Simulazioni di phishing: dipendenti non abbastanza vigili

27. Luglio 2022
| Non ci sono commenti
Simulazioni di phishing: dipendenti non abbastanza vigili

Condividi post

I dipendenti non sono abbastanza vigili quando ricevono e-mail. Un'attuale analisi di Kaspersky sulle simulazioni di phishing nelle aziende [1] mostra che molti dipendenti di solito non notano le insidie ​​nascoste nelle questioni aziendali e le notifiche su presunti problemi di consegna nelle e-mail.

Quasi uno su cinque ha fatto clic sul collegamento nei modelli di e-mail che imitava questo tipo di attacco di phishing. Altre comuni e-mail di phishing, che annunciano che il proprio computer è stato violato o promettono un profitto, difficilmente hanno successo con una conversione di clic dall'uno al due percento.

9 attacchi su 10 iniziano tramite phishing

Si stima che nove attacchi informatici su dieci (91%) inizino con un'e-mail di phishing; Le tecniche di phishing sono implicate in due terzi di tutte le violazioni di dati riuscite (32%) [2].

Per ottenere ulteriori informazioni su questa minaccia, gli esperti di Kaspersky hanno raccolto e analizzato i dati da un simulatore di phishing fornito volontariamente dagli utenti. Integrato in Kaspersky Security Awareness Platform [3], questo strumento aiuta le organizzazioni a verificare che i dipendenti possano individuare un'e-mail di phishing senza compromettere i dati aziendali. Un amministratore seleziona da una serie di modelli che imitano scenari di phishing comuni o crea un modello personalizzato, quindi lo invia al gruppo selezionato di dipendenti senza preavviso e tiene traccia dei risultati. Un gran numero di utenti che fanno clic sul collegamento mostra che è necessaria una formazione aggiuntiva sulla sicurezza informatica.

Le cinque righe dell'oggetto più efficaci nelle e-mail di phishing

  • "Tentativo di consegna fallito - Purtroppo il nostro corriere non è stato in grado di consegnare il tuo articolo" presumibilmente da un servizio di consegna postale: conversione di clic del 18,5%.
  • "Le e-mail non sono state recapitate perché il server di posta era sovraccarico" Presumibilmente dal team di supporto di Google: conversione dei clic del 18 percento
  • "Sondaggio tra i dipendenti online: cosa miglioreresti del lavoro in azienda?" Presumibilmente dal dipartimento delle risorse umane: conversione dei clic del 18 percento
  • "Promemoria: nuovo codice di abbigliamento aziendale" Presumibilmente dal dipartimento delle risorse umane: conversione dei clic del 17,5 percento
  • "Attenzione a tutti i dipendenti: Piano di evacuazione per il nuovo edificio" presumibilmente dal dipartimento di sicurezza: conversione dei clic del 16 percento

Agganci più efficaci per le e-mail di phishing

  • Conferme di prenotazione da un servizio di prenotazione (11%)
  • Notifiche di inserimento ordini (11%)
  • Annuncio di un concorso IKEA (10%)

Le e-mail che minacciano il destinatario o promettono benefici immediati sembrano essere meno "riuscite". Un modello con l'oggetto "Ho violato il tuo computer e conosco la tua cronologia delle ricerche" ha fatto clic solo sul due percento degli utenti, offre gratuitamente Netflix e $ 1.000 solo l'uno percento.

“La simulazione del phishing è uno dei modi più semplici per controllare la resilienza informatica dei dipendenti e valutare l'efficacia della loro formazione sulla sicurezza informatica. Tuttavia, ci sono aspetti importanti che devono essere presi in considerazione durante l'implementazione affinché sia ​​davvero efficace", spiega Christian Milde, Managing Director Central Europe di Kaspersky. "Poiché i criminali informatici adattano costantemente i loro metodi, la simulazione deve riflettere le attuali tendenze di ingegneria sociale oltre ai comuni scenari di criminalità informatica. È fondamentale che gli attacchi simulati vengano effettuati regolarmente e integrati con una formazione adeguata. In questo modo, gli utenti sviluppano una forte consapevolezza che consente loro di evitare di essere presi in giro da attacchi mirati o spear phishing”.

Raccomandazioni di Kaspersky per la protezione dagli attacchi di phishing

  • Informare regolarmente i dipendenti sui tratti distintivi di base delle e-mail di phishing [4], come una riga dell'oggetto allarmante, errori ed errori di battitura, indirizzi del mittente in conflitto e collegamenti sospetti.
  • In caso di dubbi sull'e-mail ricevuta, è necessario verificare il formato degli allegati e l'accuratezza del collegamento prima di fare clic. Passare il mouse su questi elementi con il cursore del mouse può garantire che l'indirizzo sembri autentico e che i file allegati non siano in un formato eseguibile.
  • Gli attacchi di phishing devono sempre essere segnalati al dipartimento di sicurezza IT. Ciò consente al team di sicurezza informatica di riconfigurare le politiche anti-spam e prevenire un incidente.
  • I dipendenti dovrebbero essere regolarmente formati sulla sicurezza informatica. Formazione come Kaspersky Security Awareness Training [5] mira a cambiare il comportamento degli studenti e insegnare loro come affrontare le minacce.
  • Poiché i tentativi di phishing possono creare confusione e non esiste alcuna garanzia per evitare tutti i clic involontari, tutti i dispositivi devono essere protetti con una soluzione affidabile come Kaspersky Small Office Security [6]. Le soluzioni corrispondenti offrono funzioni anti-spam, tracciano comportamenti sospetti e creano backup in caso di attacchi ransomware.
[1] Le statistiche si basano sui risultati di 29.597 dipendenti provenienti da 100 paesi. Non tutti i modelli di phishing disponibili sono stati inviati a tutti i dipendenti. I dati presentati includono modelli inviati a più di 100 utenti. Le campagne di simulazione di phishing si sono svolte tra gennaio 2021 e maggio 2022.
, https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
, https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
, https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
, https://www.kaspersky.de/enterprise-security/security-awareness
, https://www.kaspersky.de/small-business-security/small-office-security

 

Altro su Kaspersky.com

 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Kaspersky, racconti
, , , , ,