Phishing simulation attack – L’assonanza con il (senza dubbio più innocuo) termine “fishing” non deve trarre in inganno. Il phishing è una tipologia di attacco oltremodo subdola che negli ultimi anni sta prendendo sempre più piede – andremo successivamente a proporre un dettaglio del mercato del phishing per renderci conto delle numeriche di settore. Nel frattempo, per contrastare il fenomeno dei phishing attack andremo ad analizzare nel dettaglio nei paragrafi successivi, Swascan mette a disposizione il servizio di Phishing Simulation, di seguito la brochure relativa al Phishing Simulation Attack (Test di attacco simulato di Phishing).

Si tratta di una frode a tutti gli effetti che ha un preciso obiettivo: rubare. Ma cosa? Le informazioni più svariate:

  • Password;

  • Informazioni bancarie;

  • User name;

Le tecniche per eseguire queste tipologie di attacchi possono variare, vedremo in seguito la lista delle tecniche utilizzate. Questo è da tenere bene in considerazione, il phishing, di fatto, non si limita al mero invio di un e-mail. Il livello di sofisticazione di questi attacchi ha raggiunto un livello elevatissimo destinato ad aumentare nel prossimo futuro.

Le soluzioni di Phishing Simulation Attack permettono alle aziende di contrastare questo fenomeno attraverso un test dell’Human factor garantendo anche una efficace attività di training e awareness

Fatta questa doverosa premessa, nel seguente articolo andremo ad analizzare:

  • Phishing: il mercato globale

  • Phishing: la metodologia

  • Phishing attack: le tecniche di attacco

    • Pharming o DNS–Based phishing;

    • Tabnabbing;

    • Fast flux;

    • Malware-Based phishing;

    • Man-in-The-Middle phishing;

    • Smishing;

    • Deceptive phishing;

    • Rock phish kit;

    • Search engine phishing;

    • Vishing

  • Phishing: come difendersi

  • Swascan Phishing Simulation Attack

Phishing attack: il mercato globale

Il mercato del phishing mondiale, stando alle stime di MarketsAndMarkets ha assunto dimensioni considerevoli destinate , nel medio-lungo periodo, ad aumentare.

Nel dettaglio possiamo vedere come, stando al 2017, il mercato globale del phishing aveva un valore di 840 milioni di dollari americani.

Se consideriamo un periodo di analisi di 5 anni, 2018-2022, abbiamo un tasso di crescita del mercato (CAGR) che sfiora l’11%. Questo fa si che, al termine del periodo di analisi, nell’anno 2022 appunto il mercato raggiunga i 1401.6 milioni di dollari.

Da questi numeri si può immediatamente intuire la vastità del fenomeno: i phisher (coloro che lanciano gli attacchi di phishing) sono destinati a moltiplicarsi, così come le vittime.

Phishing e Phishing Simulation attack :
la metodologia

In questa sezione andiamo ad analizzare l’attacco di phishing “standard” anche se, come abbiamo detto in precedenza, non si tratta di mandare una semplice mail (ma questo lo vedremo in seguito)…

Gli step di un phishing attack standard sono molteplici. In breve si può così riassumere la sequenza base:

  1. Invio dell’e-mail alla potenziale vittima. Il messaggio in oggetto si presenta “appealing” agli occhi dell’utente ignaro. Per invogliare la vittima ad abboccare, il Cyber Criminale solitamente allega dei loghi aziendali, inscena situazioni verosimili,… Ci sono dei pattern ben precisi seguiti dai malintenzionati, alcuni esempi di mail phishing possono includere situazioni come: scadenze/rinnovi di carte di credito, la mancanza di informazioni sufficienti per la registrazione su siti ben noti, problemi legati alle password e molte altre situazioni simili.

  2. L’utente, attraverso un link o un allegato presente nella mail di phishing, viene indirizzato verso un sito malevolo. Questo sito può essere la brutta copia del sito originale. Questo “trucchetto” ha lo scopo ben preciso di indirizzare l’utente verso l’inserimento delle credenziali di accesso.

