Simulare attacchi phishing e truffe email per addestrare gli utenti
Secondo una ricerca Verizon, nel 96 percento delle violazioni di dati ha richiesto che qualcuno nell’azienda attaccata compiesse – volontariamente o meno – un qualche tipo di azione a favore dell’attaccante: aprire un allegato, cliccare un link, modificare impostazioni, comunicare credenziali o altre informazioni riservate… E nel 93 percento dei casi la richiesta truffaldina è arrivata via email.
“Dobbiamo comprendere che sempre più spesso sono le persone a essere attaccate, e non l’infrastruttura, anche con pratiche truffaldine che non richiedono nemmeno di eseguire malware, come gli attacchio di tipo Business Email Compromise”, afferma Adenike Cosgrove, responsabile Cybersecurity Strategy International di Proofpoint, azienda di cybersecurity ormai a tutto tondo ma specializzata nella protezione dell’email, sia con soluzioni tecnologiche (filtri email, sandbox, analisi del malware…), sia attraverso il training specifico del personale. Gli attacchi Business Email Compromise spesso sono mirati a far disporre pagamenti indebiti, per esempio falsificando fatture o fingendo di essere un dirigente interno all’azienda che necessita di disporre un pagamento urgente.
Ancor più che nel caso delle protezioni di tipo tecnico, con attacchi di questo tipo è necessario muoversi in anticipo per valutare quali siano i soggetti a più alto rischio in base al ruolo e alla funzione aziendale ricoperta (i criminali sono sempre più bravi nel reperire dai social network le informazioni sui propri bersagli), e in base alla personale attitudine a cadere nelle trappole dei truffatori.
Proofpoint Security Awareness: il training sul campo
La soluzione di Security Awareness Training di Proofpoint prevede di fare innanzitutto un assessment del rischio reale, inviando di dipendenti falsi messaggi email con diversi tipi di attacco (phishing, malware, truffa…). “Bisogna identificare chi sono le persone che cliccano sempre, quelle più propense a cadere vittima di alcuni attacchi e meno di altri”, prosegue Cosgrove: “Quali sono le funzioni più vulnerabili? Forse le risorse umane, che ricevono e aprono decine di curriculum in Pdf? O la persona di area Finance che può essere spinta a modificare delle coordinate di pagamento nell’anagrafica dei fornitori?”.
Stabilita una linea di base della consapevolezza dei dipendenti, è possibile predisporre una formazione altamente personalizzata che non si limita a un noioso corso in aula, ma raggiunge i dipendenti con informazioni brevi e molto pratiche durante il lavoro quotidiano. Il sistema invia periodicamente degli attacchi simulati, e al dipendente che cade nella trappola viene spiegato che il suo comportamento avrebbe esposto l’azienda a un rischio. Un’informazione precisa, rilevante e che arriva in un momento in cui l’attenzione del dipendente è molto alta.
“Il nostro vantaggio è che attraverso le nostre soluzioni tecniche filtriamo ogni giorno migliaia di messaggi con campioni di attacchi reali. Invece di limitarci a bloccare questi messaggi e impedire il loro recapito, possiamo neutralizzarli e farli comunque arrivare al destinatario come attacco simulato, che diventa occasione di training”.
L’utente non è solo soggetto passivo del training, ma può diventare attore del processo di cybersecurity. Un’estensione di Outlook permette di segnalare al team di security un messaggio sospetto che, se confermato come malevolo, può esser immediatamente cancellato da tutte le mailbox dei colleghi in azienda.
Attenti al cloud e ai piccoli pagamenti
Molte comunicazioni nei team di lavoro oggi non passano più dall’email, ma da strumenti di collaborazione come Slack, Microsoft Team, Facebook Workplace o altro. Questi strumenti sembrano più sicuri, perché l’identità del mittente di un messaggio è più garantita, ma non sono esenti da rischi. “Tutti questi strumenti inviano via email delle notifiche che è molto semplice imitare, inserendo però nel messaggio link a siti di phishing che possono rubare le credenziali di accesso”, avverte Cosgrove “E alle credenziali email oggi sono collegati molti servizi come applicazioni Office, storage condiviso e risorse cloud di ogni tipo, che saranno sempre più spesso bersaglio di attacchi che non saranno portati alle infrastrutture dei cloud provider – solitamente ben protette – ma alle persone che gestiscono gli account”.
Come dicevamo, i criminali stanno anche cambiando il profilo dei bersagli delle proprie truffe: invece di attaccare poche persone di vertice in grado di movimentare ingenti quantità di denaro, cercano di approcciare persone di livello inferiore ma che hanno una certa disponibilità di spesa. “Il 77 percento degli attacchi prende di mira manager di primo livello, ma con accesso a conti o carte dell’azienda”, afferma Cosgrove, che aggiunge: “le procedure interne di molte organizzazioni di solito impongono dei limiti di spesa oltre i quali sono necessarie autorizzazioni dei dirigenti o degli organi di controllo. I criminali cercano di scoprire quale sia questo limite, e regolano le proprie richieste truffaldine per stare al di sotto di esso”.
Molto spesso l’IT non ha idea di chi siano queste persone. Il consiglio di Cosgrove per la funzione IT è quindi di uscire dai propri uffici per comprendere al meglio il funzionamento del business aziendale: chi sono le persone chiave nei vari team di lavoro? Quali applicazioni utilizzano? Come comunicano con fornitori e partner? Non ci si può più nascondere dietro un firewall e sperare di essere al sicuro.