La perdita di dati è il risultato numero uno di una fruttuosa campagna di phishing, ma anche la compromissione degli account e gli attacchi ransomware possono minacciare la tua organizzazione.
Gli attacchi di phishing sembrano una tattica relativamente semplice da parte dei criminali informatici. Imposta una pagina web di phishing, crea la tua e-mail di phishing, invia l’e-mail a destinatari mirati, quindi attendi che le credenziali dell’account rubate e altre informazioni compromesse arrivino sulla tua strada.
Sul lato ricevente, una campagna di phishing di successo può danneggiare un’organizzazione in più di un modo. Un rapporto pubblicato domenica dal fornitore di sicurezza Proofpoint esamina l’impatto di un attacco di phishing e offre suggerimenti su come combatterlo.
Per il rapporto ” 2021 State of the Phish “, Proofpoint ha raccolto dati da diverse fonti:
- Un sondaggio di terze parti su 3.500 adulti che lavorano negli Stati Uniti, Regno Unito, Australia, Francia, Germania, Giappone e Spagna;
- un sondaggio di terze parti su 600 professionisti IT negli stessi paesi;
- oltre 60 milioni di attacchi di phishing simulato implementati dai clienti di Proofpoint per la formazione interna; e
- più di 15 milioni di email di phishing segnalate dagli utenti finali.
Il 2020 ha visto un leggero aumento degli attacchi di phishing tra i clienti di Proofpoint. Circa il 57% ha affermato che la propria organizzazione è stata colpita da un attacco riuscito lo scorso anno, rispetto al 55% nel 2019. Più del 75% degli intervistati ha affermato di aver subito attacchi di phishing di ampia portata, sia riusciti che non riusciti, nel 2020. Utilizzo di tale un approccio, i criminali informatici gettano una rete meno mirata ma più ampia nella speranza di compromettere quante più persone possibile.
Tuttavia, lo scorso anno anche campagne più mirate hanno rappresentato una minaccia. Tra gli intervistati, il 66% ha visto attacchi di phishing più mirati lo scorso anno, mentre il 65% è stato colpito da più tentativi di compromissione della posta elettronica aziendale (BEC).
Gli attacchi mirati raggiungono meno persone ma sono più mirati e sofisticati e hanno meno probabilità di essere scoperti dalle difese di sicurezza. Ricercando persone o ruoli specifici all’interno di un’organizzazione, i criminali informatici possono implementare attacchi di spearphishing e campagne BEC , nonché attacchi di caccia alle balene , che prendono di mira i CEO o altri individui di alto rango.
Un attacco di phishing riuscito può avere un impatto su un’organizzazione in diversi modi. La perdita di dati è stato l’effetto collaterale maggiore, citato da una media del 60% tra gli intervistati. Account o credenziali compromessi è stato il secondo effetto più grande, menzionato dal 52% degli intervistati. Ulteriori risultati di un attacco di phishing includevano infezioni da ransomware citate dal 47%, altre infezioni da malware del 29% e perdite finanziarie o frodi tramite bonifico bancario del 18%.
Oltre agli attacchi di phishing basati su e-mail, ai criminali informatici piace utilizzare altre tattiche. Alcuni utilizzano i social media, altri i messaggi di testo e altri ancora la segreteria. L’anno scorso, il 61% degli intervistati è stato colpito da attacchi sui social media, il 61% da attacchi di smishing (phishing SMS) e il 54% da attacchi di vishing (phishing vocale).
Ovviamente, la pandemia di coronavirus ha creato foraggio per gli attacchi di phishing. L’anno scorso, solo Proofpoint ha bloccato milioni di e-mail relative a pandemia. Sebbene il numero di tali attacchi sia diminuito dal picco di aprile e marzo 2020, i criminali continuano a sfruttare il virus concentrandosi su eventi più recenti come il finanziamento dello stimolo e il lancio del vaccino.
Le e-mail di phishing simulate inviate ai dipendenti dalla loro organizzazione utilizzavano temi come “Singapore Specialist: Coronavirus Safety Measures”, “COVID-19 Hospital Visit”, “FBI Warning !!! Coronavirus Scams” e “COVID-19 Infected Our Staff. ” In alcuni casi, il tasso di errore si è avvicinato al 100%, il che significa che quasi tutti i dipendenti non sono riusciti a rilevarli come frodi di phishing. Per i modelli relativi a COVID utilizzati più di frequente, i tassi di errore erano molto inferiori, da meno dell’1% a poco più del 20%.
