Nov172023

Quando si parla di proteggere l’organizzazione da potenziali minacce informatiche, è fondamentale mettere in primo piano l’aspetto formativo. Tuttavia, i tradizionali seminari sulla sicurezza informatica e le e-mail educative inviate in massa spesso non riescono a trasmettere in modo efficace il messaggio ai dipendenti. Ecco perché oggi è sempre più diffusa la formazione basata sulla simulazione, che consente di rendere l’esperienza formativa più coinvolgente.
Non importa quanto sia solido il vostro sistema di difesa informatica: un attaccante determinato potrebbe comunque sfruttare la psicologia umana per ottenere un accesso non autorizzato. Consapevoli di questo fatto, molte aziende lungimiranti stanno adottando misure preventive per preparare i propri dipendenti a fronteggiare le tecniche di social engineering.

 

Che cos’è il vishing?

Il vishing, noto anche come “voice phishing”, rappresenta un ingegnoso stratagemma mediante il quale un individuo malintenzionato cerca di ottenere informazioni riservate o di indurre le vittime a effettuare trasferimenti di denaro attraverso una telefonata. A differenza delle classiche truffe di phishing condotte attraverso e-mail, il vishing sfrutta il potere immediato e l’aspetto personalizzato della comunicazione verbale.

 

L’importanza della formazione continua per contrastare il vishing

Abbiamo recentemente assistito a un interessante esperimento sulla resistenza al vishing, condotto su dipendenti di un’azienda tecnologica che preferiamo mantenere anonima per ragioni di privacy.
Durante il test, sono stati presentati ai dipendenti tre scenari diversi, ognuno dei quali coinvolgeva un aggressore che assumeva un ruolo specifico.

  • Nel primo caso, l’aggressore si è spacciato per un agente di supporto del dipartimento finanziario e ha richiesto la conferma dei dati personali inviati tramite e-mail. Per accedere ad un file critico presumibilmente presente, sono state richieste le credenziali di accesso.
  • Nel secondo scenario, l’aggressore si è presentato come un revisore esterno, proveniente da una società di revisione fittizia, e ha richiesto agli amministratori di compilare un modulo online. Tuttavia, il modulo poteva essere accessibile solo fornendo le proprie credenziali.
  • Infine, nel terzo scenario, l’aggressore si è finto un collega in congedo, senza accesso al proprio computer e in cerca di assistenza urgente. Per risolvere il problema, è stato richiesto l’accesso a un’applicazione esterna.

Sorprendentemente, i dipendenti coinvolti in questo test hanno dimostrato un’ottima capacità di resistenza e hanno respinto efficacemente gli approcci dell’aggressore. Nessuno di loro è caduto nel vishing e questo evidenzia l’importanza di una formazione continua in materia di sicurezza informatica.
L’azienda coinvolta in questo test è nota per il suo robusto programma di sensibilizzazione informatica, che comprende una formazione regolare in varie forme. È evidente che tale formazione ha avuto un impatto positivo sui dipendenti, che hanno saputo ricordare e applicare efficacemente i principi di prevenzione acquisiti in precedenza.
Questa esperienza sottolinea l’importanza di investire nella formazione continua in ambito cybersecurity per proteggere le aziende dagli attacchi di social engineering. Avere dipendenti consapevoli e informati sulle possibili minacce e sulle corrette pratiche di sicurezza informatica è fondamentale per garantire la protezione dei dati sensibili e la sicurezza globale dell’azienda.

 

Pratiche anti-vishing: come evitare di cadere vittima di truffe telefoniche

In questo paragrafo cercheremo di fornire utili suggerimenti e informazioni su come proteggersi dalle truffe telefoniche, note anche come vishing. Essere consapevoli dei potenziali pericoli e seguire alcune pratiche di sicurezza può aiutare a evitare di diventare vittima di queste truffe sempre più diffuse.

  • Consapevolezza dei potenziali rischi: è fondamentale essere sempre all’erta quando si riceve una chiamata inaspettata, soprattutto da presunte “autorità” come banche, istituzioni governative o assistenza tecnica. Anche se chi chiama sembra veritiero, è importante conoscere i rischi potenziali e procedere sempre con cautela.
  • Verifica dell’identità del chiamante: seguendo l’esempio dei professionisti, è consigliabile sempre cercare di convalidare l’identità del chiamante. Quando si riceve una chiamata sospetta, è bene chiedere il nome completo, i dettagli di contatto e informazioni sull’organizzazione. È consigliabile incrociare questi dati con fonti ufficiali come il sito web dell’organizzazione o comunicazioni pregresse.
  • Domande identificative: una strategia efficace per smascherare gli aggressori è porre domande stimolanti, alle quali essi difficilmente potranno rispondere correttamente. A seconda del contesto, si possono richiedere informazioni su interazioni precedenti, supervisori o conoscenti comuni. Approfondendo la conversazione, le incongruenze verranno messe in evidenza e sarà possibile scoprire la loro vera identità.
  • Cautela nelle richieste urgenti: gli autori di attacchi di vishing spesso cercano di indurre urgenza nelle loro vittime per manipolarle. Per questo motivo, è fondamentale rimanere vigili e analizzare attentamente qualsiasi richiesta che richieda un’azione immediata. Non fatevi influenzare da decisioni affrettate.
  • Verificare e segnalare: in caso di dubbi, interrompere la chiamata e contattare direttamente un rappresentante ufficiale dell’istituzione coinvolta. Segnalare immediatamente le chiamate sospette è essenziale, in quanto contribuisce agli sforzi collettivi per la sicurezza informatica.
  • Educazione e promozione della consapevolezza informatica: condividere queste informazioni all’interno dell’intera organizzazione è di fondamentale importanza in quanto chiunque può essere oggetto di un attacco di vishing. Promuovere una cultura di consapevolezza informatica e incoraggiare lo scetticismo sono azioni indispensabili per la sicurezza di tutti.