Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

security awareness

Phishing: serve consapevolezza per contrastare l’evoluzione della minaccia

Home Soluzioni aziendali
Indirizzo copiato

Stiamo assistendo a una continua evoluzione delle minacce che prendono di mira le persone. Per mitigare il rischio, diventa dunque essenziale prevedere simulazioni di attacchi phishing utili per accrescere il livello di consapevolezza e di cultura della sicurezza

Pubblicato il 12 mag 2025
Matt Cooke

Cybersecurity Strategist di Proofpoint

Phishing test simulazione

Nell’attuale scenario delle minacce, sempre più spesso gli attaccanti prendono di mira le persone anziché le infrastrutture. E il phishing rimane uno dei metodi più efficaci, perché non si basa su tecnologie sofisticate, ma sfrutta l’elemento umano: la nostra fiducia e curiosità e la reazione a un senso di urgenza.

Le opportunità di phishing sono aumentate con l’espansione dello spazio di lavoro digitale che da tempo va oltre le e-mail. I criminali informatici possono ora raggiungere gli utenti su quasi tutti gli strumenti di collaborazione e le app di messaggistica, con l’obiettivo di manipolarli affinché clicchino su link dannosi o condividano le proprie credenziali.

Come verificare che gli utenti siano in grado di riconoscere e rispondere a questi attacchi? Attraverso simulazioni di phishing.

Allo scopo di analizzare le principali tendenze che riguardano questa tecnica e per fornire ai clienti informazioni preziose, abbiamo raccolto dati su queste campagne per un periodo di 12 mesi, utilizzando ZenGuide, soluzione per la security awareness e il cambiamento dei comportamenti, che permette di condurre campagne di simulazione di phishing.

I modelli di phishing più diffusi rivelano i trend delle minacce

Il contenuto delle simulazioni di phishing è basato sulla sua threat intelligence Nexus, che rispecchia attacchi reali bloccati dal sistema e gli utenti hanno accesso a una libreria di modelli aggiornata praticamente quotidianamente.

Inoltre, ogni settimana vengono pubblicati nuovi modelli dalla ricerca sulle minacce per offrire alle organizzazioni la possibilità di testare i propri dipendenti su un’ampia varietà di temi, argomenti e tattiche.

Evoluzioni del phishing: le principali tendenze

I modelli di phishing più utilizzati rappresentano diverse tendenze chiave nell’evoluzione dell’ingegneria sociale e del panorama degli attacchi. Approfondiamo quali modelli sono stati considerati prioritari dagli utenti, per comprendere gli eventuali suggerimenti sui trend dei rischi.

  1. Il 30% delle simulazioni si concentra sulla compromissione degli account e sull’elusione dell’MFA (autenticazione a più fattori), suggerendo come gli attaccanti stiano prendendo sempre più di mira questi sistemi.
  2. Il 25% sfrutta piattaforme di collaborazione e condivisione di file come Microsoft Teams, SharePoint e Dropbox, a conferma del graduale spostamento dei cyber criminali verso vettori diversi dall’e-mail.
  3. Il 20% cita brand noti ai consumatori, dimostrando che gli attaccanti puntano sempre più spesso su nomi conosciuti e apprezzai per ingannare gli utenti.

Cosa impariamo dai dati sulle simulazioni di phishing

Dai risultati raccolti al termine delle simulazioni di phishing, il primo dato che emerge è che sempre più spesso le aziende comprendono che effettuare queste tipologie di test ed educare i dipendenti sul phishing è essenziale.

Tipologie di campagna più popolari e caratteristiche

Analizzando la frequenza con cui vengono utilizzati diversi tipi di simulazione e come funzionano, è possibile ottenere una comprensione più approfondita del panorama della simulazione (Figura 2).

  1. Il 60% di tutte le campagne utilizza un modello Drive By.
  2. Il 30% utilizza modelli di inserimento dati.
  3. Il 9% utilizza modelli basati su allegati.

Cosa ci dicono i tassi di fallimento medi, quelli di segnalazione e gli indici di resilienza per i tre diversi tipi di modelli?

L’inserimento dati ha il tasso di fallimento più basso al 2,46%. Questo risultato fornisce informazioni sulla frequenza della condivisione delle credenziali rispetto ad altri tipi di simulazioni.

Al contrario, le campagne basate su allegati sono le meno utilizzate, ma hanno il tasso di fallimento più alto (6,59%).

In altre parole, anche se un numero minore di tentativi di phishing utilizza gli allegati come metodo di trasmissione, quelli che lo adottano hanno comunque un successo relativo rispetto ad altri metodi.

Consapevolezza, coinvolgimento e cultura della sicurezza

Forniamo una panoramica dei tassi di fallimento, di segnalazione e gli indici di resilienza per tutte le campagne. Inoltre, il benchmarking rispetto ai colleghi del settore è un modo prezioso per valutare il successo del programma.

Serve sempre più consapevolezza

I tassi di fallimento rivelano i livelli di consapevolezza degli utenti e quanto possano ben identificare il phishing. In tutte le organizzazioni e campagne, il tasso di fallimento medio è del 4,93%, che riflette quanto gli utenti si comportino adeguatamente quando interagiscono con un attacco phishing simulato. Aprono il messaggio? Fanno clic sui collegamenti inclusi o rispondono?

