Quando si tratta di proteggere la vostra organizzazione dalle moderne minacce alla sicurezza informatica, la formazione è la prima linea di difesa. Tuttavia, i seminari convenzionali sulla cybersecurity e le e-mail educative distribuite in massa spesso non riescono a comunicare efficacemente il messaggio ai dipendenti. Considerate la formazione basata sulla simulazione per elevare l'esperienza formativa a un livello più coinvolgente.
Per quanto robuste siano le difese del vostro software, non possono impedire a un attaccante determinato di sfruttare la psicologia umana per ottenere un accesso non autorizzato. Riconoscendo questo fatto, le aziende più accorte stanno adottando misure proattive per preparare i propri dipendenti ad affrontare le tecniche di social engineering.
Uno dei metodi che possono utilizzare è quello di condurre un esercizio di simulazione. In un articolo precedente, abbiamo proposto un test che includeva un codice QR. Questa volta esaminiamo un test in tempo reale che dimostra quanto il vostro team sia pronto ad affrontare gli attacchi di phishing vocale.
Che cos'è il vishing? Il vishing, abbreviazione di "voice phishing", è una tecnica astuta che prevede che un aggressore manipoli le persone a divulgare informazioni sensibili o a trasferire denaro tramite una telefonata. A differenza del phishing tradizionale via e-mail, il vishing sfrutta l'immediatezza e la natura personale della comunicazione vocale. |
I risultati di un esempio reale
La resistenza al vishing è stata testata sui dipendenti di un'azienda tecnologica senza nome.
Durante il test, i dipendenti hanno incontrato un aggressore che ha assunto tre ruoli distinti:
- Supporto al dipartimento finanziario: In questo scenario, l'aggressore si è spacciato per un agente di supporto del dipartimento finanziario, insistendo sulla conferma dei dati personali inviati via e-mail. Per accedere al file presumibilmente critico, sono state richieste le credenziali di accesso.
- Revisore esterno: L'aggressore si è mascherato da rappresentante di una finta società di revisione, chiedendo agli amministratori di compilare un modulo online. Tuttavia, per accedere al modulo era necessario fornire le proprie credenziali.
- Collega in congedo: Nel terzo scenario, l'aggressore ha finto di essere un collega senza accesso al computer, in cerca di assistenza urgente. Per risolvere il problema è stato necessario accedere a un'applicazione esterna.
È sorprendente che i soggetti di questo test abbiano tenuto duro e respinto efficacemente le avances dell'aggressore. Nessuno di loro è stato vittima dei tentativi di vishing. Ciò sottolinea l'importanza di una formazione continua in materia di cybersecurity, dato che si tratta di dipendenti di un'azienda con un robusto programma di sensibilizzazione informatica, che comprende una formazione regolare in varie forme.
Di fronte a una situazione potenzialmente discutibile, hanno abilmente ricordato e applicato i principi di prevenzione acquisiti in precedenza, mettendo così al riparo la loro azienda dalle potenziali conseguenze di un attacco di social engineering.
Pratiche anti-vishing: Come evitare di diventare una vittima?
1. Essere consapevoli dei potenziali pericoli
Siate vigili ogni volta che ricevete una telefonata inaspettata da una qualsiasi "autorità", ad esempio una banca, un'istituzione governativa o un'assistenza tecnica. Anche se chi chiama potrebbe essere la persona che dice di essere, è sempre bene conoscere i rischi potenziali e procedere con cautela.
2. Convalidare l'identità del chiamante
I dipendenti che hanno partecipato alla simulazione di cui sopra hanno sempre cercato di convalidare l'identità del chiamante e voi dovreste seguire il loro esempio. Quando ricevete una chiamata sospetta, chiedete il nome completo del chiamante, i dettagli del contatto e le informazioni sull'organizzazione. Non esitate a incrociare questi dati con fonti ufficiali, come il sito web dell'organizzazione o comunicazioni precedenti.
