Sì, su Cash App circolano vari tipi di truffa, tra cui la compravendita di contanti, i pagamenti accidentali e i messaggi di phishing. Le truffe che
Aggiornato in data 11 aprile 2023.
Il phishing è un problema che dev’essere preso sul serio dalle aziende, a prescindere dalle loro dimensioni e dal settore in cui operano. Il miglior modo per proteggere la propria azienda da un inevitabile attacco di phishing è prepararsi in anticipo. Istruire i dipendenti ed eseguire appositi test garantisce che i collaboratori siano in grado di individuare eventuali tentativi di phishing.
Per eseguire test da manuale per una campagna anti-phishing, è necessario innanzitutto cercare uno strumento che aiuti a gestire il test, progettarlo e infine analizzarne i risultati. In questo articolo, vedremo come eseguire un test di phishing nell’ambiente di lavoro, in modo che i dipendenti siano pronti a individuare questi attacchi prima di diventare vittime di truffe reali.
Che cos’è il phishing?
Il phishing è un tipo di attacco informatico in cui l’aggressore tenta di ottenere informazioni sensibili spacciandosi per una persona che la vittima conosce e di cui si fida. Nella maggior parte dei casi, gli attacchi di phishing avvengono tramite messaggi o e-mail dai toni spesso concitati che invitano la vittima ad agire nel modo più rapido possibile.
Facciamo un esempio concreto: hai aperto la posta e ricevuto un’e-mail dalla banca Chase riguardante un aggiornamento del tuo conto bancario. L’e-mail sembra importante, inoltre somiglia proprio a quelle che di norma ricevi da Chase, pertanto fai clic sul link. Quel link, invece, è dannoso e rimanda a un sito falsificato, che è stato creato per sembrare ufficiale, ma in realtà non lo è. Una volta inserite le informazioni di login sul sito, in sostanza, hai ceduto le tue credenziali al malintenzionato senza nemmeno rendertene conto. Ora il malintenzionato possiede tutte le informazioni necessarie per accedere al tuo vero conto Chase.
Sul posto di lavoro, un’e-mail di phishing potrebbe arrivare sotto forma di e-mail del manager, ma con piccoli errori ortografici, oppure da parte di un collega che scrive tramite un indirizzo con un dominio leggermente diverso dal solito. In genere, questo tipo di e-mail chiede di fornire informazioni sensibili che il malintenzionato utilizzerà in seguito per rubare o per danneggiare in qualche modo l’azienda.
Che cos’è un test di phishing?
Un test di phishing è una misura che consente alle aziende di inviare ai dipendenti delle e-mail finte, ma realistiche, per vedere come si comportano. Questi test consentono alle aziende di capire quanto i propri dipendenti siano pronti a riconoscere gli attacchi di phishing, fornendo loro degli appositi training in caso di interazione. Ricevendo degli attacchi di phishing simulati, i dipendenti impareranno come individuare quelli reali, proteggendo l’azienda nel lungo periodo.
Come preparare i dipendenti a un test di phishing
Prima di iniziare con le finte e-mail di phishing, è necessario trovare un apposito strumento da utilizzare per eseguire il test. Ce ne sono molti a disposizione, incluse versioni gratuite e open source come Gophish. In alternativa, si possono prendere in considerazione prodotti commerciali come KnowBe4 e Infosec IQ.
Una volta scelto il tool, occorre dare informazioni e formare i dipendenti: dopotutto, l’obiettivo è quello di sensibilizzarli sui pericoli del phishing e quindi testare come si comportano.
Eseguendo il test prima di avvisare i dipendenti, potresti rischiare di perdere la loro fiducia e di farli sentire giudicati dal reparto IT. Avvisando e istruendo i dipendenti in anticipo, invece, aumenteranno le probabilità che essi percepiscano quest’esperienza come una preziosa occasione di apprendimento, anziché come un tentativo di vedere chi commette imbarazzanti errori.
Sarà inoltre necessario radunare i dirigenti e i responsabili di reparto per impostare i parametri del test. Molti phisher utilizzano tattiche di social engineering, ad esempio, fingersi colleghi o dirigenti, per aumentare le probabilità di riuscire a ingannare le proprie vittime. Per decidere come attaccare determinati dipendenti nel modo in cui lo farebbe un vero malintenzionato, pertanto, in genere è buona norma collaborare con i responsabili di reparto.
È importante chiarire in che modo i dipendenti possano segnalare i tentativi di phishing. Devono inoltrare l’e-mail al team IT? Oppure riportare l’accaduto al management? I dipendenti sono più propensi a segnalare le e-mail quando ciò non interrompe il loro flusso di lavoro, quindi la procedura di reporting deve essere la più snella possibile. Prima di scegliere un tool di phishing aziendale, è importante tenere presente che la procedura di reporting varia a seconda del tool.
