Simulare attacchi phishing e truffe email per addestrare gli utenti

Il Security Awareness Training di Proofpoint punta a esporre gli utenti a vere email truffaldine, per insegnare loro a riconoscerle e segnalarle al team di sicurezza

Email security phishing man swimming
Credit immagine: Depositphotos

Secondo una ricerca Verizon, nel 96 percento delle violazioni di dati ha richiesto che qualcuno nell’azienda attaccata compiesse – volontariamente o meno – un qualche tipo di azione a favore dell’attaccante: aprire un allegato, cliccare un link, modificare impostazioni, comunicare credenziali o altre informazioni riservate… E nel 93 percento dei casi la richiesta truffaldina è arrivata via email.

“Dobbiamo comprendere che sempre più spesso sono le persone a essere attaccate, e non l’infrastruttura, anche con pratiche truffaldine che non richiedono nemmeno di eseguire malware, come gli attacchio di tipo Business Email Compromise”, afferma Adenike Cosgrove, responsabile Cybersecurity Strategy International di Proofpoint, azienda di cybersecurity ormai a tutto tondo ma specializzata nella protezione dell’email, sia con soluzioni tecnologiche (filtri email, sandbox, analisi del malware…), sia attraverso il training specifico del personale. Gli attacchi Business Email Compromise spesso sono mirati a far disporre pagamenti indebiti, per esempio falsificando fatture o fingendo di essere un dirigente interno all’azienda che necessita di disporre un pagamento urgente.

Ancor più che nel caso delle protezioni di tipo tecnico, con attacchi di questo tipo è necessario muoversi in anticipo per valutare quali siano i soggetti a più alto rischio in base al ruolo e alla funzione aziendale ricoperta (i criminali sono sempre più bravi nel reperire dai social network le informazioni sui propri bersagli), e in base alla personale attitudine a cadere nelle trappole dei truffatori.

Proofpoint Security Awareness: il training sul campo

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

La soluzione di Security Awareness Training di Proofpoint prevede di fare innanzitutto un assessment del rischio reale, inviando di dipendenti falsi messaggi email con diversi tipi di attacco (phishing, malware, truffa…). “Bisogna identificare chi sono le persone che cliccano sempre, quelle più propense a cadere vittima di alcuni attacchi e meno di altri”, prosegue Cosgrove: “Quali sono le funzioni più vulnerabili? Forse le risorse umane, che ricevono e aprono decine di curriculum in Pdf? O la persona di area Finance che può essere spinta a modificare delle coordinate di pagamento nell’anagrafica dei fornitori?”.

Adenike Cosgrove, Cybersecurity
Strategy International di Proofpoint

Stabilita una linea di base della consapevolezza dei dipendenti, è possibile predisporre una formazione altamente personalizzata che non si limita a un noioso corso in aula, ma raggiunge i dipendenti con informazioni brevi e molto pratiche durante il lavoro quotidiano. Il sistema invia periodicamente degli attacchi simulati, e al dipendente che cade nella trappola viene spiegato che il suo comportamento avrebbe esposto l’azienda a un rischio.  Un’informazione precisa, rilevante e che arriva in un momento in cui l’attenzione del dipendente è molto alta.

“Il nostro vantaggio è che attraverso le nostre soluzioni tecniche filtriamo ogni giorno migliaia di messaggi con campioni di attacchi reali. Invece di limitarci a bloccare questi messaggi e impedire il loro recapito, possiamo neutralizzarli e farli comunque arrivare al destinatario come attacco simulato, che diventa occasione di training”.

L’utente non è solo soggetto passivo del training, ma può diventare attore del processo di cybersecurity. Un’estensione di Outlook permette di segnalare al team di security un messaggio sospetto che, se confermato come malevolo, può esser immediatamente cancellato da tutte le mailbox dei colleghi in azienda.

Attenti al cloud e ai piccoli pagamenti

Molte comunicazioni nei team di lavoro oggi non passano più dall’email, ma da strumenti di collaborazione come Slack, Microsoft Team, Facebook Workplace o altro. Questi strumenti sembrano più sicuri, perché l’identità del mittente di un messaggio è più garantita, ma non sono esenti da rischi. “Tutti questi strumenti inviano via email delle notifiche che è molto semplice imitare, inserendo però nel messaggio link a siti di phishing che possono rubare le credenziali di accesso”, avverte Cosgrove “E alle credenziali email oggi sono collegati molti servizi come applicazioni Office, storage condiviso e risorse cloud di ogni tipo, che saranno sempre più spesso bersaglio di attacchi che non saranno portati alle infrastrutture dei cloud provider – solitamente ben protette – ma alle persone che gestiscono gli account”.

Come dicevamo, i criminali stanno anche cambiando il profilo dei bersagli delle proprie truffe: invece di attaccare poche persone di vertice in grado di movimentare ingenti quantità di denaro, cercano di approcciare persone di livello inferiore ma che hanno una certa disponibilità di spesa. “Il 77 percento degli attacchi prende di mira manager di primo livello, ma con accesso a conti o carte dell’azienda”, afferma Cosgrove, che aggiunge: “le procedure interne di molte organizzazioni di solito impongono dei limiti di spesa oltre i quali sono necessarie autorizzazioni dei dirigenti o degli organi di controllo. I criminali cercano di scoprire quale sia questo limite, e regolano le proprie richieste truffaldine per stare al di sotto di esso”.

Molto spesso l’IT non ha idea di chi siano queste persone. Il consiglio di Cosgrove per la funzione IT è quindi di uscire dai propri uffici per comprendere al meglio il funzionamento del business aziendale: chi sono le persone chiave nei vari team di lavoro? Quali applicazioni utilizzano? Come comunicano con fornitori e partner? Non ci si può più nascondere dietro un firewall e sperare di essere al sicuro.

Andrea Grassi
Editor di Computerworld e CIO Italia Giornalista professionista, ma con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatica in Italia. È stato redattore di .Net Internet Magazine, il Mio Computer e MacFormat, responsabile di redazione di Computer Magazine, PC Magazine, Hacker Jorunal, Total Computer e del portale CHIP Download. Come publisher ha curato l’edizione italiana di CHIP, PC World, Macworld e ha ideato e lanciato le riviste mensili iPad Magazine e Android Magazine. È autore dei libri Windows XP per tutti e Mac OS Tiger pubblicati da McGraw-Hill e ha tradotto svariati altri manuali di programmazione, cybersecurity e per software professionali. Dal 2015 cura per Fiera Milano Media le testate Computerworld e CIO Italia dell’editore americano IDG. Ha seguito in particolar modo l’evoluzione di Internet, dagli albori della sua diffusione di massa, analizzandone gli aspetti tecnici, economici e culturali, i software di produttività, le piattaforme web e social, la sicurezza informatica e il cybercrime. Più di recente, segue le tematiche relative alla trasformazione digitale del business e sta osservando come l’intelligenza artificiale stia spingendo ogni giorno più in là il confine della tecnologia. Puoi contattarlo via email scrivendo ad andrea.grassi@cwi.it e seguirlo su Twitter (@andreagrassi) o Linkedin.