Simulazioni di attacchi Quishing

Galería de contenidos de simulación de QRishing

Informazioni sui contenuti di simulazione di Quishing

GIF que representa un clic en un enlace de simulación de Phishing con la consiguiente apertura de un Momento Educativo
Usuario reportando un correo de Phishing utilizando el botón de reporte de phishing de SMARTFENSE
Detalle de campaña de una campaña de simulación de QRishing
Reporte sobre la evolución de comportamientos en el tiempo en simulaciones de QRishing
Representación del scoring de riesgo en SMARTFENSE
Direct Message Injection
Advertencia en el detalle de una campaña acerca de falsos positivos detectados
Interfaz de creación de una campaña de simulación de QRishing de prueba en SMARTFENSE
Detalle de campaña de una agrupación de campañas de phishing
Dominio personalizado para una simulación de phishing
Che cos'è il Quishing?
Tutti i rapporti di cybersecurity concordano sul fatto che la Social Engineering è la porta d’ingresso per la maggior parte degli attacchi informatici. Il Quishing è una tecnica di Ingegneria sociale, che nasce come una variante del Phishing. Mentre un Phishing classico contiene uno o più link maligni nel corpo dell’email, in un Quishing i link sono codificati sotto forma di codici QR. Questi codici QR maligni, quando vengono scansionati con un dispositivo mobile, reindirizzano la vittima a siti web falsi o scaricano malware sul dispositivo. L’uso dei codici QR presenta due vantaggi chiave per i cybercriminali. Da un lato, consente ai messaggi di superare con successo alcuni filtri di sicurezza informatica, poiché molti strumenti di cybersecurity non sono preparati per scansionare i codici QR. Di conseguenza, non riescono a rilevare la presenza di link maligni al loro interno. Dall’altro lato, un altro vantaggio delle trappole di Quishing è che di solito le persone non sono abituate a controllare l’URL a cui un codice QR li reindirizza, o il loro dispositivo non glielo permette. Questo rende questo tipo di inganno molto efficace.
In generale, le organizzazioni implementano barriere tecnologiche per fermare il Quishing prima che venga ricevuto dagli utenti. Tuttavia, questi strumenti non sono infallibili e molte email di QRishing riescono comunque a raggiungere la casella di posta degli utenti. D’altra parte, i codici QR sono sempre più comuni in vari contesti (pagamenti mobili, campagne di marketing, ecc.), quindi gli utenti sono esposti sia all’interno che all’esterno dell’ambiente aziendale. In questo caso, se gli utenti non sanno riconoscere un inganno, è molto probabile che l’attacco risulti essere riuscito. Simulare attacchi di QRishing è un modo efficace per formare i dipendenti a identificare e evitare questo tipo di minacce. È importante che gli utenti siano consapevoli dei rischi associati alla scansione di codici provenienti da fonti sconosciute. Le simulazioni di Quishing permettono di misurare come le persone reagiscono di fronte a codici QR sospetti in un ambiente sicuro, identificare gli utenti e le aree più a rischio e migliorare la cultura della cybersicurezza. Le simulazioni sono un modo proattivo per ridurre il rischio che un vero attacco abbia successo. Un ulteriore vantaggio delle simulazioni riguarda la reazione al rischio. Gli utenti consapevoli possono segnalare le email di QR pishing ricevute, consentendo al team di risposta agli incidenti di agire rapidamente per ridurre l’impatto degli attacchi reali.
Per gestire un rischio, prima bisogna misurarlo. Il livello di esposizione dell’organizzazione a un attacco di Quishing si misura tramite simulazioni. La prima misurazione effettuata sull’organizzazione viene generalmente chiamata “Linea di base”. Questa linea di base rappresenta il livello di rischio attuale dell’organizzazione e da lì si possono fissare obiettivi e traguardi per portare quel livello di rischio a uno accettabile. La linea di base non si misura con una singola e isolata simulazione di QRishing. È più consigliabile prendere un periodo e lanciare più simulazioni che variano in base agli utenti destinatari, giorni e orari di invio, scenari di simulazione utilizzati, ecc. Per portare il livello di rischio attuale a uno accettabile devono essere intraprese azioni di sensibilizzazione. Queste azioni idealmente dovrebbero essere continue e combinate con nuove serie di simulazioni che permettano di sapere se gli obiettivi e traguardi proposti vengono raggiunti. Una volta raggiunto il livello di rischio accettabile, le azioni di sensibilizzazione e simulazione devono essere mantenute continuamente nel tempo. Questo permette di mantenere stabile il livello di rischio al livello desiderato.