Come progettare un test di phishing
Una volta preparate le basi, è possibile iniziare a definire alcuni dettagli del test, ad esempio, quanto durerà, quali schemi di phishing verranno testati, quali parametri saranno esaminati e chi sarà sottoposto al test.
I test di phishing più lungimiranti vengono inviati a ciclo continuo, poiché le aziende assumono costantemente nuovi dipendenti da formare e mettere alla prova. Ogni nuova persona che entra in azienda inizia con una falsa e-mail di phishing al mese, seguendo un modello che all’inizio è palese, dopodiché scala di livello fino a diventare un’e-mail di social engineering che sembra provenire da un collega. La gradualità aiuta i dipendenti ad acquisire fiducia, anziché scoraggiarsi per aver fallito al primo test.
Prima di iniziare con l’invio delle e-mail, è inoltre importante decidere insieme al team quali tipi di attacchi di phishing utilizzare. Ad esempio, è utile utilizzare lo spear phishing per colpire individui specifici? È preferibile fare ricorso al whale phishing con il CEO e altri quadri dirigenziali? È utile includere anche attacchi di clone phishing? In linea di massima, è consigliabile utilizzare diversi tipi di attacchi, in modo da testare la capacità dei membri del team di riconoscere ciascuno di essi.
Per valutare e interpretare con precisione ciò che accadrà durante il test, sarà anche necessario selezionare quali parametri dovranno essere monitorati. In generale, bisognerà osservare questi tre parametri:
- Il numero di dipendenti che cadono nella trappola del phishing e causano una perdita di dati
- Il numero di dipendenti che riconoscono e segnalano correttamente un tentativo di phishing
- Le percentuali di clic sui link
Quando si esegue il test, bisogna inoltre ricordarsi di includere anche i dirigenti senior, i quadri dirigenziali e persino i membri del consiglio di amministrazione. I membri di questi team di alto livello rientrano spesso tra i principali obiettivi di phishing, quindi, anch’essi devono ricevere un’adeguata preparazione.
Una volta definiti tutti i dettagli, è il momento di lanciare il test. L’aspetto più importante da tenere a mente è che l’esatto lasso temporale dell’esecuzione del test deve rimanere segreto. Se i dipendenti conoscono troppo bene il programma, si aspetteranno le e-mail di phishing, falsando i risultati.
Cosa fare dopo aver ricevuto i risultati del test di phishing
Il test si è concluso, ma il lavoro non termina qui. Infatti, occorre esaminare i dati e vedere come si è comportato il personale.
Per iniziare, bisognerà capire se gli obiettivi auspicati sono stati raggiunti: nel corso del tempo, le vittime cadute nel tranello delle e-mail di phishing sono diminuite? Le percentuali di clic sui link sono diminuite? È aumentato il numero di dipendenti che hanno segnalato e-mail sospette?
Una volta esaminati tutti i dati, è il momento di prendere una decisione su come procedere. Presentare i risultati all’azienda è generalmente una buona idea, poiché in tal modo tutti potranno vedere dove siano necessari dei miglioramenti. Tuttavia, è importante non segnalare pubblicamente specifici reparti o dipendenti.
È inevitabile che alcuni dipendenti risulteranno essere meno attenti, pertanto è importante approcciarli con tatto e comprensione. Il test è pensato per essere un’esperienza di apprendimento, pertanto non c’è nessuna ragione per redarguire le persone che hanno risposto a esso in maniera meno brillante. Detto questo, per permettere alle persone di migliorare sarà necessario fornire loro una formazione aggiuntiva. La maggior parte dei tool di phishing offre la possibilità di far seguire ulteriori corsi alle persone che dovessero averne bisogno.
La sicurezza informatica inizia dai dipendenti
L’esecuzione di un test di phishing è solo una tessera del ben più ampio puzzle della sicurezza informatica. Per preservare la sicurezza aziendale nel lungo periodo, è fondamentale fare in modo che la sicurezza informatica resti sempre al centro dell’attenzione di tutti attraverso corsi di formazione periodici e test continui.
Inoltre, può essere utile migliorare anche altre aree della sicurezza aziendale implementando la gestione degli accessi privilegiati e richiedendo ai dipendenti di utilizzare dei gestori di password. Tali strumenti aiutano i dipendenti a proteggere le password con facilità, tutelando l’azienda dai più diffusi tentativi di furto delle password. Inoltre, offrono una protezione diretta dai tentativi di phishing, poiché eseguono il riempimento automatico delle password solo sugli URL reali, e non su quelli fasulli utilizzati per i siti di phishing.