Nonostante il phishing sia una pratica illecita in voga ormai da anni, chiedere al diretto interessato le proprie informazioni sensibili e' ancora il modo più efficace per un cyber criminale di ottenerle.

Maria Sole Scollo: IT security expert presso il Consortium GARR, fa parte di GARR-CERT dal 2002

Ancora oggi buona parte dello spam in circolazione viene inviato da indirizzi email compromessi attraverso campagne di phishing (spesso studiate ad hoc), e ancora oggi ci viene chiesto quali contromisure sia possibile adottare contro di esse.

A livello tecnico le possibilità di contrasto sono limitate: sostanzialmente l'attacco di phishing non si previene.
Per questo non ci sono contromisure tecniche efficaci per difendersi dal phishing, se non l'educazione degli utenti.
A tal proposito, oltre ad una formazione vera e propria che insegni agli utenti come riconoscere una mail/pagina di phishing, risulteranno molto utili delle simulazioni di campagne di phishing.

Una simulazione di phishing consiste nell'invio di mail fasulle ai propri utenti, con lo scopo di monitorare la reazione di questi e valutarne il grado di preparazione contro veri attacchi.

Per far sì che la simulazione sia efficace, dovrà essere ripetuta nel tempo ed avere una frequenza variabile ed abbastanza elevata al punto da tenere allenato l'occhio dell'utente, e pronto il suo stato di allerta. Inoltre, per misurare il grado di miglioramento dei risultati, ci sarà necessariamente bisogno di prove multiple.
Le mail di phishing evolvono diventando sempre più sofisticate, ed anche questo è un motivo per il quale è importante continuare l'esercitazione nel tempo, tenendo il passo con le novità.

Per stabilire il grado di successo di una simulazione sarà necessario correlare diversi parametri ed effettuare un'analisi piuttosto complessa ed articolata poiché, nonostante sembri che possa bastare sapere quanti utenti hanno cliccato sul link malevolo (click rate), in realtà questa unica informazione da sola non e' sufficiente a stabilire la buona riuscita del test.
Un esempio significativo è dato dall'associazione del click rate ai serial clicker: i serial clicker sono quegli utenti che tendono a cliccare su quasi tutte le simulazioni, pertanto una riduzione del click rate in questo specifico gruppo sarà espressione di un reale miglioramento della curva di apprendimento degli utenti, al contrario se il click rate diminuisse ma a cliccare fossero sempre gli stessi, non si potrebbe parlare di vero miglioramento nei risultati.

Alcuni tra i parametri di valutazione utilizzati per misurare l'apprendimento degli utenti, simulazione dopo simulazione, sono:

• click rate
• percentuale di clicker seriali
• resilienza degli utenti
• difficoltà dell'attacco

Per ottenere il massimo beneficio dalla simulazione è opportuno che ad essa segua un'adeguata formazione degli utenti vittime, che dovranno essere resi consapevoli del proprio errore e delle conseguenze che esso potrebbe portare, ed istruiti circa gli accorgimenti da seguire per non ripeterlo, senza però venire in alcun modo colpevolizzati. A tal fine i test dovranno essere svolti in modo divertente ed inclusivo, per rendere interessante la lotta al cybercrime e creare una vera e propria cultura della sicurezza.

Per non incorrere in violazioni legali e per minimizzare la possibilità di contrariare il personale, è possibile anche scegliere di attivare la partecipazione degli utenti richiedendo loro il proprio consenso e consentendo la possibilità di rinunciare.

Esistono numerose piattaforme sviluppate al fine di simulare una campagna di phishing ed è consigliato avvalersi di una di queste per svolgere i propri test. Alcuni tra i migliori tool open-source sono:

• Gophish
• King Phisher
• Phishing Frenzy

Un buon software di simulazione di phishing sarà automatizzato in modo da ridurre i dati da inserire (input), ed invierà automaticamente e-mail di phishing preconfigurate agli utenti che potranno essere personalizzate in base all'organizzazione, all'ufficio o persino all'individuo. Inoltre una buona piattaforma sarà in grado di misurare le tendenze anche a livello di singolo utente per consentire una più granulare valutazione dei risultati ottenuti.

Infine c’è da considerare anche un altro aspetto tutt’altro che irrilevante, nella scelta di avvalersi delle campagne di simulazione di phishing, quello economico: questo tipo di formazione infatti, se svolta con l’ausilio di software open-source, richiede una spesa davvero minima, rispetto ai più tradizionali, seppur indispensabili, corsi di formazione teorica.