Gli esseri umani rappresentano la più grande vulnerabilità alla sicurezza informatica delle organizzazioni. I fattori umani, infatti, sono considerati il principale anello debole nella catena della sicurezza informatica e, proprio per questo, obiettivo principale dei cyber criminali.
I criminali informatici, in effetti, stanno sviluppando tecniche e metodi sempre più sofisticati di social engineering per compiere furti di informazioni e identità. Il vettore d’attacco principe di ingegneria sociale negli ultimi anni è l’ attacco phishing.
Il primo passo per difendersi dal phishing è prevenirlo andando a lavorare sulla formazione e sulla consapevolezza dei propri dipendenti. Il rapporto tra attacchi phishing / come difendersi è una parte essenziale nella costruzione di una strategia di cyber security efficace. In questo contesto in cui la vulnerabilità è umana si parla di cognitive security.
Addestrare i dipendenti di un’organizzazione a identificare gli attacchi di phishing è quindi la prima barriera di difesa per prevenire gli attacchi. Cerbeyra con la sua funzionalità di phishing simulator permette di creare delle simulazioni d’attacco per testare il livello di vulnerabilità delle proprie risorse umane, dando inizio alla propria strategia di cognitive security.
Definizione di phishing e come difendersi
Il Phishing, è definito dalla Polizia Postale come una tipologia di truffa realizzata sulla rete Internet tramite messaggi di posta elettronica ingannevoli.
Definendolo con termini più tecnici, il Phishing è un attacco di ingegneria sociale in cui un phisher tenta di indurre l’utente a rivelare informazioni sensibili impersonando illegalmente identità o organizzazioni affidabili, attraverso schemi di attacco ben precisi.
Uno degli schemi d‘attacco phishing più usato è quello che reindirizza gli utenti verso siti Web dannosi dopo aver cliccato sul link malevolo presente nella mail ricevuta. Le email di phishing non sono gli unici mezzi usati dai cyber criminali nei loro attacchi. Spesso il phishing avviene tramite una telefonata, un SMS ed in questo caso si parla di smishing, Instant Messaging. Ma ultimamente sono ancora più complessi, come ad esempio video fake e voce deepfake di una falsa identità.
Negli ultimi anni gli attacchi di phishing sono passati da campagne di email massive verso utenti non specifici e spesso con contenuti sgrammaticati e grossolani facilmente individuabili, a un phishing più selettivo inviando e-mail a specifiche tipologie vittime. Questa tecnica più sofisticata e selettiva è chiamata spear-phishing.
Spiegato nel dettaglio cos’è e con che mezzi viene finalizzato l’attacco, la vera domanda che le organizzazioni si pongono è come difendersi dal phishing.
Esistono delle attenzioni generiche che consentono di proteggersi dal phishing:
- Fare attenzione all’ortografia utilizzata: se risulta qualcosa di strano nella grammatica o nella punteggiatura è un campanello d’allarme.
- Fare attenzione ai link e alle richieste con carattere d’urgenza, cercando sempre di verificare il sito ufficiale evitando click ai link interni alla mail.
- Anche dalla presenza di allegati compressi o con estensioni particolari è meglio diffidare.
Ma come abbiamo detto, oggi quello che preoccupa è lo spear phishing. É un attacco specifico e sofisticato che si basa su ricerche di ingegneria sociale in grado di bypassare queste accortezze comuni. Per educare i dipendenti allo spear phishing c’è Cerbeyra.
Phishing Simulator di Cerbeyra
Il quadro appena descritto consente di chiarire bene quanto sia importante capire il livello di vulnerabilità dei propri dipendenti tramite delle simulazioni d’attacco. La simulazione di attacchi phishing consente all’organizzazione di avere ben chiaro la necessità di formazione e di consapevolezza verso questa tipologia di attacchi da parte delle proprie risorse umane. Questa è una parte essenziale nella pianificazione di una strategia di sicurezza informatica e delle informazioni.
Addestrare i dipendenti di un’organizzazione a identificare gli attacchi di phishing è importante, soprattutto sapere cosa fare se e quando ne riceveranno uno è il primo passo per difendersi dal phishing.
Fare formazione sul tema permette di rafforzare l’importanza anche di altre politiche, ad esempio la creazione di password complesse e le politiche di sicurezza nel trattamento dei dati.
Dopotutto, le credenziali sono la principale tipologia di dati raccolti dai cyber criminali negli attacchi di phishing. Poter disporre di una piattaforma come Cerbeyra per l’addestramento e la simulazione permette una formazione continua, mantenendo
i costi del training sostenibili e riducendo significativamente l’errore umano.
Cerbeyra è una piattaforma Cyber Threat Intelligence in grado di rappresentare scenari di probabili minacce. Analizza la presenza di vulnerabilità e criticità nei sistemi e nelle infrastrutture ICT interne, esterne, gli ambiti OSINT, CLOSINT e DARKWEB alla ricerca di potenziali minacce, e verifica inoltre il livello di rischio comportamentale delle persone di un’organizzazione.
La sua funzionalità di phishing simulator permette di verificare il livello di consapevolezza ed addestramento degli utenti al rischio di attacchi di social engineering, permettendo al management di capire a quali aspetti comportamentali e a quali BIAS cognitivi i vari utenti possono essere più o meno suscettibili e su cui è consigliabile intervenire.
In questo modo, con Cerbeyra il management potrà porre le basi per difendersi dal phishing.