Proteggere le aziende attraverso le campagne di phishing simulato

Proprio per la sua diffusione la posta elettronica è lo strumento che ancora oggi viene utilizzato dai criminali per sferrare attacchi informatici alle aziende. Pensa solo che secondo recenti statistiche il 90% degli attacchi ha origine dalla posta elettronica.

Ma dove nascono questi attacchi che vengono perpetrati tramite la posta elettronica e come mai hanno successo? E soprattutto, esiste una soluzione per arginarli o per fare in modo che il personale sia meno incline a restarne vittima?

 

Alla buona o alla cattiva riuscita di un attacco informatico veicolato tramite email contribuiscono due fattori: uno tecnologico e uno umano.

Le tecnologie che dovrebbero contrastare questo tipo di attacchi stanno andando in difficoltà perché i pirati puntano a creare messaggi sempre diversi, per esempio cambiando leggermente i colori o modificando lievemente il contenuto, in maniera tale che le tecnologie non capiscono che si tratta sempre di una stessa mail già individuata come pericolosa.
Lo spear phishing, invece, ha successo perché le email con link o allegati pericolosi sembrano provenire da contatti conosciuti, quindi ritenuti affidabili.
In questi casi le difese si abbassano, perché nessuno pensa che un’email proveniente da un amico o da un contatto abituale possa essere dannosa o contenere un virus.

Gli attacchi BEC invece funzionano principalmente per il desiderio di compiacere velocemente i propri superiori e perché non c’è ancora la consapevolezza che le azioni di ognuno posso avere un grande impatto sulla sicurezza della propria azienda.
Per questi due motivi spesso l’utente non controlla se l’indirizzo email di provenienza è davvero quello del proprio superiore o semplicemente ci assomiglia.

Se le tecnologie di protezione possono aiutare ma non sono infallibili, su cosa si deve puntare per proteggere al meglio la posta elettronica?
Sullo stesso elemento su cui puntano i cyber criminali quando inviano queste email: su chi clicca (o meno) sulle email, sul fattore umano.
Se i cyber criminali reputano gli utenti l’anello debole della catena, bisogna allora rinforzare questo anello il più possibile: occorre sensibilizzare gli utenti, coinvolgerli e farli diventare parte attiva del processo di sicurezza.
Uno dei modi consiste nella creazione di campagne di phishing simulato. Vediamo insieme di cosa si tratta.

 

L’idea di base che sta dietro le campagne di phishing simulato è abbastanza semplice.
Si prepara e si invia al personale una serie di email costruite ad arte per “far abboccare” i dipendenti e studiarne la reazione.

I comportamenti potrebbero essere diversi. L’utente potrebbe:

• ignorare l’email;
• segnalare a chi si occupa di IT la presenza di una email sospetta;
• solo aprire l’email senza cliccare nulla;
• seguire le istruzioni contenute nella email, cliccare i link contenuti all’interno delle email ed eventualmente inserire informazioni e dati personali o riservati.

Naturalmente poiché si tratta di email costruite ad arte, non c’è nessun reale pericolo anche se il personale dovesse aprire le email o inserire le informazioni richieste.

La realizzazione della campagna di phishing simulato può essere riassunta in tre macro passaggi:

• ideazione e creazione;
• somministrazione;
• analisi dei risultati e retroazione.

Ideazione e creazione
Il primo passo consiste nel decidere quante email inviare e come devono essere fatte.
Si potrebbe, per esempio, decidere di creare finte email a nome della banca.
Questo simula uno dei più classici tipi di phishing. Consiste spesso in una email che sembra inviata dalla banca nella quale ti viene comunicato che il tuo conto sta per essere bloccato, oppure che è stato utilizzato per operazioni anomale, o ancora come conferma di esecuzione di un’operazione bancaria.
In ogni caso, in tutte queste comunicazioni, ti viene chiesto di cliccare sul link della email per autenticarti e “sistemare” così le cose.

