Simulazioni di phishing per aumentare la consapevolezza degli utenti
Nonostante il phishing sia una pratica illecita in voga ormai da anni, chiedere al diretto interessato le proprie informazioni sensibili e' ancora il modo più efficace per un cyber criminale di ottenerle.
Ancora oggi buona parte dello spam in circolazione viene inviato da indirizzi email compromessi attraverso campagne di phishing (spesso studiate ad hoc), e ancora oggi ci viene chiesto quali contromisure sia possibile adottare contro di esse.
A livello tecnico le possibilità di contrasto sono limitate: sostanzialmente l'attacco di phishing non si previene.
Per questo non ci sono contromisure tecniche efficaci per difendersi dal phishing, se non l'educazione degli utenti.
A tal proposito, oltre ad una formazione vera e propria che insegni agli utenti come riconoscere una mail/pagina di phishing, risulteranno molto utili delle simulazioni di campagne di phishing.
Una simulazione di phishing consiste nell'invio di mail fasulle ai propri utenti, con lo scopo di monitorare la reazione di questi e valutarne il grado di preparazione contro veri attacchi.
Per far sì che la simulazione sia efficace, dovrà essere ripetuta nel tempo ed avere una frequenza variabile ed abbastanza elevata al punto da tenere allenato l'occhio dell'utente, e pronto il suo stato di allerta. Inoltre, per misurare il grado di miglioramento dei risultati, ci sarà necessariamente bisogno di prove multiple.
Le mail di phishing evolvono diventando sempre più sofisticate, ed anche questo è un motivo per il quale è importante continuare l'esercitazione nel tempo, tenendo il passo con le novità.
Per stabilire il grado di successo di una simulazione sarà necessario correlare diversi parametri ed effettuare un'analisi piuttosto complessa ed articolata poiché, nonostante sembri che possa bastare sapere quanti utenti hanno cliccato sul link malevolo (click rate), in realtà questa unica informazione da sola non e' sufficiente a stabilire la buona riuscita del test.
Un esempio significativo è dato dall'associazione del click rate ai serial clicker: i serial clicker sono quegli utenti che tendono a cliccare su quasi tutte le simulazioni, pertanto una riduzione del click rate in questo specifico gruppo sarà espressione di un reale miglioramento della curva di apprendimento degli utenti, al contrario se il click rate diminuisse ma a cliccare fossero sempre gli stessi, non si potrebbe parlare di vero miglioramento nei risultati.
Alcuni tra i parametri di valutazione utilizzati per misurare l'apprendimento degli utenti, simulazione dopo simulazione, sono:
- click rate
- percentuale di clicker seriali
- resilienza degli utenti
- difficoltà dell'attacco
Per ottenere il massimo beneficio dalla simulazione è opportuno che ad essa segua un'adeguata formazione degli utenti vittime, che dovranno essere resi consapevoli del proprio errore e delle conseguenze che esso potrebbe portare, ed istruiti circa gli accorgimenti da seguire per non ripeterlo, senza però venire in alcun modo colpevolizzati. A tal fine i test dovranno essere svolti in modo divertente ed inclusivo, per rendere interessante la lotta al cybercrime e creare una vera e propria cultura della sicurezza.
Per non incorrere in violazioni legali e per minimizzare la possibilità di contrariare il personale, è possibile anche scegliere di attivare la partecipazione degli utenti richiedendo loro il proprio consenso e consentendo la possibilità di rinunciare.
Esistono numerose piattaforme sviluppate al fine di simulare una campagna di phishing ed è consigliato avvalersi di una di queste per svolgere i propri test. Alcuni tra i migliori tool open-source sono:
Un buon software di simulazione di phishing sarà automatizzato in modo da ridurre i dati da inserire (input), ed invierà automaticamente e-mail di phishing preconfigurate agli utenti che potranno essere personalizzate in base all'organizzazione, all'ufficio o persino all'individuo. Inoltre una buona piattaforma sarà in grado di misurare le tendenze anche a livello di singolo utente per consentire una più granulare valutazione dei risultati ottenuti.
Infine c’è da considerare anche un altro aspetto tutt’altro che irrilevante, nella scelta di avvalersi delle campagne di simulazione di phishing, quello economico: questo tipo di formazione infatti, se svolta con l’ausilio di software open-source, richiede una spesa davvero minima, rispetto ai più tradizionali, seppur indispensabili, corsi di formazione teorica.
Maria Sole Scollo: IT security expert presso il Consortium GARR, fa parte di GARR-CERT dal 2002 (cert.garr.it). Si occupa della gestione degli incidenti di sicurezza, supporto agli utenti e pubblicazione di security alert, oltre che di formazione relativamente a temi di cybersecurity. Si dedica inoltre allo studio e all’analisi delle fonti di Cyber Intelligence per la protezione operativa dei dati.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Telegram
Articoli nella rubrica
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009