Secondo quanto emerso dai dati rilevati dal simulatore di phishing di Kaspersky Security Awareness Platform i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna. Quasi un dipendente su cinque (dal 16 al 18%), infatti, ha cliccato su link contenuti nei modelli di e-mail che simulano attacchi di phishing. Secondo le stime, il 91% di tutti i cyberattacchi inizia con un’e-mail di phishing, le cui tecniche sono implicate nel 32% dei casi di tutte le violazioni di dati andate a buon fine.
Per fornire ulteriori informazioni su questa minaccia, Kaspersky ha analizzato i dati raccolti da un simulatore di phishing e forniti volontariamente dagli utenti1. Si tratta di uno strumento integrato in Kaspersky Security Awareness Platform, che aiuta le aziende a verificare se il personale è in grado di distinguere un’e-mail di phishing da una reale, senza mettere a rischio i dati aziendali. L’amministratore sceglie dal set di modelli che imitano gli scenari di phishing più comuni, o crea un modello personalizzato, lo invia al gruppo di dipendenti senza preallertarli e tiene traccia dei risultati. Un numero elevato di utenti che cliccano sul link è una dimostrazione evidente della necessità di formazione aggiuntiva sulla cybersecurity.
Secondo recenti campagne di simulazione le cinque email di phishing più efficaci sono:
· Oggetto: Tentativo di consegna fallito – Purtroppo il nostro corriere non è riuscito a consegnare il vostro articolo. Mittente: Servizio di consegna della posta. Conversione dei click: 18,5%.
· Oggetto: Email non consegnate a causa del sovraccarico dei server di posta. Mittente: Il team di supporto di Google. Conversione dei click: 18%.
· Oggetto: Sondaggio online tra i dipendenti: Cosa miglioreresti del lavoro in azienda. Mittente: Dipartimento Risorse Umane. Conversione dei click: 18%.
· Oggetto: Promemoria: Nuovo dress code aziendale. Mittente: Risorse umane. Conversione dei click: 17,5%.
· Oggetto: Attenzione a tutti i dipendenti: nuovo piano di evacuazione dell’edificio. Mittente: Dipartimento Sicurezza. Conversione dei click: 16%.
Inoltre, tra le altre e-mail di phishing che hanno ottenuto un numero significativo di click ci sono: conferme di prenotazione da parte di un servizio di prenotazione (11%), notifiche di un ordine (11%) e un annuncio di un concorso IKEA (10%).
Al contrario, le e-mail che minacciano il destinatario o che offrono vantaggi immediati sembrano avere meno “successo”. Ad esempio, un modello con l’oggetto “ho violato il tuo computer e conosco la tua cronologia di ricerca” ha ottenuto il 2% dei click, mentre offerte come quelle di un abbonamento Netflix gratis o di una vincita di 1.000 dollari hanno ingannato solo l’1% dei dipendenti.
“La simulazione di attacchi phishing è uno dei modi più semplici per verificare la cyber-resilience dei dipendenti e per valutare l’efficacia della loro formazione in materia di cybersecurity. Tuttavia, ci sono aspetti significativi che devono essere considerati quando si conduce questa valutazione per renderla davvero efficace. Poiché i metodi utilizzati dai criminali informatici sono in costante evoluzione, la sim0dabile che offra funzionalità anti-spam, tenga traccia dei comportamenti sospetti e crei una copia di backup dei file in caso di attacchi ransomware. La protezione anti-phishing è inclusa in alcune soluzioni di sicurezza, anche per le piccole imprese, come Kaspersky Small Office Security
