Simulazione di Phishing utopica o come interpretiamo erroneamente i risultati dei nostri test

Simulazione di Phishing utopica o come interpretiamo erroneamente i risultati dei nostri test

Le simulazioni di Phishing vengono utilizzate per misurare il comportamento degli utenti della nostra organizzazione di fronte a inganni che potrebbero culminare in una fuga di informazioni o nell’installazione di Malware, compromettendo la sicurezza delle informazioni sia a livello personale che organizzativo.

In questo senso, le simulazioni sono uno strumento molto utile, a patto di interpretare correttamente i loro risultati.

La simulazione di Phishing utopica

In molte organizzazioni di solito c’è il preconcetto secondo cui ogni campagna di Phishing deve essere “perfetta”, nel senso che:

  • Essere ricevuta correttamente da tutti gli utenti
  • Suscitare l’interesse di tutti
  • Ingannare efficacemente coloro che adottano comportamenti non sicuri
  • Senza lasciarsi condizionare da fattori esterni alla simulazione

Ciò che accade nella vita reale con le simulazioni è che sono più un’arte che una scienza esatta, il che rende il raggiungimento di questo test perfetto un’utopia.

La realtà

Il grado di efficacia di una campagna dipende in realtà da molti fattori, alcuni dei quali sono:

  • L’interesse suscitato da ciascun utente in base all’oggetto dell’email, al mittente e all’oggetto del messaggio ricevuto.
  • Le tecniche di persuasione utilizzate dalla trappola, che sono molto varie, non possono trovarsi tutte in un’unica email e possono avere effetti diversi su ogni persona. Ogni utente avrà più o meno probabilità di essere influenzato dalla tecnica utilizzata e quindi di cadere o meno nella simulazione effettuata.
  • Il numero di email che ogni utente deve leggere oltre a quella corrispondente alla simulazione.
  • Il carico di lavoro di ciascun utente, ad esempio, se si trova in una giornata impegnativa o rilassata, oppure se è in vacanza o in viaggio di lavoro, solo per citarne alcuni.
  • Il mezzo con cui ciascun utente controlla la propria posta elettronica, ad esempio un computer o un dispositivo mobile.
  • La situazione personale di ciascun utente, che comprende la situazione economica, la situazione sentimentale, lo stato emotivo, ecc.
  • La conformità e il grado di soddisfazione di ciascun utente rispetto all’organizzazione in cui svolge la propria attività lavorativa.
  • Il grado di attenzione e consapevolezza di ciascun utente.
  • Il grado di interazione di ciascun utente con i propri colleghi.
  • La possibilità che la campagna venga rilevata da qualche strumento tecnologico e ad un certo punto del suo ciclo di vita inizi a mostrare qualche tipo di avviso agli utenti.
Una singola simulazione di Phishing ci darà un risultato distorto da tutti i fattori menzionati e altro ancora. È comune desiderare che una campagna sia perfetta e rappresenti fedelmente e oggettivamente lo stato del nostro livello di sicurezza umana, ma ciò non corrisponde alla realtà.

Immaginiamo, considerando quanto analizzato finora, se vogliamo misurare una baseline o giustificare l’investimento in Awareness con una singola simulazione di Phishing, per fare un esempio. Potremo rapidamente concludere che questo non è il modo migliore per raggiungere questo obiettivo.

Come procedere di fronte a questa realtà

Abbiamo già concluso che una simulazione isolata non ci sarà di grande utilità. Questo è il motivo per cui dobbiamo invece eseguire una serie di simulazioni nel periodo che desideriamo valutare.
Queste campagne devono variare in termini di tema, giorno e ora in cui vengono inviate, gruppo di utenti target, tipo di inganno, grado di personalizzazione, ecc.

In questo modo otterremo per ogni simulazione una serie di statistiche che potremo riassumere e potremo così ottenere un risultato medio che corrisponde più fedelmente alla realtà della nostra organizzazione. Questo perché ogni simulazione sarà stata influenzata da diversi fattori, ma insieme ridurremo l’influenza che ciascun fattore potrebbe avere su detta influenza e quindi otterremo un risultato più rappresentativo.

Questo modo di lavorare ci consentirà anche di ottenere parametri preziosi sui nostri utenti, come gli scenari a cui sono più sensibili o i momenti in cui hanno maggiori probabilità di cadere nell’inganno, per citarne solo alcuni.
Inoltre, i nostri utenti saranno più attenti, perché invieremo loro simulazioni abbastanza frequentemente in modo che prendano l’abitudine e sviluppino l’abitudine di pensarci due volte prima di eseguire un’azione all’interno della loro email.

C’è vita oltre la simulazione di Phishing

Data la sua popolarità, la simulazione del phishing sembra essere l’unica cosa da fare quando si tratta di aumentare la consapevolezza.

Niente è più lontano dalla realtà!

Esami e sondaggi, moduli interattivi, newsletter, momenti educativi, gamification, sono elementi molto utili nel mondo della consapevolezza.
Le persone trascorrono la giornata gestendo informazioni con diversi livelli di sensibilità in diversi media e situazioni, e il Phishing è solo una delle minacce che devono affrontare, sebbene sia una delle più efficaci e ricorrenti.

Ecco perché una strategia di sensibilizzazione, oltre ad essere uno sforzo continuo all’interno delle organizzazioni, deve avvalersi di diversi strumenti per coprire in percentuale maggiore tutti i fronti possibili.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento