Nella mia vita quotidiana nel campo della sensibilizzazione e della formazione sulla sicurezza informatica, di solito ricevo domande relative alla durata delle campagne di phishing. Questo perché uno dei metodi più efficaci per misurare il grado di esposizione di un’organizzazione a questo tipo di attacchi è simulare l’attacco stesso e vedere il comportamento degli utenti in una situazione di Phishing reale ma innocua.
Che cadano tutti!
Quando si lancia una simulazione di Phishing, uno dei dubbi più comuni che assalgono i responsabili è quanto durerà. La cosa più comune è che in prima istanza le persone sono propense a effettuare simulazioni che durano settimane, o addirittura mesi. L’obiettivo sembra essere quello di avere abbastanza tempo perché quante più persone possibili cadano nella trappola simulata, ma analizzando il comportamento delle campagne di Phishing reali, possiamo vedere che questo non è l’approccio migliore.
Prendimi se ci riesci
Secondo un rapporto Webroots, il tempo medio di attività di una campagna di phishing è di 15 ore, il tempo minimo è di 15 minuti e il tempo massimo è di 44 ore. Inoltre, l’84% delle campagne di phishing analizzate è durata meno di 24 ore, quindi possiamo vedere una tendenza chiara: le campagne di phishing hanno vita breve e c’è una ragione per questo.
Ciclo di vita di un attacco Phishing in ore – Fonte: Webroots
In un passato non troppo lontano, un singolo attacco di phishing durava diverse settimane o mesi e veniva ospitato su un dominio specifico di proprietà dell’aggressore. Questa, sebbene sembrasse una buona idea, ha dato alle organizzazioni abbastanza tempo per rilevare e bloccare le e-mail o i siti Web utilizzati dall’attaccante per evitare che i propri utenti ne diventassero vittime. Le aziende di sicurezza a loro volta hanno inserito i domini o gli IP di questo tipo di attacchi nelle loro liste nere e questo phishing è stato eliminato.
Per questo motivo gli attaccanti si sono evoluti (e non solo sotto questo aspetto… ) e hanno diminuito il tempo in cui le loro campagne di Phishing rimangono attive sullo stesso dominio, rendendone più difficile il rilevamento. Inoltre, utilizzano domini legittimi, che compromettono per caricare i loro contenuti dannosi, rendendo più difficile bloccarli tramite liste nere. Una pagina specifica su un determinato dominio attualmente sicuro può essere compromessa da un criminale nel secondo successivo e ospitare contenuti di phishing.
Tornando alla questione principale
Tenendo conto di quanto detto finora e ricordando che la domanda più ricorrente è quanto dovrebbe durare una campagna di Phishing simulata, se vogliamo essere fedeli alla realtà, non dovrebbe durare più di due giorni. In questo modo potremo ottenere statistiche che corrispondano più da vicino a ciò che realmente accade nelle campagne di Phishing lanciate dai cybercriminali e non dirottarle verso situazioni che hanno meno probabilità di verificarsi.
Lascia un commento