3. Fate domande stimolanti
Sconvolgete i potenziali aggressori ponendo domande a cui non possono rispondere facilmente. A seconda del contesto, chiedete informazioni su interazioni precedenti, supervisori o conoscenti comuni. Approfondendo la conversazione si possono mettere a nudo le incongruenze e rivelare la loro vera natura.
4. Attenzione alle richieste urgenti
Gli autori di attacchi di vishing spesso implicano l'urgenza per influenzare i loro obiettivi. Rimanete vigili e scrutate qualsiasi richiesta che vi costringa ad agire rapidamente. Non lasciatevi costringere a prendere decisioni affrettate.
5. Verificare e riferire
In caso di dubbio, interrompete la chiamata e contattate autonomamente il rappresentante ufficiale dell'istituzione. La segnalazione di chiamate sospette è fondamentale, in quanto contribuisce agli sforzi collettivi di cybersecurity.
6. Educare e promuovere la consapevolezza informatica
Condividete queste informazioni in tutta l'organizzazione. Chiunque può diventare il bersaglio di un attacco di vishing. Create una cultura di consapevolezza informatica e inculcate l'importanza dello scetticismo.
6 passi per un test di simulazione di vishing di successo
Conducendo simulazioni di vishing, mettete il vostro team in condizione di riconoscere e resistere alle minacce di vishing. L'obiettivo non è puntare il dito o punire i dipendenti che inciampano, ma migliorare la loro consapevolezza informatica. Trattate ogni simulazione come un'opportunità per preparare con sicurezza i vostri colleghi ad affrontare e respingere le tattiche di social engineering.
Fase 1: Definire gli obiettivi e l'ambito
Iniziate stabilendo obiettivi chiari per la simulazione di vishing. Volete valutare la reazione dei dipendenti alle telefonate sospette o valutare l'efficacia del programma di formazione sulla sicurezza della vostra organizzazione? Stabilite l'ambito della simulazione, compresi i reparti, i dipendenti o i ruoli specifici a cui intendete rivolgervi.
Fase 2: ottenere l'approvazione della direzione
Spiegate lo scopo, i benefici e i potenziali risultati dell'esercitazione di vishing alla direzione dell'azienda. Rispondete alle eventuali preoccupazioni e sottolineate come questo approccio proattivo possa aiutare a identificare le vulnerabilità e a ridurre il rischio di violazioni della sicurezza nel mondo reale.
Fase 3: Sviluppare gli scenari
Realizzate scenari di vishing realistici che simulino le potenziali minacce che i vostri dipendenti potrebbero incontrare. Prendete in considerazione scenari in cui i chiamanti si fingono tecnici dell'assistenza IT, fornitori di servizi o persino personale interno alla ricerca di informazioni sensibili. Sviluppate un copione convincente e plausibile, assicurandovi che contenga i segnali di allarme tipici dei tentativi di vishing, come l'urgenza, l'intimidazione e la richiesta di dati riservati.
Fase 4: informare e formare i dipendenti
Prima di sottoporre i dipendenti al test, ricordate loro l'importanza della consapevolezza della sicurezza informatica e incoraggiateli a seguire i protocolli stabiliti quando si tratta di chiamate sospette. Se necessario, organizzare sessioni di formazione di aggiornamento.
Fase 5: valutare i risultati
Dopo la simulazione, raccogliete e analizzate i dati raccolti. Identificate le tendenze, i modelli e le aree di miglioramento. Organizzate una sessione di debriefing con i partecipanti, per discutere lo scopo della simulazione, i risultati e le lezioni apprese. Fornite un feedback costruttivo e utilizzate esempi reali per sottolineare l'importanza di rilevare un attacco di vishing.
Fase 6: migliorare continuamente
Utilizzate le conoscenze acquisite con la simulazione di vishing per perfezionare i programmi di formazione, le politiche e le procedure di sicurezza della vostra azienda. Considerate la possibilità di condurre regolarmente simulazioni simili per mantenere un alto livello di preparazione dei dipendenti e di adattabilità alle minacce emergenti.
Siete pronti a mettere alla prova le difese del vostro team? Con la giusta preparazione, una simulazione di vishing può rafforzare la sicurezza informatica della vostra azienda.