Una comunicazione simile, sempre molto efficace, è quella relativa alle spedizioni in arrivo da un sedicente corriere. Questo è un tranello per tutti perché, nella propria attività lavorativa, ognuno ha a che fare con corrieri e spedizionieri.
In questo caso l’utente riceve un’email in cui viene avvisato di un pacco in giacenza o di una mancata consegna. Ancora una volta per “sistemare” le cose ci sarà un link da cliccare e poi verranno chiesto l’inserimento di qualche dato personale o anche della carta di credito.

Un ulteriore tipo di comunicazione che si può costruire è quella che simula un attacco BEC.
Come descritto in precedenza, si tratta in estrema sintesi una email il cui mittente (fittizio) finge di essere una persona con sui ci è in contatto e di una certa importanza che chiede di inviare denaro. Si potrebbe creare un’email nella quale fingere che l’amministratore delegato è all’estero o impossibilitato a pagare e quindi richiede un bonifico istantaneo su un certo conto o su una certa carta di credito. In questo caso lo scopo è l’estorsione di denaro.

Somministrazione delle Email
Per inviare la email al personale si può ricorrere a sistemi ad hoc creati apposta per effettuare campagne di phishing simulato, anche se la strategia migliore è quella di affidarsi a chi eroga servizi IT perché molto spesso è un’attività che ha già messo in pista per qualche cliente.
Le decisioni da prendere fondamentalmente riguardano:

• Il timing: ogni quanto mandare una finta email di phishing. Una volta alla settimana? Più volte alla settimana? Una volta al mese?
• I destinatari: chi deve ricevere le email. Benché si possa stabilire di far ricevere queste email solo a un numero limitato di persone, nessuno è esente dagli attacchi veri e propri e tutti commettiamo errori cliccando dove non dovremmo cliccare, per cui è consigliabile coinvolgere tutto il personale includendo la proprietà, la dirigenza e gli operativi.

Analisi dei risultati e retroazione
Naturalmente il semplice invio delle email predisposte per “far cadere in tentazione” il personale non serve a nulla.
Occorre infatti capire qual è stata la reazione del personale.

Ecco alcuni dei dati che potrebbero venire fuori da un’analisi:

• Qualcuno ha ignorato i messaggi?
• Qualcuno li ha segnalati a chi si occupa di IT?
• Qualcuno ha aperto i messaggi?
• Qualcuno ha seguito i link presenti nei messaggi?
• Qualcuno ha anche eseguito azioni successive, come per esempio inserire il numero di carta di credito in una pagina attivata dal link contenuto nella email?

Dati statistici alla mano, si possono tirare delle conclusioni ed eseguire delle retroazioni per correggere il tiro se necessario.
Se si osserva che ci sono tanti cliccatori, può essere opportuno fare della formazione specifica.
Per esempio di possono distribuire delle regole semplici e alla portata di tutti che mostrino come vedere se un mittente è reale o fraudolento o come verificare se il dominio del mittente è davvero quello del nostro contatto o spiegare che quando si legge una mail dallo smartphone non tutte le informazioni sono immediatamente visibili.
In alcuni casi potrebbe essere opportuno non solo fare della formazione ma cogliere l’occasione per cambiare alcuni processi aziendali.

A puro titolo di esempio: se durante una simulazione di phishing qualcuno è cascato nel tranello di cambiare il codice IBAN di un fornitore solo perché c’era scritto in una email del sedicente amministratore delegato; ecco che, per esempio, si può attivare un nuovo processo. Se c’è un cambio di IBAN, l’incaricato di turno, prima di eseguire l’operazione, deve effettuare una chiamata di conferma; e solo in caso di esito positivo procedere al cambio.

 

Se il personale viene coinvolto e viene reso parte attiva nel processo di sicurezza, la tua azienda avrà automaticamente delle barriere supplementari contro gli attacchi che, sempre più spesso, arrivano via email.
Per continuare a monitorare il “rischio phishing” e coinvolgere sempre più il personale si possono fare campagne di phishing simulato su base regolare, per esempio ogni 3 mesi o ogni 6 mesi.
Tale processo di test e retroazione permanente, si tradurrà in un miglioramento della sicurezza e in un abbattimento del rischio di rimanere vittima di cybercriminali.