Simulazione di un attacco phishing

In risposta alle nuove tecniche di cyber security adottate dalle aziende per proteggere i propri dati, hacker e organizzazioni cyber criminali hanno modificato le proprie strategie di attacco. Il panorama degli attacchi contro le reti aziendali vede un perfezionamento nell’utilizzo del social engineering e una maggiore concentrazione sull’interazione umana, più che sull’utilizzo automatizzato di malware. In un mercato in cui dati personali e informazioni sensibili sono merce di scambio, i criminali informatici studiano con attenzione le persone e i loro comportamenti, i ruoli che ricoprono in azienda, i dati ai quali hanno accesso, con l’obiettivo di individuare un punto debole da sfruttare per riuscire a fare breccia.
Il phishing è tra gli attacchi informatici quello che forse più di altri cerca di sfruttare le vulnerabilità umane e, secondo gli ultimi dati dell’Associazione Italiana per la Sicurezza Informatica, il suo utilizzo è in costante crescita.

Che cos’è il phishing

Con il termine phishing viene identificata una tipologia di attacco hacker che si avvale dell’invio di un messaggio o di una comunicazione fraudolenta ad un indirizzo email. Obiettivo del phishing è far percepire alla vittima che il messaggio è stato inviato da un mittente affidabile e, con l’inganno, portarla a fornire informazioni sensibili.
Solitamente il messaggio di phishing risulta provenire da un indirizzo di posta elettronica che risulta molto simile a quello di un collega, di un istituto di credito o di un’azienda affidabile, ma che differisce da un messaggio vero per alcuni dettagli, come per delle parole scritte in maniera errata, lettere o punti non corretti. All’interno del messaggio fraudolento è solitamente presente un link, sul quale la vittima viene invitata a cliccare e che rimanda ad un sito web del tutto simile ad uno considerato affidabile dove verrà chiesto di inserire credenziali, password o, in generale, informazioni che possono portare ad accedere a dati sensibili.
Sono poi queste informazioni, come username, password, codici identificativi, che vengono utilizzate da chi esegue l’attacco per accedere alle risorse di suo interesse, come dati, aree riservate e conti personali. Sembra che uno dei mezzi più vulnerabili all’attacco phishing sia l’email aziendale, ma può essere portato avanti anche attraverso social network, applicazioni di messaggistica, piattaforme di scambio e condivisione di documenti.

Che peso ha il fattore umano negli attacchi informatici

È evidente come in un attacco phishing risultino fondamentali il fattore umano, il comportamento degli utenti e le loro scelte digitali. Dipendenti e risorse umane aziendali devono essere consapevoli delle tipologie di minacce informatiche e imparare ad individuarle in maniera preventiva. Assume quindi un ruolo di primaria importanza all’interno di un piano di cybersecurity aziendale, la formazione dei dipendenti e la creazione di policy da seguire per identificare situazioni di potenziale rischio così da poterle gestire in tempo. La formazione dei dipendenti deve fornire competenze per segnalare gli eventi inattesi e rispondere ad essi. Per questo, deve essere costituita da una attenta e costante campagna informativa, ma anche da momenti di simulazione, nei quali i dipendenti possono verificare di aver acquisito competenze e gli esperti di sicurezza possono valutare il fattore di rischio umano, ovvero la percentuale di risorse che, pur avendo seguito una formazione, può cadere vittima di scenari simulati di phishing.

Cos’è un attacco di phishing simulato

Un attacco di phishing simulato permette ai dipendenti di capire come l’attacco può essere perpetrato, comprendere le diverse forme che un attacco può assumere e migliorare il proprio comportamento in fatto di sicurezza. La simulazione aiuta gli utenti a identificare nel tempo eventi rischiosi e ad avvisare i responsabili della sicurezza informatica in caso di ricezione di un messaggio sospetto.

Gli step di un attacco di phishing simulato

Per poter essere efficace, la simulazione di attacco di phishing deve seguire alcuni step di progettazione ed esecuzione.

• La prima fase è di progettazione: è in questo momento che si costruisce un set di contenuti di phishing, come email e pagine web, che verranno inviate ai dipendenti all’interno di un periodo prestabilito. Il test deve essere strutturato in modo da fornire un progressivo livello di difficoltà e permettere ai dipendenti di misurarsi con tipologie di email differenti e più o meno subdole;
• La seconda fase prevede la suddivisione dei dipendenti in gruppi in base alle mansioni e ai ruoli svolti all’interno dell’azienda. Email differenti devono infatti essere inviate ai diversi gruppi, costruite per essere percepite da ciascuno come veritiere e affidabili; è bene ricordare che anche se le informazioni più sensibili vengono gestite principalmente da persone che ricoprono ruoli apicali, ogni utente che utilizza la rete aziendale può essere sfruttato per permettere involontariamente l’ingresso a dati importanti. Per questo, è bene utilizzare lo strumento di simulazione per testare tutti gli utenti;
• il terzo passaggio consiste nell’impostazione della campagna e, in particolare, dei parametri di valutazione della campagna stessa. Affinché la simulazione sia efficace e la campagna di phishing simulata sia utile a stabilire il grado di rischio, è necessario impostare i parametri che si desidera misurare, come ad esempio la percentuale di click su link o apertura di allegati dannosi, il numero di dipendenti che arrivano involontariamente a fornire dati sensibili, o che al contrario, interpretano correttamente l’email di phishing e la segnalano perché la considerano rischiosa.

A partire dall’analisi dei risultati, è possibile per i responsabili della sicurezza informatica individuare gruppi di utenti, divisioni e reparti maggiormente esposti, per poter pianificare attività di formazione anti-phishing mirate ad arginare le criticità individuate.