In particolare, il settore energia/utility è quello che ha registrato il tasso di fallimento complessivo più basso (3,6%), mentre il settore legale quello più alto (8,9%).

Importante coinvolgere gli utenti aziendali

I tassi di segnalazione sono un indicatore chiave di quanto siano coinvolti gli utenti. In tutte le aziende e campagne, il tasso medio per gli utenti che segnalano messaggi di phishing simulati è del 18,65%. Dato elevato che mostra come gli utenti possano riconoscere e segnalare messaggi sospetti, e riflette il loro coinvolgimento attivo nel mantenimento di una alta soglia di attenzione alla sicurezza.

Dal punto di vista del settore, quello dei servizi finanziari vanta il tasso di segnalazione medio più alto (32,35%), l’istruzione il più basso (7,71%).

Un divario così significativo può derivare da differenze nelle rispettive pratiche e nella frequenza della formazione. Nei servizi finanziari, i dipendenti spesso gestiscono dati sensibili, inoltre, requisiti di conformità relativi alla loro gestione richiedono di essere più consapevoli delle minacce di phishing.

Al contrario, i dipendenti del settore dell’istruzione potrebbero non affrontare esigenze simili, e probabilmente non vengono nemmeno informati così spesso sulle minacce.

Sviluppare cultura della sicurezza

Un indice di resilienza indica quanto siano proattivi gli utenti quando si tratta di minacce. Le segnalano al loro team IT o di sicurezza? Oppure le ignorano o le eliminano? Un indice più elevata significa che la cultura della sicurezza di un’organizzazione è forte, rendendola più resiliente.

Il tasso di segnalazione medio complessivo in tutte le organizzazioni e le campagne è del 18,65%, che si traduce in un indice di resilienza di 3,78. Tra tutti i 29 settori, quello dei servizi finanziari ha il più alto (8,23), l’istruzione il più basso (1,27).

Individuare i modelli di simulazione più complessi

Le aziende richiedono sempre più spesso simulazioni di phishing che abbiano alti tassi di fallimento e modelli avanzati. Ciò suggerisce che sono preoccupate dal potenziale aumento di sofisticazione degli attacchi e desiderando al contempo potenziare i propri programmi di protezione.

Quali sono stati i temi dei modelli di phishing dell’anno scorso più difficili da individuare? La risposta dipende dalla definizione e misurazione di “difficoltà”.

Se si misura in termini di tasso di fallimento, i modelli con il tema Attività di accesso insolita, Rinnovo automatico e Merci spedite si sono rivelati i più ingannevoli, se invece si definisce in termini di bassi tassi di segnalazione, allora il modello Attività di accesso insolita è stato il più difficile da individuare.

In particolare, il tema del modello “più difficile” – che aveva il tasso di fallimento più alto del 40,37% – aveva anche quello di segnalazione più basso del 4,81%.

Creare un programma di sicurezza incentrato sulla persona

Le simulazioni di phishing sono un metodo utile per comprendere come si comportano gli utenti e le loro vulnerabilità. I nostri risultati mostrano che i professionisti della sicurezza riconoscono che sia importante formare gli utenti sulle minacce emergenti e per questo motivo stanno allineando le loro campagne di phishing ai trend delle minacce del mondo reale.

Chiaramente, la consapevolezza sulla sicurezza fornisce una base fondamentale per preparare le persone contro le minacce mirate, ma è necessario fare molto di più per mitigare il rischio umano.

Con l’ampliamento dello spazio di lavoro digitale, i team di sicurezza devono supportare i dipendenti a fare scelte più sicure e rimanere vigili su tutte le piattaforme: e-mail, app di messaggistica, strumenti di collaborazione e non solo e proteggerli con una strategia di gestione del rischio umano completa, che consideri e integri ogni aspetto, sia tecnologico che formativo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Matt Cooke
Cybersecurity Strategist di Proofpoint

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Le informazioni salienti del Data Breach Investigations Report di Verizon

  • sicurezza aziendale

    Cosa c'è nel Data Breach Investigations Report di Verizon

    05 Mag 2025

    di Giuditta Mosca

    Condividi
  • Vulnerabilità Google Chrome update urgente

  • L'ANALISI TECNICA

    Google Chrome: nuova vulnerabilità rischia di esporre dati sensibili

    15 Mag 2025

    di Paolo Tarsitano

    Condividi
  • Direttiva europea RED, focus sulla sicurezza dei dispositivi Radio connessi via Internet

  • normativa Ue

    Direttiva europea RED, focus sulla sicurezza dei dispositivi radio connessi via Internet

    21 Ago 2025

    di Andrea Razzini

    Condividi
  • ENISA Threat Landscape 2025; Normative europee e attacchi cyber: il quadro della sicurezza digitale in Italia ed Europa

  • Threat Landscape 2025

    Ransomware, phishing e AI: i trend emergenti nel panorama cyber europeo secondo ENISA

    02 Ott 2025

    di Paolo Tarsitano

    Condividi