phishing come difendersi

Phishing come difendersi: Crea delle simulazioni d’attacco col phishing simulator di Cerbeyra

Gli esseri umani rappresentano la più grande vulnerabilità alla sicurezza informatica delle organizzazioni. Il fattore umano, infatti, è considerati il principale anello debole nella catena della sicurezza informatica e, proprio per questo, obiettivo principale dei cyber criminali.

I criminali informatici, in effetti, stanno sviluppando tecniche e metodi sempre più sofisticati di social engineering per compiere furti di informazioni e identità. Il vettore d’attacco principe di ingegneria sociale negli ultimi anni è l’ attacco phishing.

Il Rapporto Clusit 2024 ha rivelato un dato significativo: in Italia, gli attacchi informatici sono cresciuti del 65%, rispetto all’11% a livello globale. Rispetto agli anni precedenti, si registra un trend in peggioramento. In particolare, il credential phishing emerge come una delle modalità di attacco più utilizzate.

Il primo passo per difendersi dal phishing è prevenirlo andando a lavorare sulla formazione e sulla consapevolezza dei propri dipendenti. Il rapporto tra “attacchi phishing – come difendersi” è una parte essenziale nella costruzione di una strategia di cyber security efficace, in questo contesto in cui la vulnerabilità è umana si parla di cognitive security.

Addestrare i dipendenti di un’organizzazione a identificare gli attacchi di phishing è quindi la prima barriera di difesa per prevenire gli attacchi.

Cerbeyra con la sua funzionalità di phishing simulator permette di creare delle simulazioni d’attacco per testare il livello di vulnerabilità delle proprie risorse umane, dando inizio alla propria strategia di cognitive security.

Cos’è e come proteggersi dal phishing

Il Phishing, è definito dalla Polizia Postale come una tipologia di truffa realizzata sulla rete Internet tramite messaggi di posta elettronica ingannevoli.

Definendolo con termini più tecnici, il Phishing è un attacco di ingegneria sociale in cui un phisher tenta di indurre l’utente a rivelare informazioni sensibili impersonando illegalmente identità o organizzazioni affidabili, attraverso schemi di attacco ben precisi.

Uno degli schemi di attacco phishing più usato è quello di reindirizzare gli utenti verso siti Web dannosi dopo aver cliccato sul link malevolo presente nella mail ricevuta.

Le email di phishing non sono gli unici mezzi usati dai cyber criminali nei loro attacchi. Spesso il phishing avviene tramite una telefonata, un SMS ed in questo caso si parla di smishing, Instant Messaging e ultimamente ancora più complessi, come ad esempio video fake e voce deepfake di una falsa identità. 

Negli ultimi anni gli attacchi di phishing sono passati da campagne di email massive  verso utenti non specifici e spesso con contenuti sgrammaticati e grossolani facilmente individuabili, a un phishing più selettivo inviando e-mail a specifiche tipologie vittime. Questa tecnica più sofisticata e selettiva è chiamata spear-phishing.

Esistono delle attenzioni generiche che consentono di proteggersi dal phishing:
  • Fare attenzione all’ortografia utilizzata: se risulta qualcosa di strano nella grammatica o nella punteggiatura è un campanello d’allarme.
  • Fare attenzione ai link e alle richieste con carattere d’urgenza, cercando sempre di verificare il sito ufficiale evitando click ai link interni alla mail.
  • Anche dalla presenza di allegati compressi o con estensioni particolari è meglio diffidare. 

Ma come abbiamo detto, oggi quello che preoccupa è lo spear phishing. É un attacco specifico e sofisticato che si basa su ricerche di ingegneria sociale in grado di bypassare queste accortezze comuni. Per educare i dipendenti allo spear phishing c’è Cerbeyra.

Phishing Simulator di Cerbeyra

È una componente essenziale di prevenzione all’interno di un’organizzazione è la formazione dei dipendenti. I collaboratori devono essere consapevoli delle tattiche utilizzate dagli attaccanti e istruiti su come riconoscere e gestire i potenziali tentativi di phishing.

Il quadro appena descritto consente di chiarire bene quanto sia importante capire il livello di vulnerabilità dei propri dipendenti. È una componente essenziale di prevenzione all’interno di un’organizzazione è la formazione dei dipendenti. I collaboratori devono essere consapevoli delle tattiche utilizzate dagli attaccanti e istruiti su come riconoscere e gestire i potenziali tentativi di phishing. Per farlo è fondamentale effettuare delle simulazioni di attacco.

Con il phishing simulator di Cerbeyra, è possibile creare campagne di phishing simulate, tramite template predefiniti o creandone di nuovi, al fine di valutare il comportamento dei dipendenti nei confronti delle minacce esterne. L’obiettivo è sensibilizzare e consolidare la conoscenza dei comportamenti corretti in situazioni di rischio. 

Addestrare i dipendenti di un’organizzazione a identificare gli attacchi di phishing è importante, soprattutto sapere cosa fare se e quando ne riceveranno uno è il primo passo per difendersi dal phishing. Fare formazione sul tema permette di rafforzare l’importanza anche di altre politiche, ad esempio per quanto riguarda la creazione di password complesse e le politiche di sicurezza nel trattamento dei dati.

Dopotutto, le credenziali sono la principale tipologia di dati raccolti dai cyber criminali negli attacchi di phishing. Poter disporre di una piattaforma come Cerbeyra per l’addestramento e la simulazione permette una formazione continua, mantenendo 
i costi del training sostenibili e riducendo significativamente l’errore umano.

Cerbeyra è una piattaforma Cyber Threat Intelligence in grado di rappresentare scenari di probabili minacce. Analizza la presenza di vulnerabilità e criticità nei sistemi e nelle infrastrutture ICT interne, esterne, gli ambiti OSINT, CLOSINT e DARKWEB alla ricerca di potenziali minacce, e verifica inoltre il livello di rischio comportamentale delle persone di un’organizzazione.

La sua funzionalità di phishing simulator consente di testare il livello di consapevolezza ed addestramento degli utenti al rischio di attacchi di social engineering, permettendo al management di capire a quali aspetti comportamentali e a quali BIAS cognitivi i vari utenti possono essere più o meno suscettibili e su cui è consigliabile intervenire.

In questo modo, con Cerbeyra il management potrà porre le basi per difendersi dal phishing.

phishing come difendersi