishing sono difficili da individuare: nell'86% delle aziende almeno un dipendente ha fatto clic su un link dannoso. Basta che un solo dipendente clicchi su un link e inserisca le credenziali di accesso a un sito web fasullo per aprire le porte della vostra rete. Le simulazioni di phishing offrono un modo per ridurre al minimo il rischio di un clic disastroso.
Con quale frequenza si dovrebbe inviare una simulazione di phishing?
Uno studio di USENIX sulla longevità della formazione sulla sicurezza ha rilevato che i dipendenti erano ancora in grado di individuare le e-mail di phishing quattro mesi dopo la formazione iniziale. Tuttavia, dopo sei mesi, i dipendenti hanno perso la capacità di individuare le e-mail dannose.
Il rapporto sottolinea inoltre che i video e la formazione interattiva producono i risultati più duraturi, con un livello di formazione che dura altri sei mesi. Pertanto, il rapporto raccomanda di effettuare la formazione ogni sei mesi. Inoltre, è consigliabile effettuare regolarmente simulazioni di phishing, poiché anche il panorama della sicurezza tende a cambiare frequentemente.