  3. L’utente che viene “pescato” ha appena subito un furto dei propri dati che ora sono in possesso del Cyber Criminale. Quest’ultimo ne può disporre a proprio piacimento ed uno degli scopi più diffusi, purtroppo, è quello di vendere i dati nel gran bazar del Dark Web.

Il servzio di Phishing Simulation Attack adotta lo stesso modello permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività. di formazione e awareness efficace dei dipendenti

Phishing : le tecniche di attacco

In base al “tool” utilizzato, possiamo avere molteplici tipologie di attacco phishing.

Cliccando su questo link vi rimandiamo all’analisi delle tecniche principali illustrandone le dinamiche e le azioni solitamente svolte dai Cyber Criminali durante gli attacchi.

Phishing Attack: come difendersi

Dopo aver visto le innumerevoli forme che può assumere un attacco di phishing, la domanda sorge spontanea: come ci può difendere da una minaccia così subdola? La risposta, ovviamente, non è semplice e non si può condensare in poche righe. L’elemento chiave, tuttavia, nel caso di un’azienda è la formazione dei dipendenti.

Proviamo ora a vedere alcuni punti cruciali per gli utenti:

  • Eseguire dei controlli costanti del proprio conto corrente: movimenti e transazioni sono da tenere sempre monitorate in modo da accorgersi in caso di scostamenti irregolari;

  • Segnalare ogni contenuto potenzialmente pericoloso come SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta contrassegnandolo come SPAM;

  • Ricevuto un messaggio, verificarne sempre la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori: rileggilo più e più volte se non sei sicuro;

  • Nel caso in cui viene individuato il chiaro tentativo di phishing, ovviamente, non cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati;

  • Non tenere aperte troppe schede nel tuo browser, abbiamo già visto quanto può essere pericoloso il tabnabbing.

Per le aziende, invece, le raccomandazioni sono:

  • Formare costantemente i propri dipendenti;

  • I dipendenti dovrebbero seguire alla lettera le indicazioni specificate sopra, punto fondamentale per una corretta gestione del rischio;

  • Aggiornare costantemente i web browser;

  • Eseguire attività di Vulnerability Assessment per essere certi che i siti web e le web application aziendali siano prive di vulnerabilità potenzialmente attaccabili da un terzo malintenzionato;

  • Svolgere periodicamente attività di Network Scan per essere certi che la propria infrastruttura IT aziendale sia al riparo da spiacevoli attacchi.

Tuttavia è evidente come il punto fondamentale su cui insistere è quello della formazione, ma come può un’azienda istruire i propri dipendenti a comportarsi correttamente in caso di phishing? Semplice, con un Phishing Simulation Attack.

Phishing Simulation Attack

Swascan, proprio per far fronte alla tematica più sensibile, ha sviluppato un servizio innovative che permette alle aziende di formare i propri dipendenti in maniera facile e veloce. Al seguente link è disponibile la brochure del servizio Phishing Simulation Attack:

(scarica la Brochure Test di attacco simulato di Phishing).

Nel dettaglio, il servizio Swascan di Phishing Simulation permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco. E’ infatti possibile, attraverso un’interfaccia web inviare vere e proprie campagne di phishing simulate che generano delle insostituibili occasioni di apprendimento per i dipendenti. I dipendenti, infatti, grazie a questi attacchi simulati riusciranno, in futuro, ad individuare una vera e-mail di phishing e ad evitarla.

Con il servizio Swascan di Phishing Simulation, sarà possibile per le aziende:

  • Creare attacchi simulati con tanto di link “malevoli” integrati;

  • Inviare queste campagne in più di 30 lingue diverse;

  • Riuscire a valutare i propri rischi aziendali e rispondere di conseguenza.

Oltre a quanto appena citato, ci sono molteplici vantaggi nell’eseguire una campagna di phishing simulato, alcuni di questi vantaggi si possono riassumere in:

  • Ridurre sensibilmente il rischio di subire in futuro un qualsiasi attacco di phishing;

  • Avere dei collaboratori informati e sempre vigili oltre che sensibili alla materia;

  • Diminuire i costi di formazione del personale in materia di sicurezza.