Le simulazioni di phishing sono diventate una pratica comune in molte aziende, progettate per testare il grado di attenzione, di consapevolezza e la preparazione dei dipendenti nel saper riconoscere e difendersi dalle minacce informatiche.
Recentemente, una di queste simulazioni ha impiegato una truffa che utilizzava il nome di Taylor Swift, suscitando una serie di reazioni, alcune delle quali divertite, altre invece più diffidenti riguardo ai limiti di tali test.
Quale che sia la reale efficacia di questo strumento nel testare le competenze in materia di sicurezza informatica, è bene fare proprie le buone pratiche da seguire per proteggersi dal phishing e anche, perché no, per riconoscere un attacco simulato e superare brillantemente i test aziendali.
Indice degli argomenti
Cosa sono le simulazioni di phishing
Le simulazioni di phishing aziendale sono test progettati per verificare la preparazione dei dipendenti contro potenziali minacce informatiche.
Le aziende spesso collaborano con società specializzate, come KnowBe4, per inviare e-mail simulate ai propri dipendenti. Queste e-mail possono sembrare autentiche e offrire promesse allettanti, come bonus, buoni regalo o biglietti per eventi esclusivi, al fine di indurre i destinatari a cliccare su link o fornire informazioni personali.
CyberSecurity360 ha potuto constatare che anche in Italia la tendenza per queste pratiche è ormai consolidata, soprattutto in aziende grandi e ben strutturate.
Finora non ci sono state evidenze nel nostro Paese, a differenza di ciò che può accadere negli Stati Uniti o in Canada, di decurtazioni stipendiali per non essere riusciti a superare il test o di premi aziendali per aver dimostrato una buona formazione cyber.
In genere, il dipendente male (o poco) informato che, durante una simulazione di phishing, clicca sul link contenuto nel messaggio di test verrà successivamente invitato dall’organizzazione stessa, a distanza di qualche giorno, a effettuare un corso di formazione ad hoc già strutturato per lui.
Come funzionano in Italia le simulazioni di phishing
A parte tutti i casi già menzionati sopra, qualche organizzazione utilizza anche la leva della sicurezza della postazione di lavoro, per attirare l’attenzione del dipendente.
Dalla simulazione che abbiamo potuto analizzare in prima persona, vediamo una campagna di simulazioni organizzata dalla società Proofpoint, colosso multinazionale di cyber security, indirizzata all’utilizzo da parte delle aziende italiane.
Come si vede nell’immagine, viene creata l’urgenza con l’esca di un cambio password programmato che, in molte realtà private, fa parte di una policy aziendale ben consolidata e quindi ben nota a tutti i dipendenti con una certa anzianità di servizio.
In realtà, l’analisi dell’indirizzo del mittente non deve essere trascurata in quanto permette di scoprire che è sicuramente esterno all’organizzazione presa in esame (che preferiamo tenere anonima). Inoltre, il testo dell’e-mail presenta gli errori grammaticali tipici del phishing.
Per fortuna, facendo clic sul pulsante “malevolo” viene svelato l’intervento di una società di sicurezza dietro tale campagna e, a distanza di alcuni giorni, il dipendente verrà invitato (internamente) ad effettuare un corso di formazione sul phishing, con test di verifica finale.
Come proteggersi dal phishing
- Verificare attentamente l’origine dell’e-mail: prima di fare clic su qualsiasi link o fornire dati sensibili, controllare attentamente l’indirizzo e-mail del mittente. Assicurarsi che provenga da una fonte affidabile. In caso di dubbi, contattare il reparto IT o la sicurezza informatica aziendale.
- Riconoscere i segnali di avvertimento: molte simulazioni di phishing presentano segnali di avvertimento, come errori grammaticali o stranezze nel testo dell’e-mail. Prestare attenzione a tali indizi ed essere scettici nei confronti di offerte troppo allettanti per essere vere può sicuramente aiutare.
- Evitare di fornire informazioni personali: le simulazioni possono richiedere informazioni sensibili come password o dati finanziari. La tua azienda non dovrebbe mai chiederti tali informazioni tramite e-mail. In caso di incertezza, contattare il reparto delle risorse umane o il reparto IT per confermare la richiesta.
- Segnalare le e-mail sospette: se si ricevono e-mail che sembrano sospette, segnalarle al reparto IT o alla sicurezza informatica aziendale, è la mossa migliore. La segnalazione tempestiva può contribuire a prevenire potenziali minacce e dimostrare che il dipendente è formato in tal senso.
- Partecipa alla formazione sulla sicurezza informatica: molte aziende offrono programmi di formazione sulla sicurezza informatica. Partecipare a tali corsi può aiutare a riconoscere e affrontare minacce informatiche.
Le simulazioni di phishing aziendale sono un metodo valido per testare la preparazione dei dipendenti contro minacce informatiche, ma non bastano: è essenziale essere vigili e adottare buone pratiche per proteggere la propria sicurezza informatica.
Per non cadere vittima del phishing è importante seguire i suggerimenti sopra elencati e contribuire a mantenere un ambiente di lavoro più sicuro e protetto da potenziali minacce informatiche.
