Le e-mail di phishing possono affermare di provenire dall'ufficio postale e chiedere all'utente di riprogrammare una consegna falsa o dalla banca che richiede una sorta di aggiornamento o conferma.
Immagine: picture alliance/Contributor/Getty Images
Tutto il tempo speso a spuntare le caselle nelle sessioni di formazione sulla sicurezza informatica sembra dare i suoi frutti: secondo un nuovo rapporto, circa un terzo dei le email segnalate dai dipendenti sono davvero dannose o altamente sospette, a dimostrazione dell'efficacia della consolidata massima “Pensa prima di fare clic”.
La società di sicurezza IT F-Secure ha analizzato oltre 200.000 e-mail segnalate da dipendenti di organizzazioni di tutto il mondo nella prima metà del 2021 e ha scoperto che il 33% delle segnalazioni potrebbe essere classificato come phishing.
Il phishing è una tecnica comune utilizzata dai criminali informatici per indurre le vittime a fare ciò che vuole l'hacker, che si tratti di fornire informazioni personali o scaricare malware. In genere si verifica tramite e-mail, grazie a messaggi progettati per sembrare autentici e che di solito richiedono al destinatario di intraprendere una qualche forma di azione.
Ad esempio, le e-mail di phishing possono affermare di provenire dall'ufficio postale e chiedere all'utente di riprogrammare una consegna falsa o dalla banca che richiede una sorta di aggiornamento o conferma; a volte sembrano provenire da reparti aziendali. Ciò che hanno in comune è che cercano di convincere il destinatario ad agire facendo clic su un collegamento, fornendo alcune informazioni sensibili o scaricando un allegato, dando all'hacker un modo per eseguire un attacco.
Sebbene il phishing possa avvenire tramite vari mezzi, inclusi i social media e persino il telefono, l'e-mail è il metodo più comune, che ha rappresentato oltre la metà dei tentativi di infezione nel 2020.
Il targeting delle e-mail aziendali, quindi, è facile modo per i criminali di utilizzare i dipendenti come ponte per hackerare un'azienda, motivo per cui le aziende spendono innumerevoli tempo e denaro per istruire il proprio personale in modo che non cadano nel trucco.
Secondo l'analisi di F-Secure, gli utenti hanno inviato in media 2,14 email ciascuno durante il periodo della ricerca. In media, le organizzazioni con 1.000 postazioni segnalano 116 e-mail al mese.
Il motivo più comune indicato dagli utenti per segnalare le e-mail era un collegamento sospetto, citato in quasi il 60% dei casi e seguito da vicino dall'individuazione mittenti errati o imprevisti. I partecipanti hanno anche menzionato allegati sospetti e sospetti spam come motivi per segnalare.
L'analisi di F-Secure mostra che alcune parole e frasi sono associate a un alto rischio di phishing. Includono “Avviso”, “I tuoi fondi hanno” o “Il messaggio è per una persona fidata”.
Questo indica un denominatore comune nelle e-mail di phishing: sono spesso create per giocare con le emozioni della vittima e progettate in modo che fare clic su un collegamento non valido sia la cosa più intuitiva e più semplice da fare.
Nonostante i regolari corsi di formazione sulla sicurezza informatica e i promemoria che dovrebbero prestare attenzione, quindi, c'è sempre il rischio che i dipendenti vengano ingannati. I ricercatori hanno scoperto in precedenza che il tasso medio di risposta agli attacchi di phishing tra i dipendenti si aggira intorno al 20%, con percentuali di clic più elevate riscontrate per le simulazioni di phishing che contengono indizi di autorità o urgenza.
Ma il nuovo studio di F-Secure sembra dimostrare che i dipendenti hanno ancora un buon occhio per le e-mail di phishing. “Spesso si sente dire che le persone sono l'anello debole della sicurezza. Questo è molto cinico e non considera i vantaggi dell'utilizzo della forza lavoro di un'azienda come prima linea di difesa”, ha affermato il direttore della consulenza di F-Secure Riaan Naude. “I dipendenti possono rilevare un numero significativo di minacce che colpiscono la loro casella di posta se possono seguire un processo di segnalazione indolore che produce risultati tangibili”.
Naude, tuttavia, ha anche sottolineato che gli sforzi guidati dai dipendenti nel campo della sicurezza informatica possono anche creare enormi quantità di lavoro aggiuntivo per i team di sicurezza informatica che sono già sommersi.
E il numero di e-mail segnalate dai dipendenti è solo in aumento. Negli ultimi 18 mesi, i team di sicurezza informatica si sono effettivamente dovuti adattare all'aumento del lavoro a distanza, che ha enormemente ampliato la superficie di attacco che gli hacker possono prendere di mira. Poiché le nuove pratiche di lavoro venivano implementate in fretta, gli hacker malintenzionati sono stati in grado di sfruttare il livello ridotto di attività di monitoraggio per prendere di mira le aziende in modo ancora più aggressivo.
Il National Cyber Security Centre (NCSC) del Regno Unito ha rimosso circa 1,4 milioni di URL responsabili di 700.000 truffe online lo scorso anno, ovvero più contenuti in 12 mesi rispetto a quelli rimossi nei tre anni precedenti messi insieme.
Argomenti correlati:
CXO Security TV Data Management Data Center 