3…2…1…Test di Phishing!

Digitree - Security & Peace of Mind / Security Awareness  / 3…2…1…Test di Phishing!

3…2…1…Test di Phishing!

Ammettiamolo: poche aziende avrebbero immaginato di essere ancora in una sorta di limbo a quasi cinque mesi dallo scoppio della pandemia. Questa situazione ha imposto a molte organizzazioni l’adozione di nuovi modi di lavorare e la maggior parte delle persone ha dovuto adeguarsi a qualcosa per la quale non era assolutamente preparata. E i livelli di distrazione e di stress rischiano di peggiorare prima che la situazione torni alla normalità.

All’inizio della pandemia, molte organizzazioni hanno sospeso i loro test di phishing, non volendo aggiungere ulteriore stress e confusione ad impiegati che erano già alquanto stressati e confusi. E, sebbene quelle intenzioni fossero nobili, in realtà i cyber criminali hanno approfittato dell’opportunità e aumentato incredibilmente la loro attività. E questa tendenza continua, a seconda di numerose fonti che riportano un incremento di oltre il 6.000 % dei tentativi di phishing legati al COVID-19.

Ora più che mai risulta chiaro che esercitare i propri utenti con test di phishing simulato è fondamentale. Ecco un estratto da un articolo su CIO Dive:

“[La nostra] squadra ha discusso giorno e notte su questa cosa,” dichiara Stanley (NdA, CISO di Mars Inc.), “decidendo alla fine un breve ritardo dei nostri esercizi di routine. Di solito, Mars effettua test di phishing ogni sei settimane, invece in questo caso ne abbiamo aspettate dieci. Il risultato? Abbiamo avuto un aumento nella nostra vulnerabilità. Abbiamo avuto problemi com’era prevedibile.”

Mars ha posticipato il normale test di phishing e, sebbene il loro ritardo fosse di sole quattro settimane rispetto alla norma, hanno riscontrato che le loro persone erano più suscettibili agli attacchi. In un periodo in cui questi stanno aumentando esponenzialmente, non possiamo permetterci che i nostri impiegati perdano terreno. Il training sulla security awareness è come ogni altro tipo di esercizio: in ogni momento puoi rinforzare o atrofizzare un ‘muscolo’.

Quindi, che possiamo fare? Possiamo esercitare i nostri utenti con test di phishing senza farli sentire confusi o alienati. Tutto dipende dal nostro tono e dalla modalità in cui lo facciamo. Avere il tono giusto è un fattore chiave per aiutare le persone a non sentirsi ingannate, prese di mira o imbarazzate. Dal nostro tono assieme al modalità in cui procediamo dipende totalmente il livello di coinvolgimento dei nostri utenti nella comunicazione, nella formazione e nell’effettiva modifica dei comportamenti di sicurezza.

Alcuni consigli al riguardo

Tono

Ritengo che il tono sia il fattore più importante ma siccome è molto più facile sentirlo che spiegarlo, userò questo video come esempio.

Questo è un progetto di COVID-19 awareness creato specificamente per aiutare i leader della security awareness ad effettuare fondamentali simulazioni di phishing in un modo che risulti premuroso ed empatico. Dagli un’occhiata  e capirai che cosa intendo.

Ci sono alcuni aspetti chiave del messaggio. Essenzialmente:

  • Inizia con empatia e comprenzione: La situazione è nuova e molto differente, lo sappiamo.
  • Spiega il contesto: La situazione COVID-19/lockdown ha creato nuovi rischi relativi al lavoro da casa e i cyber criminali ne stanno approfittando.
  • Sottolinea la nostra comune responsabilità: Di conseguenza, noi tutti dobbiamo essere più vigili.
  • Dì che cosa state per fare: Uno dei modi che abbiamo pianificato è quello di inviare test di phishing simulato.
  • Descrivi il risultato atteso: L’intenzione non è quella di ingannare nessuno, umiliare nessuno o altro. E’ quella di creare dei ‘riflessi’ in tema di sicurezza.
  • Offri consigli ed indicazioni: I cyber criminali fanno affidamento su distrazione, stress e panico. Quindi, ogni volta che vedi qualcosa relativo al COVID-19 nella tua casella di posta, valutala con scetticismo e riporta sempre un sospetto phishing.
  • Concludi con un senso di comunità: “Mantieni la calma e non cliccare. Siamo tutti insieme in questo.”

