Approfondimenti da uno studio sul phishing di larga scala
Nel settore della sicurezza c’è molta esperienza sul phishing via email, esperienza che F-Secure voleva sfidare con dati concreti. Per fare ciò, abbiamo condotto uno studio, prendendo di mira 82.402 persone di quattro organizzazioni con una delle quattro tipologie di email di phishing. Abbiamo registrato se erano suscettibili (facendo click sui nostri link), chiesto alcune domande ai cliccatori e poi interpretato i risultati.
I risultati dello studio hanno rafforzato alcune idee classiche – nessuno sarà sorpreso dal fatto che la finta email interna delle risorse umane che minacciava le ferie annuali fosse la più efficace – tuttavia, alcuni risultati potrebbero mettere in discussione le intuizioni del settore. Il più sorprendente di questi risultati è che le persone impiegate in ruoli relativi all’IT erano altrettanto suscettibili di quelle nel resto dell’azienda.
Due delle organizzazioni che abbiamo preso di mira avevano dipendenti in dipartimenti descritti come IT e DevOps; ruoli che si concentrano sulla tecnologia informatica. In una di queste organizzazioni, i dipartimenti “tecnici” erano suscettibili alle nostre email tanto quanto il resto dell’azienda (26% di click in DevOps, 24% nell’IT e 25% in tutta l’organizzazione). L’altra organizzazione, tuttavia, ha visto questi dipartimenti tecnici mostrare una suscettibilità di gran lunga superiore alla media dell’organizzazione (30% di click in DevOps, 21% nell’IT, con un tasso complessivo per l’organizzazione dell’11%).
Allo stesso modo, questi gruppi non si sono dimostrati migliori del resto dell’organizzazione nel segnalare le email come sospette. In un’organizzazione, IT e DevOps sono al terzo e sesto posto su nove dipartimenti in termini di reporting. Nell’altra organizzazione, DevOps era il dodicesimo migliore nel reporting su sedici dipartimenti, l’IT era il quindicesimo. Infine, a coloro che hanno cliccato è stato chiesto se in passato avevano notato un’email di phishing nella loro casella di posta. In entrambe le organizzazioni, IT e DevOps hanno riferito di aver notato un attacco di phishing a un tasso più elevato rispetto al resto delle loro organizzazioni, suggerendo di ricevere più attacchi di phishing o di considerarsi più bravi a individuarli.
Da questi risultati si possono trarre due conclusioni generali. In primo luogo, con i loro accessi aggiuntivi, la suscettibilità uguale (o addirittura superiore) del personale tecnico e la mancanza di reporting avanzato rappresentano un rischio maggiore. In secondo luogo, una maggiore alfabetizzazione informatica generale e una probabile consapevolezza del phishing non riducono la suscettibilità al phishing via email. Se le persone impiegate in ruoli “tecnici” non sono più brave a prevenire o difendersi dagli attacchi di phishing, come possiamo credere di potenziare i membri “non tecnici” del personale per essere in grado di farlo? Invece, dovremmo sviluppare solide pratiche di sicurezza per consentire a coloro che sono meno suscettibili di proteggere coloro che sono più a rischio.
Un’altra scoperta importante, anche se meno controversa, del nostro studio è che la percentuale di segnalazioni di email sospette come phishing da parte delle persone è direttamente correlata al processo di segnalazione stesso. Delle quattro organizzazioni coinvolte nel nostro studio, una non ha fornito dati di segnalazione, una si basava sull’invio di un’email sospetta da parte degli utenti a una casella di posta condivisa, una stava implementando un pulsante di segnalazione nel proprio client di posta elettronica, ma aveva solo distribuito a due gruppi, il resto ha inoltrato le email. L’ultima organizzazione ha avuto accesso a un pulsante nel proprio client di posta elettronica. In quest’ultima organizzazione, con il pulsante, il personale ha segnalato il 47% delle email come sospette. Nell’organizzazione senza alcun pulsante, solo il 13% del personale ha segnalato l’email come sospetta. Nell’organizzazione che è stata divisa, quelli con il pulsante di segnalazione hanno segnalato il 44% delle email come sospette mentre quelli senza ne hanno segnalate solo l’11%.
Le organizzazioni devono disporre di un metodo per identificare le email malevole che hanno aggirato le loro misure di protezione tecnica. Una volta che un’email è in una casella di posta, spetta al proprietario della casella di posta considerarla sospetta e avvisare i team di sicurezza. La mancata fornitura di un metodo unico e semplice per la segnalazione significa che è probabile che venga segnalato solo un quarto delle email di phishing rispetto a quelle che altrimenti vedresti con un pulsante disponibile. Consigliamo vivamente a tutte le organizzazioni di implementare un pulsante di segnalazione per tutti i propri utenti di posta elettronica. Il conseguente problema di generare un numero di email segnalate da vagliare di quattro volte superiore dovrebbe essere risolto mediante automazione e triage.
Infine, sulla questione del reporting, bisogna considerare la velocità. Il tempo riveste la massima importanza sia per gli attaccanti che cercano di compromettere la tua rete, sia per i tuoi team di sicurezza che cercano di impedirlo. Il nostro studio ha rilevato che nei primi cinque minuti di consegna di un’email, le persone che ne sono state vittima sono più del triplo di quelle che l’hanno segnalata come sospetta. Dopo cinque minuti questo numero inizia a stabilizzarsi e dopo 30 minuti dovresti aspettarti più segnalazioni che click. Ci vuole più tempo per esaminare un’email e decidere che è sospetta, quindi per segnalarla, di quanto non ci voglia per credere che sia stata inviata di proposito e caderne vittima. Rimuovere le barriere e disporre di un metodo efficace per gestire rapidamente le email segnalate è essenziale per prevenire i danni causati dal phishing.
Le considerazioni tratte da questo studio sono le seguenti:
- Gli esseri umani rimarranno suscettibili agli attacchi di phishing, indipendentemente dal loro ruolo.
- Supportare coloro che hanno maggiori probabilità di individuare un attacco di phishing con un unico metodo di segnalazione semplice da usare, idealmente un pulsante nel loro client di posta elettronica.
- La velocità è essenziale, quindi organizza il tuo centro di sicurezza in modo che sia in grado di valutare e rispondere rapidamente alle email con le minacce più elevate.
I dettagli completi dello studio, i risultati e gli approfondimenti sono disponibili qui.
Categorie