<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2290112331237017&amp;ev=PageView&amp;noscript=1">
Pier Giorgio Bergonzi / Categories: Cyber Security

Come simulare un attacco Phishing per mettere alla prova i dipendenti

Quattro step per testare la resilienza dei tuoi collaboratori agli attacchi loro indirizzati.

Art5-2

 

L’efficacia delle nuove tecniche difensive adottate dalle aziende per proteggere il proprio patrimonio informativo hanno costretto gli hacker a modificare le proprie strategie di attacco.

I criminali perfezionano sempre più l’utilizzo del social engineering, concentrandosi sull’interazione umana piuttosto che sugli exploit automatizzati per installare malware, avviare transazioni fraudolente e rubare i dati.

 

Scopri come attuare una strategia completa di sicurezza informatica: scarica la  guida alla Cyber Security

 

Oltre ad attaccare i sistemi, i criminali informatici studiano anche le persone, il loro ruolo in azienda e i dati ai quali hanno accesso, cercando attraverso loro di penetrare all’interno dell’azienda.

Tra le tecniche di attacco informatico che oggi sfruttano maggiormente le vulnerabilità umane vi è quella del Phishing.

 

COS'È IL PHISHING

Il Phishing rappresenta oggi uno dei metodi di attacco più utilizzati dai cyber-criminali per penetrare nei sistemi informativi aziendali e sottrarre informazioni preziose.

Con il termine Phishing identifichiamo le frodi attuate dagli hacker inviando agli utenti messaggi email malevoli, camuffati in modo tale che il destinatario le percepisca come comunicazioni affidabili di altre aziende, di istituti bancari o anche di altri colleghi.

Le vittime di Phishing vengono spesso spinte ad aprire allegati oppure a cliccare su link dannosi e a fornire dati sensibili e credenziali di accesso ai sistemi aziendali.

L'email è il mezzo privilegiato dagli hacker per questa tipologia di attacchi, tuttavia un attacco di Phishing può essere perpetuato anche attraverso altri mezzi, quali: social network, applicazioni di messaggistica istantanea, chat, Dropbox, Google Docs e altre piattaforme di scambio e condivisione di documenti.

 

ESEMPIO DI ATTACCO PHISHING

Negli attacchi Phishing veicolati tramite email, l’attenzione dell’utente gioca un ruolo fondamentale.

Un attacco di Phishing si verifica, ad esempio, in questo modo: un dipendente riceve una email da un indirizzo di posta elettronica che risulta molto simile a quello di un collega del reparto sistemi informativi, ma che differisce da quello originale per una lettera in meno all’interno del dominio (esempio: indirizzo aziendale reale = mario.rossi@azienda1.it; indirizzo email utilizzato dall’hacker = mario.rossi@azieda1.it).

Il dipendente, preso dalla sua quotidianità e abituato a scambiarsi abitualmente email con il collega, non porrà la giusta attenzione al dominio e pertanto con molta probabilità non si accorgerà che la mail recapitata arriva da un dominio diverso da quello aziendale.

Il contenuto dell’email avvisa il dipendente di un problema di sicurezza relativo al suo account. Per risolverlo, il “finto collega” invita il dipendente a cliccare su un link che, però, conduce a un sito fittizio controllato dall’hacker.

Se l’hacker ha lavorato bene, anche una volta atterrato sul sito sarà difficile per il dipendente accorgersi della truffa perché la pagina riprodurrà fedelmente un portale aziendale cui lui stesso è solito collegarsi. Così inserirà in buona fede i propri dati.

A questo punto l’hacker è in possesso delle credenziali di accesso del dipendente ed è possibile che queste permettano l’accesso a più di una applicazione aziendale. Potrà quindi intrufolarsi all’interno dei sistemi informatici dell’azienda bersaglio.

La beffa purtroppo non finisce qui: è infatti possibile che la pagina web del sito compromesso contenga codice malevolo e che infetti al contempo il dispositivo del dipendente.

Tali tipologie di attacchi portano il focal point della Cyber Security sulla formazione dei dipendenti.  Ogni azienda è chiamata a mettere in campo attività volte a valutare il livello di resilienza dei dipendenti agli attacchi e a diffondere la consapevolezza delle conseguenze che potrebbero scaturire dalle “disattenzioni digitali”.