Modalità

L’altro fattore chiave a cui bisogna pensare è la modalità in cui lo facciamo. Dal momento che viviamo una ‘nuova normalità’, dovremmo inviare un nuovo tipo di messaggio, facendo sapere che il cyber crime ha raggiunto nuovi apici grazie al COVID-19 e, proprio per questo, vogliamo preparare le nostre persone ad affrontare quello che sta per venire.

In essenza, il modo di procedere dovrebbe essere questo:

  • Avverti la tua gente circa le possibili truffe: Fornisci informazioni puntuali su come i cyber criminali stanno sfruttando queste circostanze stressanti a loro vantaggio.
  • Dì loro che stai per aiutarli ad essere preparati inviando loro simulazioni su COVID-19 e altro. Se sei un cliente di KnowBe4, puoi usare questo video. Se non lo sei, puoi creare il tuo messaggio seguendo i miei consigli. Ricorda: il tono è fondamentale!
  • Intensifica i test di phishing simulato per accrescere la vigilanza.
  • Considera di utilizzare una particolare landing page con un video che spieghi come i cyber criminali stanno sfruttando proprio ora il COVID-19 per ricavare il massimo da questa situazione.  Questo video deve essere incoraggiante. Se sei un cliente di KnowBe4, puoi utilizzare il video qui sopra. Se non lo sei, il tuo messaggio dovrebbe essere basato sulla formula che ho delineato. Il tuo messaggio dovrebbe essere qualcosa del tipo: “Oops, hai cliccato… Non preoccuparti, non era vero phishing: tu sei salvo e la nostra azienda è al sicuro. Ma fa’ attenzione, i cyber criminali stanno stanno utilizzando tutte le informazioni, il panico, il disorientamento legati al COVID-19 come modo per imbrogliare la gente e indurla a cliccare su link malevoli, aprire allegati sospetti, farsi accidentalmente sottrarre credenziali di accesso, e altro. Il tuo compito è quello di essere iper-scettico riguardo a qualunque email che evochi emozioni forti (paura, urgenza, ecc.)…soprattutto se quell’email riguarda il COVID-19.
  • Rafforza la vigilanza con messaggi coerenti ed incoraggianti (es. “Mantieni la calma e non cliccare. Siamo con te.”)

Pronti a testare in 3… 2… 1…

Test di Phishing Gratuito

Il tuo personale potrebbe cadere vittima di un attacco di phishing davvero convincente? Fa’ tu ora il primo passo e scoprilo prima che siano i criminali a farlo. Potrai inoltre confrontare la tua posizione con quello che è il benchmark di settore. La percentuale phish-prone, ovvero di utenti che in qualche modo rispondono al phishing, è solitamente più alta di quello che ti aspetti!

PST ResultsCome funziona:

  • Inizia subito il tuo test di phishing con un massimo di 100 utenti
  • Scegli un template di phishing e personalizzalo in base alle caratteristiche del tuo ambiente
  • Scegli la landing page dove far arrivare gli utenti che cliccano
  • Mostra loro le red flags di cui non si sono accorti, oppure una pagina 404
  • Ricevi un report con la tua percentuale phish-prone e grafici esplicativi in 24 ore, e condividilo con il management
  • Scopri come la tua organizzazione si posiziona all’interno del tuo settore

Comincia subito: https://info.knowbe4.com/phishing-security-test-partner?partnerid=001a000001nBIvEAAW!

No Comments
Post a Comment