Cookie Consent by Free Privacy Policy website Kaspersky rivela le email di phishing più ingannevoli per i dipendenti
giugno 30, 2022 - Kaspersky

Kaspersky rivela le email di phishing più ingannevoli per i dipendenti

Milano, 30 giugno 2022

Secondo quanto emerso dai dati rilevati dal simulatore di #phishing di #kaspersky Security Awareness Platform i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna. Quasi un dipendente su cinque (dal 16 al 18%), infatti, ha cliccato su link contenuti nei modelli di e-mail che simulano attacchi di #phishing

Secondo le stime, il 91% di tutti i cyberattacchi inizia con un'e-mail di #phishing, le cui tecniche sono implicate nel 32% dei casi di tutte le violazioni di dati andate a buon fine.

Per fornire ulteriori informazioni su questa minaccia, #kaspersky ha analizzato i dati raccolti da un simulatore di #phishing e forniti volontariamente dagli utenti[1]. Si tratta di uno strumento integrato in Kaspersky Security Awareness Platform, che aiuta le aziende a verificare se il personale è in grado di distinguere un'e-mail di #phishing da una reale, senza mettere a rischio i dati aziendali. L'amministratore sceglie dal set di modelli che imitano gli scenari di #phishing più comuni, o crea un modello personalizzato, lo invia al gruppo di dipendenti senza preallertarli e tiene traccia dei risultati. Un numero elevato di utenti che cliccano sul link è una dimostrazione evidente della necessità di formazione aggiuntiva sulla #cybersecurity.  

Secondo recenti campagne di simulazione le cinque email di #phishing più efficaci sono:

  • Oggetto: Tentativo di consegna fallito - Purtroppo il nostro corriere non è riuscito a consegnare il vostro articolo. Mittente: Servizio di consegna della posta. Conversione dei click: 18,5%.
  • Oggetto: Email non consegnate a causa del sovraccarico dei server di posta. Mittente: Il team di supporto di Google. Conversione dei click: 18%.
  • Oggetto: Sondaggio online tra i dipendenti: Cosa miglioreresti del lavoro in azienda. Mittente: Dipartimento Risorse Umane. Conversione dei click: 18%.
  • Oggetto: Promemoria: Nuovo dress code aziendale. Mittente: Risorse umane. Conversione dei click: 17,5%.
  • Oggetto: Attenzione a tutti i dipendenti: nuovo piano di evacuazione dell'edificio. Mittente: Dipartimento Sicurezza. Conversione dei click: 16%.

Inoltre, tra le altre e-mail di #phishing che hanno ottenuto un numero significativo di click ci sono: conferme di prenotazione da parte di un servizio di prenotazione (11%), notifiche di un ordine (11%) e un annuncio di un concorso IKEA (10%).

Al contrario, le e-mail che minacciano il destinatario o che offrono vantaggi immediati sembrano avere meno "successo". Ad esempio, un modello con l’oggetto "ho violato il tuo computer e conosco la tua cronologia di ricerca" ha ottenuto il 2% dei click, mentre offerte come quelle di un abbonamento Netflix gratis o di una vincita di 1.000 dollari hanno ingannato solo l'1% dei dipendenti. 

"La simulazione di attacchi #phishing è uno dei modi più semplici per verificare la cyber-resilience dei dipendenti e per valutare l'efficacia della loro formazione in materia di #cybersecurity. Tuttavia, ci sono aspetti significativi che devono essere considerati quando si conduce questa valutazione per renderla davvero efficace. Poiché i metodi utilizzati dai criminali informatici sono in costante evoluzione, la simulazione deve riflettere le tendenze aggiornate dell'ingegneria sociale, oltre agli scenari comuni della criminalità #informatica. È fondamentale che gli attacchi simulati vengano eseguiti regolarmente e integrati con una formazione adeguata, in modo che gli utenti sviluppino una forte capacità di vigilanza che consenta loro di evitare di cadere in attacchi mirati o nel cosiddetto spear phishing", ha dichiarato #elenamolchanova, Head of Security Awareness Business Development di Kaspersky.

Per prevenire le violazioni dei dati e le relative perdite finanziarie e di reputazione causate dagli attacchi di #phishing, #kaspersky raccomanda alle aziende di adottare le seguenti misure:

  • Ricordare ai dipendenti i segnali fondamentali delle e-mail di phishing: un oggetto drammatico, errori e refusi, indirizzi del mittente incoerenti e link sospetti;
  • In caso di dubbi sull'e-mail ricevuta, è importante controllare il formato degli allegati prima di aprirli e l'accuratezza del link prima di cliccare. Per farlo è importante assicurarsi che l'indirizzo sia autentico e che i file allegati non siano in formato eseguibile;
  • Segnalare sempre gli attacchi di #phishing. Nel caso di un attacco, è importante segnalarlo al reparto di sicurezza #informatica e, se possibile, evitare di aprire l'e-mail dannosa. In questo modo il team di #cybersecurity potrà riconfigurare i criteri anti-spam e prevenire un incidente;
  • Fornire ai dipendenti le conoscenze di base sulla #cybersecurity. La formazione deve essere finalizzata a modificare il comportamento dei dipendenti e a insegnare loro come affrontare le minacce. #kaspersky, uno dei principali fornitori di #cybersecurity, possiede una base rilevante di informazioni sugli attacchi reali e integra continuamente i suoi Security Awareness Trainings in base all’attuale panorama delle minacce;
  • Poiché i tentativi di #phishing possono confondere e non c'è garanzia di evitare tutti i click accidentali, è importante proteggere i dispositivi di lavoro con una soluzione di sicurezza affidabile che offra funzionalità anti-spam, tenga traccia dei comportamenti sospetti e crei una copia di backup dei file in caso di attacchi ransomware. La protezione anti-phishing è inclusa in alcune soluzioni di sicurezza, anche per le piccole imprese, come Kaspersky Small Office Security.

[1] Le statistiche si basano sui risultati di 29.597 dipendenti di 100 Paesi. Non tutti i modelli di #phishing disponibili sono stati inviati a ciascun dipendente. I dati presentati includono modelli inviati a più di 100 utenti. Le campagne di simulazione di #phishing si sono svolte tra gennaio 2021 e maggio 2022.

Ti potrebbe interessare anche

febbraio 22, 2024
febbraio 02, 2024
novembre 30, 2023

La tecnologia di LG OLED Trasparent Touch offre un modo ineditodi godere dei contenuti espositiviLa Biblioteca nazionale Braidense...

In occasione del Safer Internet Day, l’azienda si impegna a promuovere la sicurezza online e a sensibilizzare sull’importanza di e...

Natale si avvicina e per molti genitori è arrivato il momento di mettere sotto l’albero per i più piccoli il primo dispositivo tec...