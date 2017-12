Il phishing sta diventando un importante vettore di minaccia per le realtà aziendali di tutto il mondo. Stiamo parlando dell’invio di e-mail illegittime volte a sollecitare una risposta da parte dell'utente finale, sia che si tratti di cliccare su un link che li infetta con malware o di ingannare l'utente che potrebbe fornire informazioni critiche come la password di un sito.

Questo tipo di attacchi è sempre più frequente e secondo Webroot, quasi 1,5 milioni di nuove pagine phishing vengono create mensilmente. Questo tipo di truffa è così popolare perché è relativamente poco costosa. L'invio di un'e-mail è praticamente gratuita, a parte il tempo necessario per impostarla.

Il phishing test

I test di phishing sono forse una delle misure più efficaci che un'azienda può adottare per proteggere il proprio business. Un test di phishing è un esercizio in cui viene creata un'e-mail di phishing falsa e inviata a un gruppo definito di utenti.

Quando l'utente la riceve può interagire in modo simile a una normale e-mail. Ma quando cliccano attraverso l'e-mail vengono portati a una sorta di landing page.

A seconda degli obiettivi del test, questa pagina può essere una normale pagina di stile "404 error" (se non si vuole che gli utenti sappiano di essere testati) o una pagina educativa in cui l'utente è istruito sulla natura del phishing e di altre minacce alla sicurezza per creare una maggiore consapevolezza a lungo termine.

I dati sulle e-mail inviate, come ad esempio chi ha ricevuto le e-mail, chi ha cliccato attraverso vengono registrate per l'analisi finale del test.

In genere, la direzione riesaminerà i risultati con il proprio consulente It e parlerà di come migliorare la consapevolezza e sviluppare policy di sicurezza più solide.

Per ottenere il massimo valore dai test di phishing è consigliabile eseguire più test durante l’anno, dove diversi tipi di email vengono inviate agli utenti regolarmente. Il contenuto di queste email deve essere variato e personalizzato.

Ad esempio, un' organizzazione che lavora nello spazio sanitario dovrebbe probabilmente sottoporsi ad almeno un test di phishing correlato alle preoccupazioni dell'industria sanitaria.

In generale, si vuole rendere questi test difficili per creare un livello di consapevolezza più forte. In altre parole, se si può insegnare agli utenti a identificare le email di phishing meno facilmente riconoscibili. In questo modo con minore probabilità eviteranno gli attacchi reali.

Gli utenti che dimostrano maggiore difficoltà a riconoscere le e-mail fraudolente dovranno ricevere una formazione supplementare personalizzata. Alcuni utenti che sostengono questi test sono veloci ad apprendere e vantano una notevole riduzione dei tassi di click dopo i test iniziali, ma altri utenti avranno inevitabilmente bisogno di più tempo. Questo tipo di approccio gestito per trattare con gli utenti che hanno difficoltà si tradurrà in una riduzione dei rischi e in una maggiore consapevolezza in futuro.

Devo fare un test di phishing?

Molto probabilmente, sì. Non solo certi standard di conformità richiedono una formazione per la sensibilizzazione alla sicurezza e talvolta prescrivono specificamente un test di phishing, ma è evidente che si tratta di una minaccia esterna che la maggior parte dei dipendenti non è pronta ad affrontare e riconoscere.

Questo tipo di truffe punta sull’ignoranza dell'utente finale. A causa del volume degli attacchi è solo un gioco di numeri prima che qualcuno con poca consapevolezza cada nella trappola. Un incidente significativo di cybersecurity, come un attacco di ransomware, costerà all'organizzazione molto più di un test di phishing gestito e un programma di sensibilizzazione alla cybersecurity.