Perché devi fare il phishing ai tuoi dipendenti
Pubblicato su: 13 Dic 2017
Ultima modifica il: 24 Lug 2025
Le e-mail di phishing, molto semplicemente, sono un biglietto di sola andata per ottenere l’accesso alla tua organizzazione, sia che si tratti di unità, rete o risorse informatiche.
Il modo più semplice per risolvere questo problema? Non cliccare sul link!
Purtroppo non è così semplice. I criminali informatici sono abili e prendono di mira le persone con contenuti di posta elettronica in grado di attirare la loro attenzione. Una volta che un dipendente si incuriosisce per il titolo accattivante o il link misterioso, è stato agganciato. Le e-mail di phishing sono anche progettate per apparire come e-mail ordinarie e quotidiane, come una fattura di un collega, un contratto scansionato o persino un’e-mail del team di assistenza informatica.
Chi di noi è già stato esposto o addirittura ingannato da e-mail di phishing, sa quali sono i segnali di pericolo a cui prestare attenzione e sa che non deve cliccare sui link. Ciononostante, è estremamente difficile prevedere la reazione dei tuoi dipendenti a un’email di questo tipo. I dipendenti sono, il più delle volte, l’anello più debole dell’organizzazione ed è importante che tu capisca come reagirebbero. Devono sapere come difendersi dagli attacchi di phishing.
Utilizzando un software di simulazione di phishing come MetaPhish puoi esporre il tuo personale a finte e-mail di phishing mirate. La funzione di reporting ti permette di vedere in tempo reale il personale che ha cliccato sul link di phishing rispetto a quello che ha reagito in modo appropriato.
Lo scopo di questo software non è solo quello di valutare quanti dei tuoi dipendenti cliccheranno sul link, ma anche quello di aumentare la loro sensibilità e consapevolezza nei confronti di questo tipo di email. Più il tuo personale è esposto alle e-mail di phishing, più è probabile che riesca a individuare i segnali di pericolo e a capire che non si tratta di una comunicazione autentica. Inoltre, a coloro che non riescono a individuare il phish, viene offerta l’opportunità di lavorare attraverso un’esperienza di apprendimento per ottenere una formazione sui rischi associati al phishing.
Coinvolgendo il tuo personale in questo modo, sarai in grado di misurare il tuo attuale livello di esposizione a un attacco di phishing. Se un gran numero di dipendenti clicca sui link, sai che sei molto esposto. Se a un attacco di phishing si aggiunge l’ingegneria sociale, l’azienda diventa il suo peggior incubo.
È fondamentale che il tuo staff sappia a cosa fare attenzione in un’email di phishing.
Alcuni dei primi segnali di allarme sono i seguenti:
– Saluto vago
– Cattiva grammatica o punteggiatura
– Ti si rivolge come “utente” invece che con il tuo nome.
– Link ai download dei documenti
– Oggetto irrilevante rispetto al corpo dell’email?
Questi sono alcuni dei segnali più ovvi, ma i criminali informatici sono intelligenti e sono decisi a coglierti in fallo. Lo spear-phishing e il whaling sono metodi di phishing più sofisticati (leggi qui per saperne di più su questi tipi di minacce di phishing) e non sono così facili da individuare, soprattutto perché queste e-mail sono state progettate appositamente per te e sembreranno autentiche.
In questo scenario, le cose da tenere d’occhio sono:
– Email firmate da un collega che conosci, ma che sono state inviate da un altro account di posta elettronica.
– Allegati sospetti di file zip
– Richieste di versare un’ingente somma di denaro su un conto corrente
Gli attacchi di spear-phishing e whaling sono stati creati da un criminale informatico che ti ha monitorato sui social media, magari sotto le sembianze di un collega. Ti avrà preso di mira creando un profilo falso del suddetto collega o, se i tuoi profili sui social media sono impostati come pubblici, avrà raccolto le informazioni da solo.
Basta che un solo individuo clicchi sul link, scarichi l’allegato o paghi un’enorme somma di denaro e il criminale informatico avrà vinto. Gli hai dato accesso a ciò che gli serve, alle informazioni che desidera, hai scaricato un malware o un ransomware e gli hai dato una lauta ricompensa!
Investi nella formazione del tuo personale sul phishing, in modo che sappia a cosa prestare attenzione e cosa fare se sospetta di essere vittima di un attacco. Se questo ti interessa, richiedi una demo del nostro software di simulazione MetaPhish o del nostro modulo di eLearning Essential Phishing Awareness. Puoi anche contattarci per organizzare una giornata di sensibilizzazione del personale sul phishing.