Ogni simulazione di QRishing inviata è influenzata da numerosi fattori, tra cui:
  • Il livello di interesse che l’utente ha nell’oggetto dell’email, nel mittente e nel contenuto del messaggio ricevuto.
  • Le tecniche di persuasione utilizzate nella trappola (che sono molto varie). Non tutte possono essere presenti in una sola email e possono avere impatti diversi su ogni persona. Ogni utente è più o meno suscettibile alla tecnica impiegata, il che influisce sul fatto che cada o meno nella simulazione.
  • Il numero di email in sospeso che l’utente ha, oltre all’email relativa alla simulazione.
  • Il carico di lavoro dell’utente, ad esempio se è in una giornata piena di attività o se è un giorno più tranquillo, o se è in vacanza o in viaggio di lavoro, per fare alcuni esempi.
  • Il dispositivo che l’utente utilizza per controllare la propria email, che sia un computer o un dispositivo mobile.
  • La situazione personale di ogni utente, che può includere la sua situazione economica, sentimentale, stato emotivo, tra gli altri.
  • La conformità e la soddisfazione dell’utente con l’organizzazione per cui lavora.
  • Il livello di attenzione e consapevolezza dell’utente.
  • Il grado di interazione che l’utente ha con i suoi colleghi di lavoro.
  • La possibilità che la campagna venga rilevata da qualche strumento tecnologico e, in qualche momento del suo ciclo di vita, inizi a mostrare qualche tipo di avviso agli utenti.
  • E altri fattori aggiuntivi.
Per tutti questi motivi (e altri) dobbiamo pensare alle simulazioni di Quishing per periodo piuttosto che per campagna. La cosa migliore che possiamo fare è lanciare più simulazioni di Quishing in un mese e poi raggrupparle per vedere i risultati come una singola valutazione. Ogni campagna di QR pishing del periodo deve variare in termini di tema, giorno, orario, gruppo di utenti destinatari, tipo di inganno, grado di personalizzazione, ecc. In questo modo, tutte le simulazioni di Quishing avranno qualche tipo di pregiudizio tra quelli menzionati sopra, ma ognuna sarà influenzata da fattori diversi. Complessivamente, forniranno un risultato molto più rappresentativo della realtà. Questo approccio consente anche di ottenere metriche preziose sugli utenti, come gli scenari a cui sono più sensibili o gli orari in cui sono più propensi a cadere in un inganno, per citarne solo alcuni. Come punto aggiuntivo, gli utenti saranno più attenti ai codici QR dannosi, poiché riceveranno simulazioni con una frequenza sufficiente per sviluppare l’abitudine di pensarci due volte prima di compiere un’azione all’interno della loro email.

Voglio più informazioni:

Articoli correlati nel nostro blog

Perché le tue Simulazioni di Phishing sono inutili

Le ragioni per cui una simulazione può fallire sono molteplici. Qualche anno fa abbiamo approfondito l’argomento. Se siete interessati ai dettagli, potete leggere l’articolo completo qui…

Le migliori pratiche per la creazione di campagne di simulazione di phishing

In questo post raccolgo alcune delle raccomandazioni che, secondo la mia opinione personale, ritengo più importanti quando si tratta di simulare attacchi di Phishing.

Hai davvero capito cos’è una simulazione di phishing?

Molti CIO, CISO e responsabili della cybersecurity o dell’IT stanno cercando piattaforme di simulazione di phishing per valutare quanto sia probabile che gli utenti della loro organizzazione cadano nelle trappole dell’ingegneria sociale.