.
Il phishing è ancora uno degli strumenti più sfruttati dai cybercriminali e, sfortunatamente, uno dei più efficaci nel forzare le difese di un sistema informativo. E dal momento che coinvolge la preparazione delle persone, l’unica contromisura efficace è quella di offrire una adeguata formazione. Le campagne di phishing simulate che CryptoNet Labs mette in campo per i propri clienti hanno lo scopo di valutare i rischi legati a questa tecnica di cyberattacco.
Essere colpiti da phishing, sia esso di massa o mirato, noto anche come spear phishing, è un infortunio sempre più comune: attraverso una richiesta, o anche il semplice invio di link o allegati, qualsiasi organizzazione può essere colpita.
Gli effetti del phishing informatico sono variabili, ma quasi sempre estremamente dannosi.
Una campagna di phishing portata a termine con successo può permettere ai cybercriminali una vasta gamma di azioni, che vanno dal controllo delle postazioni utente, alla sottrazione di credenziali strategiche, fino all’intrusione stabile nell’infrastruttura o al suo danneggiamento, come testimoniato dai recenti incidenti ransomware.
Inutile sottolineare che poter ottenere credenziali da una vittima è di estremo valore per ogni malintenzionato. Oltre a sfruttare gli accessi ottenuti in modo diretto infatti, va considerata la tendenza degli utenti a riutilizzare le stesse password sui vari account personali e aziendali. A rischio di ampliare la superficie di attacco disponibile, per esempio consentendo l’accesso attraverso VPN SSL o WiFi aziendale. In altre parole, qualora i malintenzionati ottenessero una password, potrebbero sfruttarla per tentare l’accesso a qualsiasi servizio di cui l’utente dispone e, per una semplice questione statistica, avrebbero una maggiore probabilità di successo rispetto ad altri tipi di attacco meno mirati, per esempio quelli di forza bruta, ormai quasi in disuso.
Come funziona la simulazione di una campagna di phishing
CryptoNet Labs offre un esaustivo servizio di simulazione di campagne di phishing per valutare il grado di sensibilità degli utenti e la loro reattività, non solo in un determinato istante, ma anche operando su un arco temporale esteso, tramite invii di campagne differenziate.
Come quasi sempre avviene nel contesto di verifica della sicurezza informatica, gli esperti di CryptoNet Labs operano in modo analogo a quello dei malintenzionati, simulando un attacco, in questo caso basato sulla comunicazione. Il meccanismo di base è l’invio di un messaggio ingannevole e convincente, che induce il destinatario a cliccare su link o aprire allegati la principale differenza in questo caso è che le azioni intraprese dagli utenti saranno completamente innocue e avranno solo lo scopo di monitorare il tipo di reazione del personale e valutare il grado di preparazione contro il phishing informatico.
Nel dettaglio, attraverso il messaggio e in base all’azione o alle azioni scelte come trigger gli utenti sono agganciati alla piattaforma di test. I risultati così raccolti vengono usati dai tecnici di CryptoNet Labs per valutare le contromisure tecnologiche, i riscontri ottenuti, e creare un quadro statistico completo delle vulnerabilità verso il phishing generico o lo spear phishing.
Come avviene una campagna di phishing simulata
L’attività di simulazione delle campagne di Phishing cerca di riprodurre il più possibile la gamma di attacchi esistenti nel mondo reale, attraverso la soluzione del nostro partner Cyber Guru Phishing.
Si tratta di una piattaforma SaaS automatizzata di “continuous training”, sviluppata in Italia.
Grazie alla sua particolare metodologia di lavoro nel tempo, consente di mantenere “allenate” alcune caratteristiche umane come la prontezza e la reattività rispetto al rischio di cadere vittima di un attacco Phishing.
L’unicità della soluzione è legata a due importanti caratteristiche: l’automazione, e il machine learning, che gli consentono di avere un approccio adattivo, quindi di calibrare costantemente gli scenari e le difficoltà della campagna sulla base delle azioni degli utenti.
A utenti che “abboccano” facilmente andrà a insistere sui medesimi meccanismi di inganno, innalzando invece il livello di difficoltà per quelli più virtuosi.
Anche se lo strumento principale con cui vengono veicolate le campagne di phishing è la posta elettronica, esistono altri punti di ingresso. Per esempio, oltre all’email, possono essere testati altri vettori di attacco con cui gli utenti interagiscono quotidianamente come le connessioni a Wi-Fi pubblici o i dispositivi USB. Questi ultimi sono particolarmente insidiosi perché consentono ai malintenzionati di sfruttare una tecnica chiamata USB Drop Attack. In pratica i malintenzionati abbandonano chiavette USB in posti strategici, simulandone lo smarrimento. Se un utente la collegasse al computer, per curiosità o perché animato da buone intenzioni, potrebbe ottenere diversi effetti dannosi, dall’iniezione di codice maligno all’acquisizione del controllo del computer.
Chi ne può beneficiare
Medie o grandi aziende, interessate a lavorare sul fattore umano, che spesso rappresenta l’anello debole della sicurezza. Sfruttare una campagna di phishing simulata può essere particolarmente utile per valutare la sicurezza per le realtà che trattano dati critici o sensibili. Può essere anche elemento di campagne di sensibilizzazione per utenti laddove richiesto, per esempio nel contesto delle normative GDPR, o per fare formazione in ambito di security awareness.