Un valido supporto per la sensibilizzazione del personale arriva dagli strumenti di Phishing simulato.

 

COS'È UN ATTACCO DI PHISHING SIMULATO?

Un attacco di Phishing simulato rappresenta un ottimo strumento per allenare i dipendenti a riconoscere questa tipologia di attacchi e a migliorare il loro comportamento in termini di sicurezza.

Gli attacchi simulano in tutto e per tutto un’esperienza di vita reale e aiutano i dipendenti a comprendere le diverse forme che un attacco di Phishing può assumere. Con il passare del tempo gli utenti imparano ad identificare gli attacchi, a non fare click su collegamenti dannosi e ad avvisare i responsabili della sicurezza informatica in caso di ricezione di un messaggio sospetto.

 

PIANIFICARE UN ATTACCO DI PHISHING SIMULATO

Esistono alcune regole da rispettare per garantire che il test di Phishing sia efficace e migliori i comportamenti dei dipendenti.

Vediamo quali sono gli step da seguire:

 

Step #1 - Crea una campagna
Bisogna costruire un set di contenuti di Phishing (diverse email e pagine web) da inviare ai dipendenti nel corso di un periodo prestabilito.

La difficoltà dei test deve essere strutturata in modo progressivo: se la prima email malevola è abbastanza semplice da identificare, quelle successive devono via via essere più verosimili in modo da poter valutare la risposta dei dipendenti ad attacchi sempre più subdoli.

 

Step #2 - Suddividi i dipendenti in gruppi a seconda del loro ruolo
Dividi gli impiegati in gruppi a seconda delle loro mansioni e invia loro delle email che, in virtù del ruolo, possano essere percepite come vere e sicure. Puoi ad esempio inviare all’ufficio amministrativo un invito della banca, su cui è appoggiato il conto corrente aziendale, ad aggiornare le credenziali di accesso all’home-banking.

 

Step #3 - Includi nella tua campagna tutti gli utenti
Manager e dirigenti custodiscono sicuramente le informazioni più preziose all’interno dell’azienda, ma non sono necessariamente le uniche figure prese di mira dagli hacker.

Ogni utente all’interno dell’azienda, che lavori nel dipartimento marketing o in quello legale o nelle vendite, può rappresentare la porta d’ingresso a dati e informazioni sensibili. Includi quindi nell’elenco di persone da “testare” tutti gli utenti aziendali, ricordandoti che basta un solo click per far andare a segno un attacco.

 

Step #4 - Imposta i parametri di valutazione della campagna
Per valutare l’efficacia di una campagna di Phishing simulato è necessario impostare i parametri chiave che si desidera misurare. Di seguito i principali:

    • percentuale di click su link o apertura allegati dannosi;
    • numero di dipendenti che forniscono dati sensibili (ossia che forniscono una combinazione di utente e password);
    • numero di dipendenti che hanno segnalato un’email di Phishing.

Grazie all’analisi dei risultati, sarà possibile identificare gli utenti e i reparti più esposti al fine di pianificare un’adeguata attività di formazione e sensibilizzazione.

 

ADOTTARE UN SOFTWARE PER LA GESTIONE DELLE CAMPAGNE DI PHISHING SIMULATO E LA FORMAZIONE DEI DIPENDENTI

Sul mercato esistono software dedicati all’implementazione di campagne di Phishing simulato e alla formazione dei dipendenti. Utilizzare software specifici ti permette di accedere a modelli di email pronti all’uso – e comunque personalizzabili – basati su reali esche del Phishing usate dai cyber-criminali.

A questo si aggiunge la possibilità di utilizzare specifici moduli formativi che, attraverso un mix di attività pratiche, giochi e scenari ipotetici, consentono agli utenti di fare pratica nel riconoscere ed evitare un’ampia gamma di rischi per la sicurezza aziendale, dagli attacchi di Phishing a minacce interne.

Tali piattaforme prevedono inoltre report in costante aggiornamento delle campagne, permettendoti di analizzare le statistiche e di strutturare e veicolare ai dipendenti specifiche attività di formazione e valutazione in base ai loro comportamenti riscontrati durante gli attacchi simulati. Rappresentano quindi un valido aiuto nella promozione di una cultura della sicurezza informatica condivisa in azienda.

 

New call-to-action

 

Autore dell'articolo: Pier Giorgio Bergonzi
LinkedIn