Phishing Simulation

Come evidenziato anche dal Rapporto Clusit 2022, il numero di cyber attacchi è in costante aumento. L'e-mail rimane un vettore di minaccia primario. A crescere, però, non è solo la quantità, ma anche la “qualità” degli attacchi.

Il phishing rappresenta una delle tecniche di hacking più comuni ed efficaci. Il peso del phishing, infatti, grava sempre più sulle casse delle imprese: secondo una recente ricerca del Ponemon Institute, realizzata in collaborazione con Proofpoint, il danno globale del phishing nel 2021 è pari a circa 14 Miliardi di dollari.

Per quanto riguarda l’Italia, con particolare riferimento al financial cybercrime, in relazione ai fenomeni di phishing, smishing e vishing – tecniche utilizzate per sottrarre illecitamente credenziali di accesso ai sistemi di home banking, codici dispositivi, numeri di carte di credito, chiavi private di crypto-wallet – la Polizia postale e delle comunicazioni ha registrato 15.068 casi nazionali.

Il phishing è una tra le forme di minaccia informatica più note. Il termine “phishing” – utilizzato per la prima volta nel 1996 – è una variante della parola inglese "fishing", letteralmente "pescare": si tratta, infatti, di una tipologia di truffa realizzata attraverso l’inganno degli utenti, che vengono “presi all’amo” principalmente (ma non unicamente) attraverso messaggi di posta elettronica ingannevoli.

Data la popolarità del fenomeno, verrebbe da domandarsi perché gli attacchi di phishing continuino a funzionare. La risposta è semplice: anno dopo anno le tecniche di attacco diventano più sofisticate, si evolvono e si rivelano sempre più difficili da monitorare ed intercettare. Se, infatti, un tempo le e-mail di phishing erano riconoscibili per l’utilizzo di un linguaggio impreciso o di immagini sgranate e chiaramente manipolate, oggi sono molto più temibili e contengono URL che rimandano a pagine realizzate con dovizia di particolari al fine di ingannare anche gli utenti più esperti.

I cyber-criminali, inoltre, stanno sviluppando mezzi sempre più efficaci per raccogliere credenziali. Così, se il crescente uso di MFA ha ostacolato l’acquisizione fraudolenta degli account, gli aggressori hanno trovato il modo di reagire tramite campagne di phishing che utilizzano un attacco man-in-the-middle per sconfiggere l'autenticazione a più fattori.

Non bisogna dimenticare, inoltre, che oggi anche i phisher meno esperti possono acquistare veri e propri “phishing kit”: grazie al cosiddetto “Phishing as a Service” (PhaaS), gli aggressori possono accedere a campagne di phishing su vasta scala senza doverle configurare autonomamente, utilizzando kit di phishing preconfezionati.

L'obiettivo del phishing è quello di sfruttare il comportamento umano. In altre parole, i criminali informatici si “affidano” all'obiettivo dell'attacco, puntando sulla sua inconsapevolezza o disattenzione, così come sulla disinformazione sulle recenti tattiche di phishing.

I nuovi metodi di attacco sono sviluppati proprio per sfruttare il comportamento umano: gli utenti non sono consapevoli delle loro vulnerabilità o non sono in grado di comprenderne i rischi. Ecco perché le aziende dovrebbero “allenare” i propri dipendenti e collaboratori mediante mirati piani di Cyber Security Awareness Training. La formazione, in particolare, si dimostra più efficace quando è in grado di catturare l’attenzione degli utenti, coinvolgendoli attivamente.

Eseguire simulazioni di attacchi informatici benigni (“phishing simulation”) all’interno di un’organizzazione, oltre a fornire dati imparziali circa la suscettibilità ad attacchi di phishing della stessa, costituisce un efficace mezzo per formare attivamente i dipendenti e aumentare la loro consapevolezza, riducendone, al contempo, la suscettibilità agli attacchi.

È possibile simulare varie tipologie di attacco, quali, ad esempio:

• Data Entry: mira a raccogliere credenziali di accesso indirizzando l’utente verso una pagina web dall'aspetto noto;
• Allegati malware: se l'utente apre l'allegato contenuto nel messaggio, viene eseguito un codice arbitrario che aiuterà l’attaccante a compromettere il dispositivo del bersaglio;
• Collegamenti web dannosi: collegamenti dannosi, mascherati per somigliare a collegamenti attendibili, contenuti all’interno di un messaggio, che portano l’utente a siti “infetti”.

Gli attacchi di tipo phishing oggi rappresentano circa il 15% delle infezioni di malware aziendali. È quindi importante ricordare che i dipendenti, nel caso di attacchi di phishing, costituiscono la prima linea di difesa di un’azienda. Per tale motivo diventa fondamentale costruire piani di awarness mirati che diminuiscano la suscettibilità del personale al phishing.

A ciò si aggiunga che i costi per rimediare ad un’eventuale infezione sono in costante aumento. Il peso economico relativo al BEC (Business Email Compromise), ossia alla violazione delle caselle postali – a differenza di quanto si potrebbe pensare – rappresenta per le aziende un danno economico ben più grave di quello relativo ad eventuali riscatti. A ciò si aggiunga che non sempre il phishing comporta necessariamente un ransomware: un attacco, infatti, può avere come unico obiettivo la sottrazione di informazioni riservate.

Gli attacchi di phishing rappresentano uno dei rischi più comuni che i nostri clienti devono affrontare. Per questo motivo, abbiamo deciso di affiancare le aziende nella realizzazione di piani di formazione efficaci e personalizzati, specifici per il relativo profilo di rischio, consentendo alle stesse di conoscere, tramite i risultati delle phishing simulation, lo stato attuale di preparazione agli attacchi dei propri dipendenti, al fine di cambiarne i comportamenti con azioni di awarness mirate.

Contatta il team Advisory di Lutech per ricevere maggiori informazioni!