Creare una cultura della sicurezza IT: consigli pratici per individuare i casi di phishing

Esistono tecnologie il cui scopo è limitare e individuare le mail di phishing che arrivano alle aziende. In fin dei conti, l’ultima linea di difesa contro gli attacchi di social engineering come questi è sempre rappresentata dagli esseri umani. 

Prima o poi, in qualità di datore di lavoro o MSP finirai per “essere colpito”. Invece di bloccare ogni cosa e rallentare le comunicazioni aziendali, il personale, a partire dalla dirigenza in giù, deve essere messo in condizioni di identificare le e-mail di phishing, in modo che i danni peggiori possano verificarsi solamente in un ambiente di formazione e non nella realtà.

Per iniziare, i dipendenti devono essere informati in merito agli elementi che compongono un attacco di phishing di social engineering e su come possono scoprire dove vengono pubblicate le loro informazioni su Internet. 

Elementi di un caso di phishing di social engineering

Esame della tua presenza digitale

I migliori criminali informatici trovano sempre il tempo necessario per studiare la loro prossima vittima. Scorrendo sui social media associati al nome della persona e cercando su Google ogni informazione disponibile sulla potenziale vittima, possono raccogliere dati relativi alle abitudini dell’individuo

Per gli attacchi di phishing di social engineering di maggiori dimensioni, possiamo immaginare che le cose inizino ad assomigliare un po’ a quanto segue:

Tra gli esempi vi sono i luoghi frequentati, come una palestra o il ristorante preferito, e persino la raccolta di informazioni personali come date di nascita o indirizzi di casa.

Immagina di pubblicare ripetutamente sui social media quanto apprezzi una caffetteria locale. Un post sulla tua caffetteria locale preferita può apparire nella tua storia anche mentre leggi questo post. 

L’aggressore può creare un’e-mail di phishing convincente che sembra contenere un codice coupon proveniente dalla caffetteria locale o da un fornitore con cui questa collabora.

Con questo tipo di informazioni disponibili in rete, le vittime hanno maggiori probabilità di cadere in truffe che sfruttano questo genere di informazioni personali. 

Come esercitare pressione sociale per indurre le persone a fare clic

“È difficile modificare il comportamento umano. Gli esseri umani sono sempre vulnerabili a certe cose e con il verificarsi di eventi attuali cambia il modo in cui le persone sono vulnerabili e in cui reagiscono.”

 

Connor Swalm, CEO e fondatore di Phin Security

 

In molti casi, gli aggressori utilizzano la pressione sociale per indurre l’utente medio a fare clic senza pensarci due volte. 

Alcuni esempi sono le e-mail di phishing, tra cui le richieste di un dirigente a un nuovo dipendente durante le prime settimane di lavoro.

In altri casi invece possono fare leva sull’emotività di un amico o di un collega che necessita di un aiuto immediato per uscire da una brutta situazione. 

Entrambi gli esempi si basano sull’uso della pressione sociale e delle emozioni umane più crude per far sì che la vittima dia la priorità al clic invece che alla formazione ricevuta in materia di sicurezza. 

Consigli pratici per identificare i casi di phishing

Se vedi qualcosa, dì qualcosa.

Segnalare una potenziale e-mail di phishing deve essere la regola base da seguire, anche se il dipendente ha già aperto l’e-mail o scaricato un allegato. I dipendenti devono disporre di un processo e di un ambiente che offrano supporto per la segnalazione di potenziali e-mail di phishing che hanno identificato o aperto. 

Non creare un ambiente negativo o incline al nonnismo nei confronti dei dipendenti che segnalano le e-mail di phishing. 

In una recente chat dal vivo per MSP che comprendeva una sfida sul phishing con altri professionisti IT, il CEO di Phin Security, Connor Swalm, si è spinto ancora più in là, affermando quanto segue:

“Non informate i vostri dipendenti di un test sul phishing che si terrà in una particolare data/ora. Se lo fate, in quei giorni essi non apriranno alcuna e-mail, diminuendo così l’efficacia per l’azienda e la comunicazione.”

 

Connor Swalm, CEO e fondatore di Phin Security

 

Connor ha parlato dei rischi della “formazione punitiva sul phishing” durante la nostra chat dal vivo per MSP; puoi vedere il filmato qui:

Esame dei tipi di attacchi di phishing più comuni

Più i dipendenti conoscono i vari tipi di attacchi di phishing, più saranno pronti quando dovranno segnalare quelli veri. 

La Federal Trade Commission ha stilato questo elenco che illustra i tipi di attacchi di phishing più comuni. L’elenco comprende le modalità con cui alcuni schemi di phishing di social engineering possono sfruttare e-mail, messaggi SMS e persino telefonate per raccogliere le informazioni necessarie per eseguire un attacco. 

Detto ciò, non creare un elenco tecnico di minacce troppo lungo. Traduci invece le minacce più comuni, in modo che siano comprensibili per i vertici dell’organizzazione. Gli esempi del mondo reale come quelli mostrati nella nostra chat dal vivo per MSP contribuiscono ad aggiungere colore e aiutano il personale a relazionarsi con la realtà del problema. 

Incoraggia la cautela e quando possibile basati sulla politica aziendale

La politica aziendale relativa a trasferimenti di fondi, comunicazioni dei CEO e generazione di nuovi accessi costituisce un’ottima guida che può aiutare i dipendenti a identificare le e-mail di phishing. 

Supponi che, secondo la politica aziendale, nella tua azienda non siano ammessi i trasferimenti una tantum di fondi per servizi aggiuntivi. In questo caso, una norma simile può offrire al personale un modo semplice per individuare un caso di phishing. 

Inoltre, consigliamo di definire in una politica ciò che i dipendenti devono aspettarsi nelle comunicazioni dei CEO in merito alle richieste sensibili alle tempistiche. In questo modo, quando arrivano e trovano nelle proprie caselle di posta una richiesta urgente di 600 dollari in carte regalo Amazon, i nuovi dipendenti sanno che il loro CEO non chiederebbe questo genere di cose via e-mail. 

Il frequentatore delle chat dal vivo per MSP Ray Orsini, CEO di OITVOIP ha spiegato questo esempio sulle carte regalo per i dipendenti; puoi vedere il video qui: 

La cultura della sicurezza batte la formazione sulla sicurezza

“La cultura è la forza più grande dell’umanità.” – Kanye West

Ogni azienda dovrebbe inserire corsi di formazione regolari sulla sicurezza nel calendario dei dipendenti, ma quando diventa parte della cultura organizzativa, la sicurezza diventa ineludibile e rimane costantemente in cima ai pensieri dei dipendenti. 

Implementa regole semplici e facili da capire, in modo che il tuo team sappia cosa aspettarsi e non si limiti a partecipare alla difesa dell’organizzazione dai malintenzionati, ma sia una delle parti più integranti di tale difesa. 

Passi successivi

Le basi della sicurezza dei dispositivi sono fondamentali per lo stato della tua sicurezza complessiva. NinjaOne semplifica l’applicazione di patch, l’hardening, la protezione e il backup di tutti i dispositivi in modo centralizzato, da remoto e su larga scala.

Ti potrebbe interessare anche

Pronto a semplificare le parti più complesse dell'IT?
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.