Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI DI SICUREZZA

Phishing assessment in azienda, un test di sicurezza per prevenire gli attacchi informatici: consigli pratici

Programmare un piano di phishing assessment in azienda consente di eseguire un test di sicurezza utile a misurare la consapevolezza dell’organizzazione sulla minaccia rappresentata dal phishing e migliorare l’apprendimento degli utenti aziendali nell’ambito della sicurezza informatica. Ecco una possibile metodologia di test

18 Dic 2019
R
Walter Rocchi

Trainer, GDPR, ISO27001 LI/LA


Condurre un phishing assessment in azienda consente di effettuare un test di sicurezza grazie al quale possiamo misurare la consapevolezza di un’organizzazione sulla minaccia rappresentata dal phishing e migliorare l’apprendimento degli utenti aziendali nell’ambito della sicurezza informatica: una soluzione pratica, quindi, per prevenire eventuali attacchi informatici.

Phishing assessment in azienda: lo scenario

Per comprendere l’utilità di effettuare un phishing assessment in azienda partiamo dal racconto di un possibile scenario di attacco.

Il nostro amministratore di posta ha fatto l’impossibile per programmare dei filtri per la posta aziendale che permettono di veicolare lo spam verso i filtri interni del server di posta in modo che sia completamente trasparente ai nostri occhi, ma a volte, vuoi perché anche il sistema “più perfetto” non è mai troppo sicuro, vuoi perché si è dimenticata quella piccola regola, spam e phishing continuano, seppur in maniera intermittente, ad arrivare sui nostri laptop

Lo spam è un’e-mail pubblicitaria mentre il phishing tenta di carpire informazioni personali tramite un URL[1] falso per lo più mascherato come legittimo in un’e-mail o un messaggio di testo al nostro cellulare (in quel caso si chiama smishing). Il “bello” del phishing/smishing è che siamo noi, direttamente a fornire le informazioni richieste.

La differenza principale è che lo spam riempie la casella di posta elettronica con annunci pubblicitari non richiesti, causandoti così la perdita di alcune importanti e-mail in quel disordine, mentre il phishing può causare perdite finanziarie o furto di identità. Infatti, gli attacchi di phishing colpiscono utenti ignari, che sono l’ultima linea di difesa quando le e-mail superano il filtro della posta.

Cos’è e come funziona un attacco di phishing

Gli attacchi di phishing sono e-mail che dichiarano di provenire da un mittente legittimo al fine di ottenere informazioni sensibili come nomi utente e password, carte di credito e altre informazioni personali.

Le e-mail di phishing possono anche contenere allegati dannosi progettati per infettare computer e dispositivi mobili: si passa da una semplice e-mail che celebra la vincita della lotteria, a una sofisticata campagna mirata progettata per compromettere la rete aziendale al fine di facilitare il furto di dati e il guadagno economico.

A quel punto, tocca a noi, ignari utilizzatori (dipendenti, casalinghe o quant’altro) cercare di capire se “Elisabetta” è veramente innamorata di noi, oppure è soltanto qualcuno che cerca di rubarci l’identità:

“Ciao, mi chiamo Elisabetta ….

Sarei molto felice di conoscerti e spero di non aver sbagliato a scriverti e tu sei un uomo molto dolce e gentile e avremo un ottimo rapporto. Sarei molto felice di saperne di più su di te, ma se sei interessato alla mia lettera e mi pensi bella puoi mandarmi una mail a ev5331860@gmail.com <mailto:ev5331860@gmail.com> per conoscerci meglio!

Tua

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
Sicurezza

Elisabetta”

Questo, naturalmente, è soltanto un banale esempio che ho appena trovato nella mia cartella di spam/phishing, ed è abbastanza semplice da definire, soprattutto in virtù del fatto che la mail in oggetto è scritta in tedesco, lingua che non comprendo (un plauso ai traduttori online), mi è arrivata da eduardo.perez42@inacapmail.cl.

Onestamente, sia a me sia a voi viene da sorridere, tanta è l’ingenuità della tentata truffa. In altri casi, però, ad esempio quando si tratta di possibili prodotti commerciali o magari qualcosa di più importante, allora è opportuno introdurre delle adeguate contromisure.

Per esempio, all’inizio di quest’ anno, il caso Pathe in Olanda ha fatto scalpore.

L’amministratore delegato di Pathe Paesi Bassi è stato preso di mira da un’e-mail il cui autore dichiarava di essere l’amministratore delegato dell’ufficio in Francia. Tuttavia, in realtà si trattava di un falso indirizzo e-mail creato da criminali.

Nelle e-mail, i truffatori hanno detto al CEO olandese che Pathe stava progettando di rilevare una società con sede a Dubai e che avevano bisogno di denaro per l’acquisizione. Le e-mail hanno avvertito la vittima di non dire a nessuno del trasferimento in quanto strettamente confidenziale. A causa di questo, i truffatori hanno detto che tutta la corrispondenza sarebbe dovuta passare attraverso l’account e-mail personale.

