Aruba VPS
Sicurezza
 

17/10/2017

Share    

Phishing, così si comportano gli utenti aziendali

Un test condotto da Cefriel evidenzia che la maggioranza non verifica l’attendibilità della fonte.

Cefriel ha comunicato i risultati di un test di phishing (SDVA, Social driven vulnerability assestment) eseguito su 40 mila dipendenti di più di 20 imprese in tutta Europa. Il risultato: dopo un attacco di questo tipo fino al 60% dei destinatari clicca su link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l’attendibilità del mittente, in particolare nei primi venti minuti dal ricevimento de messaggio stesso.

Nel dettaglio, il test SDVA (Social Driven Vulnerability Assessment) è studiato per mettere alla prova gli utenti di un’azienda stimando la vulnerabilità legata al fattore umano attarverso l’invio ai dipendenti di mail che invitano a visitare un sito e a inserire le rispettive credenziali aziendali. Le esche utilizzate all’interno dei messaggi sono abbastanza generiche, vagamente contestualizzate alla realtà aziendale tramite loghi, colori o riferimenti a iniziative reali, sfruttando informazioni facilmente reperibili online. Tra i settori ai quali appartengono le aziende coinvolte ci sono bancario assicurativo, energetico, amministrazioni pubbliche e aziende di prodotti e servizi.


Fonte: Cefriel, SDVA

Analizzando i dati per settore, si evidenzia che quello bancario/assicurativo è risultato il più “vulnerabile”, con una media del 41% che clicca sul link ingannevole, mentre in media il 27% inserisce le proprie credenziali. Numeri più bassi per la pubblica amministrazione con il 33% che clicca sul link e il 16% che inserisce anche le credenziali.

“Ogni volta che facciamo questi test - dichiara Alfonso Fuggetta, Ceo di Cefriel – ci accorgiamo che è determinante il fattore umano oltre all’aspetto tecnico. La velocità con cui questi attacchi prendono piede sono la dimostrazione che è necessario un progetto di formazione per cambiare l’approccio culturale degli utenti. Ormai – prosegue Fuggetta – ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker. Per prevenire questi attacchi – ha concluso – bisogna farsi sempre una domanda in più e nell’incertezza non fare quel click che può risultare quasi istintivo”.

Bastano 20 minuti
Proseguendo con i risultati, in media a un hacker bastano tre messaggi di email per ottenere un click sul link potenzialmente malevolo contenuto al loro interno, e quattro per convincere almeno un utente a inserire le proprie credenziali sul sito ingannevole. Inoltre il 50% del totale delle vittime abbocca entro i primi 20 minuti, mentre i processi e i sistemi di sicurezza aziendale necessitano almeno di un paio d’ore, realisticamente, per attivare il contrasto.

 

TORNA INDIETRO >>