Milano, 30 giugno 2022
Secondo quanto emerso dai dati rilevati dal simulatore di #phishing di #kaspersky Security Awareness Platform i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna. Quasi un dipendente su cinque (dal 16 al 18%), infatti, ha cliccato su link contenuti nei modelli di e-mail che simulano attacchi di #phishing.
Secondo le stime, il 91% di tutti i cyberattacchi inizia con un'e-mail di #phishing, le cui tecniche sono implicate nel 32% dei casi di tutte le violazioni di dati andate a buon fine.
Per fornire ulteriori informazioni su questa minaccia, #kaspersky ha analizzato i dati raccolti da un simulatore di #phishing e forniti volontariamente dagli utenti[1]. Si tratta di uno strumento integrato in Kaspersky Security Awareness Platform, che aiuta le aziende a verificare se il personale è in grado di distinguere un'e-mail di #phishing da una reale, senza mettere a rischio i dati aziendali. L'amministratore sceglie dal set di modelli che imitano gli scenari di #phishing più comuni, o crea un modello personalizzato, lo invia al gruppo di dipendenti senza preallertarli e tiene traccia dei risultati. Un numero elevato di utenti che cliccano sul link è una dimostrazione evidente della necessità di formazione aggiuntiva sulla #cybersecurity.
Secondo recenti campagne di simulazione le cinque email di #phishing più efficaci sono:
Inoltre, tra le altre e-mail di #phishing che hanno ottenuto un numero significativo di click ci sono: conferme di prenotazione da parte di un servizio di prenotazione (11%), notifiche di un ordine (11%) e un annuncio di un concorso IKEA (10%).
Al contrario, le e-mail che minacciano il destinatario o che offrono vantaggi immediati sembrano avere meno "successo". Ad esempio, un modello con l’oggetto "ho violato il tuo computer e conosco la tua cronologia di ricerca" ha ottenuto il 2% dei click, mentre offerte come quelle di un abbonamento Netflix gratis o di una vincita di 1.000 dollari hanno ingannato solo l'1% dei dipendenti.
"La simulazione di attacchi #phishing è uno dei modi più semplici per verificare la cyber-resilience dei dipendenti e per valutare l'efficacia della loro formazione in materia di #cybersecurity. Tuttavia, ci sono aspetti significativi che devono essere considerati quando si conduce questa valutazione per renderla davvero efficace. Poiché i metodi utilizzati dai criminali informatici sono in costante evoluzione, la simulazione deve riflettere le tendenze aggiornate dell'ingegneria sociale, oltre agli scenari comuni della criminalità #informatica. È fondamentale che gli attacchi simulati vengano eseguiti regolarmente e integrati con una formazione adeguata, in modo che gli utenti sviluppino una forte capacità di vigilanza che consenta loro di evitare di cadere in attacchi mirati o nel cosiddetto spear phishing", ha dichiarato #elenamolchanova, Head of Security Awareness Business Development di Kaspersky.
Per prevenire le violazioni dei dati e le relative perdite finanziarie e di reputazione causate dagli attacchi di #phishing, #kaspersky raccomanda alle aziende di adottare le seguenti misure:
[1] Le statistiche si basano sui risultati di 29.597 dipendenti di 100 Paesi. Non tutti i modelli di #phishing disponibili sono stati inviati a ciascun dipendente. I dati presentati includono modelli inviati a più di 100 utenti. Le campagne di simulazione di #phishing si sono svolte tra gennaio 2021 e maggio 2022.
© Copyright 2024