I dipendenti non sono abbastanza vigili quando ricevono e-mail. Un'attuale analisi di Kaspersky sulle simulazioni di phishing nelle aziende [1] mostra che molti dipendenti di solito non notano le insidie nascoste nelle questioni aziendali e le notifiche su presunti problemi di consegna nelle e-mail.
Quasi uno su cinque ha fatto clic sul collegamento nei modelli di e-mail che imitava questo tipo di attacco di phishing. Altre comuni e-mail di phishing, che annunciano che il proprio computer è stato violato o promettono un profitto, difficilmente hanno successo con una conversione di clic dall'uno al due percento.
9 attacchi su 10 iniziano tramite phishing
Si stima che nove attacchi informatici su dieci (91%) inizino con un'e-mail di phishing; Le tecniche di phishing sono implicate in due terzi di tutte le violazioni di dati riuscite (32%) [2].
Per ottenere ulteriori informazioni su questa minaccia, gli esperti di Kaspersky hanno raccolto e analizzato i dati da un simulatore di phishing fornito volontariamente dagli utenti. Integrato in Kaspersky Security Awareness Platform [3], questo strumento aiuta le organizzazioni a verificare che i dipendenti possano individuare un'e-mail di phishing senza compromettere i dati aziendali. Un amministratore seleziona da una serie di modelli che imitano scenari di phishing comuni o crea un modello personalizzato, quindi lo invia al gruppo selezionato di dipendenti senza preavviso e tiene traccia dei risultati. Un gran numero di utenti che fanno clic sul collegamento mostra che è necessaria una formazione aggiuntiva sulla sicurezza informatica.
Le cinque righe dell'oggetto più efficaci nelle e-mail di phishing
- "Tentativo di consegna fallito - Purtroppo il nostro corriere non è stato in grado di consegnare il tuo articolo" presumibilmente da un servizio di consegna postale: conversione di clic del 18,5%.
- "Le e-mail non sono state recapitate perché il server di posta era sovraccarico" Presumibilmente dal team di supporto di Google: conversione dei clic del 18 percento
- "Sondaggio tra i dipendenti online: cosa miglioreresti del lavoro in azienda?" Presumibilmente dal dipartimento delle risorse umane: conversione dei clic del 18 percento
- "Promemoria: nuovo codice di abbigliamento aziendale" Presumibilmente dal dipartimento delle risorse umane: conversione dei clic del 17,5 percento
- "Attenzione a tutti i dipendenti: Piano di evacuazione per il nuovo edificio" presumibilmente dal dipartimento di sicurezza: conversione dei clic del 16 percento
Agganci più efficaci per le e-mail di phishing
- Conferme di prenotazione da un servizio di prenotazione (11%)
- Notifiche di inserimento ordini (11%)
- Annuncio di un concorso IKEA (10%)
Le e-mail che minacciano il destinatario o promettono benefici immediati sembrano essere meno "riuscite". Un modello con l'oggetto "Ho violato il tuo computer e conosco la tua cronologia delle ricerche" ha fatto clic solo sul due percento degli utenti, offre gratuitamente Netflix e $ 1.000 solo l'uno percento.
“La simulazione del phishing è uno dei modi più semplici per controllare la resilienza informatica dei dipendenti e valutare l'efficacia della loro formazione sulla sicurezza informatica. Tuttavia, ci sono aspetti importanti che devono essere presi in considerazione durante l'implementazione affinché sia davvero efficace", spiega Christian Milde, Managing Director Central Europe di Kaspersky. "Poiché i criminali informatici adattano costantemente i loro metodi, la simulazione deve riflettere le attuali tendenze di ingegneria sociale oltre ai comuni scenari di criminalità informatica. È fondamentale che gli attacchi simulati vengano effettuati regolarmente e integrati con una formazione adeguata. In questo modo, gli utenti sviluppano una forte consapevolezza che consente loro di evitare di essere presi in giro da attacchi mirati o spear phishing”.
Raccomandazioni di Kaspersky per la protezione dagli attacchi di phishing
- Informare regolarmente i dipendenti sui tratti distintivi di base delle e-mail di phishing [4], come una riga dell'oggetto allarmante, errori ed errori di battitura, indirizzi del mittente in conflitto e collegamenti sospetti.
- In caso di dubbi sull'e-mail ricevuta, è necessario verificare il formato degli allegati e l'accuratezza del collegamento prima di fare clic. Passare il mouse su questi elementi con il cursore del mouse può garantire che l'indirizzo sembri autentico e che i file allegati non siano in un formato eseguibile.
- Gli attacchi di phishing devono sempre essere segnalati al dipartimento di sicurezza IT. Ciò consente al team di sicurezza informatica di riconfigurare le politiche anti-spam e prevenire un incidente.
- I dipendenti dovrebbero essere regolarmente formati sulla sicurezza informatica. Formazione come Kaspersky Security Awareness Training [5] mira a cambiare il comportamento degli studenti e insegnare loro come affrontare le minacce.
- Poiché i tentativi di phishing possono creare confusione e non esiste alcuna garanzia per evitare tutti i clic involontari, tutti i dispositivi devono essere protetti con una soluzione affidabile come Kaspersky Small Office Security [6]. Le soluzioni corrispondenti offrono funzioni anti-spam, tracciano comportamenti sospetti e creano backup in caso di attacchi ransomware.
, https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
, https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
, https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
, https://www.kaspersky.de/enterprise-security/security-awareness
, https://www.kaspersky.de/small-business-security/small-office-security
Altro su Kaspersky.com