La sicurezza della progettazione è da tempo una sorta di Santo Graal per i professionisti della sicurezza informatica. È un concetto semplice: garantire che i prodotti siano progettati per essere il più sicuri possibile, al fine di ridurre al minimo le possibilità di compromissione. Negli ultimi anni il concetto è stato ulteriormente ampliato per indicare lo sforzo di incorporare la sicurezza in ogni parte di un’organizzazione, dalle pipeline DevOps alle pratiche lavorative quotidiane dei dipendenti. Creando una cultura della sicurezza di questo tipo, le organizzazioni saranno più resistenti alle minacce informatiche e meglio attrezzate per ridurne l’impatto in caso di violazione.
I controlli tecnologici sono ovviamente uno strumento importante per contribuire a creare questo tipo di cultura della sicurezza profondamente radicata. Ma lo è anche la formazione sulla consapevolezza del phishing, che svolge un ruolo importantissimo nell’attenuare una delle maggiori minacce alla sicurezza aziendale di oggi e deve essere un punto fermo nei programmi di formazione generale sulla sicurezza informatica.
Perché il phishing è così efficace?
Secondo l’ESET Threat Report T1 2022, le minacce via e-mail hanno registrato un aumento del 37% nei primi quattro mesi del 2022 rispetto agli ultimi quattro mesi del 2021. Il numero di URL di phishing bloccati è aumentato quasi allo stesso ritmo, con molti truffatori che hanno sfruttato l’interesse generale per la guerra tra Russia e Ucraina.
Le truffe di phishing continuano a essere tra i modi più efficaci per gli aggressori di installare malware, rubare credenziali e ingannare gli utenti per fargli effettuare trasferimenti di denaro aziendali. Perché? Grazie a una combinazione di tattiche di spoofing, che consentono ai truffatori di impersonare mittenti legittimi, e di tecniche di ingegneria sociale, progettate per spingere il destinatario ad agire senza aver prima riflettuto sulle conseguenze di tale azione.
Queste tattiche comprendono:
– Identità del mittente/domini/numeri di telefono falsificati, a volte utilizzando il typosquatting o i nomi di dominio internazionalizzati (IDN).
– Account di mittente dirottati, che spesso sono molto difficili da individuare come tentativi di phishing
– Ricerche online (tramite i social media) per rendere più convincenti i tentativi di spearphishing mirati
– Utilizzo di loghi, intestazioni e piè di pagina ufficiali
– Creazione di un senso di urgenza o di eccitazione che spinga l’utente a prendere una decisione
– Link abbreviati che nascondono la vera destinazione del mittente
– Creazione di portali e siti web di login dall’aspetto legittimo.
Secondo l’ultimo rapporto DBIR di Verizon, quattro vettori hanno rappresentato la maggior parte degli incidenti di sicurezza dello scorso anno: furto di credenziali, phishing, sfruttamento delle vulnerabilità e botnet. Di questi, i primi due ruotano attorno all’errore umano. Un quarto (25%) delle violazioni totali esaminate nel rapporto sono state il risultato di attacchi di social engineering. Insieme agli errori umani e all’abuso di privilegi, l’elemento umano ha rappresentato l’82% di tutte le violazioni. Ciò dovrebbe rendere prioritario per ogni CISO trasformare questo anello debole in una solida catena di sicurezza.
A cosa può portare il phishing?
Negli ultimi due anni gli attacchi di phishing sono diventati una minaccia ancora più grave. I lavoratori domestici distratti, con dispositivi potenzialmente non patchati e poco protetti, sono stati presi di mira in modo spietato dagli attori delle minacce. Nell’aprile 2020, Google ha dichiarato di bloccare ben 18 milioni di e-mail dannose e di phishing ogni giorno a livello globale.
Poiché molti di questi lavoratori tornano in ufficio, c’è anche il rischio che siano esposti a un maggior numero di attacchi basati su SMS (smishing) e chiamate vocali (vishing). Gli utenti in viaggio possono essere più propensi a cliccare su link e ad aprire allegati che non dovrebbero. Ciò potrebbe portare a:
– download di ransomware
– Trojan bancari
– Furti/violazioni di dati
– Malware di cryptojacking
– Distribuzione di botnet
– Acquisizione di account per l’utilizzo in attacchi successivi
– Compromissione delle e-mail aziendali (BEC) con conseguente perdita di denaro a causa di fatture/richieste di pagamento truffaldine.
Le ripercussioni finanziarie e di reputazione sono immense. Mentre il costo medio di una violazione dei dati è oggi di oltre 4,2 milioni di dollari, un record, alcune violazioni di ransomware sono costate molte volte di più.
Quali tattiche di formazione funzionano?
Un recente studio globale ha rivelato che la formazione e la sensibilizzazione dei dipendenti in materia di sicurezza è la principale priorità di spesa per le organizzazioni per il prossimo anno. Ma una volta deciso, quali sono le tattiche che garantiscono il miglior ritorno sull’investimento? Considerate corsi di formazione e strumenti che forniscano
– Copertura completa di tutti i canali di phishing (e-mail, telefono, social media, ecc.).
– lezioni divertenti che utilizzino un rinforzo positivo piuttosto che messaggi basati sulla paura
– Esercizi di simulazione del mondo reale che possono essere modificati dal personale IT per riflettere l’evoluzione delle campagne di phishing.
– Sessioni di formazione continua durante l’anno in brevi lezioni di 15 minuti al massimo.
– Copertura per tutti i dipendenti, compresi i precari, gli appaltatori e i dirigenti. Chiunque abbia accesso alla rete e un account aziendale è un potenziale bersaglio del phishing.
– Analisi per fornire un feedback dettagliato sui singoli individui che può essere condiviso e utilizzato per migliorare le sessioni in futuro
– Lezioni personalizzate per ruoli specifici. Ad esempio, i membri del team finanziario potrebbero aver bisogno di una guida in più su come affrontare gli attacchi BEC.
– Gamification, workshop e quiz. Questi strumenti possono contribuire a motivare gli utenti a competere con i loro colleghi, piuttosto che sentirsi “istruiti” dagli esperti IT. Alcuni degli strumenti più diffusi utilizzano tecniche di gamification per rendere la formazione più “appiccicosa”, facile da usare e coinvolgente.
– Esercizi di phishing fai da te. Secondo il National Cyber Security Centre (NCSC) del Regno Unito, alcune aziende invitano gli utenti a costruire le proprie e-mail di phishing, fornendo loro “una visione molto più ricca delle tecniche utilizzate”.
Non dimenticate i report
Trovare il programma di formazione più adatto alla vostra organizzazione è un passo fondamentale per trasformare i dipendenti in una forte prima linea di difesa contro gli attacchi di phishing. Ma l’attenzione deve essere rivolta anche alla creazione di una cultura aperta che incoraggi la segnalazione di potenziali tentativi di phishing. Le organizzazioni devono creare un processo chiaro e semplice da usare per le segnalazioni e rassicurare il personale sul fatto che ogni segnalazione verrà esaminata. Gli utenti devono sentirsi supportati, il che potrebbe richiedere il consenso di tutta l’organizzazione, non solo dell’IT, ma anche delle risorse umane e dei senior manager.
In definitiva, la formazione sulla consapevolezza del phishing dovrebbe essere solo una parte di una strategia a più livelli per affrontare le minacce di social engineering. Anche il personale meglio addestrato può occasionalmente essere ingannato da truffe sofisticate. Per questo motivo sono essenziali anche i controlli di sicurezza: si pensi all’autenticazione a più fattori, ai piani di risposta agli incidenti regolarmente testati e alle tecnologie anti-spoofing come il DMARC.