A un certo punto, il CEO si è insospettito e ha inviato un’e-mail al CFO dell’ufficio olandese su cosa fare. La risposta è stata quella di chiedere conferma del trasferimento da un altro dirigente di Pathe France. I truffatori hanno dato il loro consenso, inviando un’e-mail da un nuovo account falso che confermava il trasferimento.

Questa e-mail di conferma sembrava essere firmata sia dal direttore di Pathe France sia dall’amministratore delegato. È stato sufficiente a convincere il team olandese ad inviare un pagamento.

Tuttavia, ai truffatori bastava un solo pagamento. Hanno continuato la truffa e sono riusciti a convincere Pathe a inviare diversi altri trasferimenti, per un totale di circa 19 milioni di euro. Le vittime non hanno scoperto cosa era successo fino a quando l’ufficio in Francia non ha iniziato a chiedere perché avevano preso soldi da un conto comune.

A me non viene più da sorridere e, probabilmente, nemmeno a voi.

L’articolo da cui ho tratto ispirazione non ci dice come siano riusciti ad iniziare la conversazione, ma risulta evidente come gli impiegati e i dirigenti non fossero in grado di affrontare un attacco phishing.

E la nostra organizzazione, i nostri dipendenti, noi stessi, siamo pronti?

Nel caso in cui non lo fossimo, sarebbe bene iniziare a “mettere a budget” un piano per la corretta gestione del phishing aziendale, considerando la possibilità di adottare una o più serie di strumenti che ci permettano di operare in tutta sicurezza.

Phishing assessment in azienda: requisiti di un test di sicurezza

Suggerisco di seguire una dettagliata metodologia di phishing assessment in azienda che sia fatto su misura per soddisfare le esigenze di business e progettato per valutare le risposte dei dipendenti alle diverse tipologie di tipi di attacchi di phishing.

Valutazione generica degli attacchi di phishing

  1. Analizzare alcune e-mail di phishing allo scopo di far comprendere quali possono essere i vettori di attacco del phishing (esempio: a volte gli autori scrivono con una grammatica piuttosto stentata).
  2. E-mail di phishing inviate dai più popolari social media o siti di Internet banking che chiedono agli utenti di fornire informazioni sensibili o aprire un allegato o di un link.

Valutazione mirata del phishing

  1. E-mail progettate per impersonare la vostra azienda o terzi di fiducia, che inducono gli utenti finali a partecipare e divulgare le informazioni sensibili.
  2. Registrazione di nomi di dominio simili (es. f.acebook.com o gooogle.com) per l’acquisizione di dati sensibili tramite moduli di login falsificati e sondaggi web destinati a raccogliere informazioni personali.

Formazione interna

  1. Una relazione completa che include metriche di valutazione e le risposte dei dipendenti.
  2. Le metriche di valutazione fornite nel rapporto possono essere utilizzate per mettere in evidenza eventuali debolezze potenziali in materia delle vostre politiche aziendali di posta elettronica e vi aiutano a facilitare la formazione degli utenti finali, compresa la ripetizione del test finale in un secondo momento per valutare l’efficacia del vostro programma di formazione.

E finalmente… buon senso

Per buon senso intendo non rispondere, cliccare, aprire e rispondere ad email (soprattutto se aziendali) senza aver un attimo controllato la validità dell’indirizzo del mittente: nell’esempio precedente, “Elisabetta” è in realtà “Eduardo”, e il suffisso dell’indirizzo proviene dal Cile: anche se questa persona (uomo o donna che sia) si fosse innamorata veramente di me (lo so, sto ragionando per assurdo), il fatto che scriva dal Cile in Tedesco (lingua che conosco pochissimo), dovrebbe farci venire più di un piccolo dubbio.

Poi, da controllare sono la grammatica, la punteggiatura, e il tipo di informazioni che ci vengono richieste.

Nel dubbio, chiamare

MI è capitato di ricevere e-mail/SMS provenienti dalla mia banca, che chiedevano informazioni dettagliate, oppure affermavano che il mio conto era stato attaccato e di cliccare il link sottostante. Il dubbio è lecito, ma, in questi casi, per controllare il conto corrente, meglio farlo dai canali ufficiali che abbiamo scritti da qualche parte, anche se, ovviamente, il link di connessione è molto più “attraente”.

Basta dare ascolto al nostro buon senso e il conto corrente ce ne sarà grato.

NOTE

  1. URL sta per Uniform Resource Locator e viene utilizzato per specificare gli indirizzi sul World Wide Web. Un URL è l’identificazione fondamentale della rete per qualsiasi risorsa collegata al web (ad esempio, pagine ipertestuali, immagini e file audio). Il nome a dominio è il computer su cui si trova la risorsa.
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5