Per aiutare la tua organizzazione e i tuoi dipendenti a contrastare le campagne di phishing, Proofpoint offre una serie di suggerimenti:
Eleva gli utenti allo status di stakeholder
- Non dare per scontato che gli utenti comprendano il gergo della sicurezza informatica. Se non riconoscono la terminologia che usi, rischi di disconnetterti dall’inizio.
- Personalizzalo per gli utenti. La sicurezza informatica non è solo una “cosa di lavoro” e gli utenti dovrebbero capirlo. Aiutali a vedere il valore complessivo di migliorare la loro conoscenza della sicurezza, al lavoro ea casa.
- Sii chiaro sulle aspettative e comunica regolarmente con gli utenti. Dovrebbero conoscere gli obiettivi del tuo programma e le attività pianificate. Ovviamente, questo non si applica alla tempistica esatta dei test di phishing.
- Fai sentire gli utenti responsabilizzati. Spesso sono l’unica cosa che si frappone tra il successo o il fallimento di un aggressore. Fornisci ai tuoi utenti gli strumenti di cui hanno bisogno e insegna loro come utilizzarli.
- Offri agli utenti uno spazio sicuro per imparare, commettere errori, esercitarsi e imparare di più. Se ritieni di dover utilizzare un modello di conseguenza, dai ai dipendenti l’opportunità di imparare come evitare i comportamenti per i quali potrebbero essere puniti.
- Spiegare come un comportamento migliore da parte dei dipendenti migliora la sicurezza dell’organizzazione. Nella maggior parte dei casi, gli aspetti negativi di solito sono già chiari e ci si concentra su ciò che gli utenti stanno facendo di sbagliato piuttosto che su ciò che stanno facendo bene. Capovolgi la conversazione e offri agli utenti l’opportunità di concentrarsi sugli aspetti costruttivi dell’apprendimento della sicurezza informatica. Dovrebbero sapere chiaramente cosa stai cercando da loro e perché stai chiedendo loro di rendere la sicurezza una priorità.
Mantieni i dati di benchmark in prospettiva
I datapoint di benchmark sui guasti medi e sui tassi di segnalazione sono utili da una prospettiva comparativa. Se sei in ritardo rispetto alle medie, ciò non significa che la tua organizzazione stia “fallendo”. Allo stesso modo, se sei in vantaggio, ciò non significa che puoi rilassarti.
Combina la formazione sulle informazioni sulle minacce e sulla consapevolezza della sicurezza
Quasi tutte le organizzazioni intervistate per il rapporto utilizzano le informazioni sulle minacce per informare le loro decisioni di formazione: c’è spazio per miglioramenti. Per trarre vantaggio dall’intelligence sulle minacce, le organizzazioni dovrebbero formare gli utenti su argomenti relativi ad attacchi noti all’organizzazione, creare test di phishing che imitano le minacce di tendenza e fornire formazione specifica alle persone che vengono prese di mira da determinati tipi di attacchi.
Correlare attività di sensibilizzazione e formazione con altre funzioni di sicurezza
I programmi di formazione sulla consapevolezza della sicurezza spesso funzionano indipendentemente da altri programmi di sicurezza. Idealmente, tutte le funzioni di sicurezza relative all’utente dovrebbero intersecarsi e informare. Considera l’idea di collegare l’addestramento della password a metriche come il numero di richieste di reimpostazione della password o il numero di volte che un utente impiega per creare una nuova password quando richiesto. Esamina il monitoraggio delle violazioni della prevenzione della perdita di dati insieme alle attività di formazione sulla sicurezza dei dati.
Tali sforzi possono creare un approccio alla sicurezza più orientato ai risultati, mostrare agli utenti come il loro comportamento ha un impatto sulla sicurezza e fornire al tuo CISO dati misurabili e utilizzabili sugli effetti del tuo team sulla posizione di sicurezza complessiva della tua organizzazione.