Ti chiedi perché ci sono così tante falle di sicurezza nella tua rete o come alcuni dei tuoi dipendenti sembrano segnalare sempre computer guasti? Bene, si scopre che è probabile che un terzo dei dipendenti cada vittima di attacchi di phishing. Sì, è vero, nel 2016 circa un terzo dei lavoratori è ancora così sciocco da fare clic su un collegamento poco sicuro e rischiare l'intera sicurezza di rete della propria azienda nel processo.
I dati provengono da uno strumento gratuito lanciato a marzo da Duo Security per testare la sicurezza della rete. I team IT di 400 aziende hanno messo alla prova 11.542 dipendenti inviando "e-mail di phishing" per vedere chi si sarebbe innamorato del trucco. Di questi destinatari, il 31% ha aperto il link contenuto nell'e-mail, comportamento che, se si trattasse di una vera e-mail di phishing piuttosto che fittizia, potrebbe causare una violazione dei dati presso l'azienda per cui lavorano.
Il fatto che solo una minoranza sia caduta per la "truffa", con due terzi dei testati che riconoscono il link come potenzialmente dannoso, non è questo il punto, secondo Jordan Wright, ingegnere di ricerca e sviluppo di Duo Sicurezza.
"È sufficiente un'e-mail dannosa perché un attacco abbia successo."
"Alla fine della giornata, quello che vediamo è che basta una sola e-mail dannosa perché un attacco abbia successo", ha detto Wright. Professionista IT. "Il 31% può sembrare basso, ma in realtà è ancora un sacco di gente". Infatti, nel caso di questi risultati, il 31% è di 3.578 persone, una media di quasi nove per azienda.
Creazione di una truffa di phishing
Lo strumento Duo Insight di Duo Security è stato utilizzato dalle 400 aziende per inviare la falsa e-mail di phishing ai propri dipendenti.
"Incoraggiamo gli amministratori IT a personalizzare il più possibile l'e-mail", ha affermato Wright, imitando gli attacchi mirati spesso imposti alle aziende dagli hacker. Ciò aumenta la probabilità che un destinatario apra l'e-mail e faccia clic.
"Le persone pensano che se non inseriscono i propri dati, sono al sicuro, ma gli exploit kit possono comunque essere scaricati sul computer senza che l'utente inserisca alcuna informazione".
Questa non è la fine della truffa, però. Se poi la pagina di destinazione richiede le credenziali, gli utenti potrebbero annusare un topo e decidere di fare clic, invece di consegnare i propri dettagli. Ma, mentre gli utenti potrebbero pensare che non verrà loro alcun danno se non sono caduti per il secondo passaggio, in realtà potrebbe non essere così.
"Questa è una parte davvero importante della sicurezza", ha affermato Wright. "Le persone pensano che se non inseriscono i propri dati, sono al sicuro, ma gli exploit kit possono comunque essere scaricati sul computer senza che l'utente inserisca alcuna informazione".
Tuttavia, lo scopo di questo esercizio non è sorprendere le persone o farle stare male.
Vedi correlati
“L'intento è che gli amministratori facciano due cose. In primo luogo, per elaborare le loro strategie per affrontare potenziali attacchi di phishing e in secondo luogo per aiutare a educare gli utenti", ha affermato Wright. Questo è più che insegnare loro a non fare clic ciecamente sui link, ma anche, per il 59% che non fa clic, incoraggiarli a segnalare un incidente all'IT, contribuendo a stroncarlo sul nascere.
Se sei curioso di mettere alla prova la tua azienda, puoi scaricare una versione beta di Duo Insight gratuitamente.
Immagine: Alan Kotok – Flickr
