A causa dei crescenti attacchi di phishing, si è registrato un incremento fino al 60% degli utenti che si lasciano convincere a cliccare sui link ingannevoli e circa tre quarti (75%) di loro si lascia persuadere al punto di digitare persino le proprie credenziali o i propri dati sensibili, senza accertarsi per tempo dell’attendibilità del sito su cui si sta navigando. E’ questo il risultato fornito da un test (più precisamente dal test SDVA, Social driven vulnerability assestment) condotto sulla base di dati ottenuti dall’analisi delle attività di circa 40 mila dipendenti di diverse imprese – più di 20 in tutta Europa. Il test è stato effettuato da Cefriel, una società che unisce il lavoro di ricerca di università, aziende e pubbliche amministrazioni e che porta a realizzazione diversi progetti di innovazione digitale e di sviluppo del capitale umano.
Queste le parole di Alfonso Fuggetta, CEO della società Cefriel:
“Ogni volta che facciamo questi test ci accorgiamo che è determinante il fattore umano. La velocità con cui questi attacchi prendono piede dimostra che è necessario un progetto di formazione per cambiare l’approccio culturale degli utenti. Ormai ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker”.
Dall’analisi fornita dalla società viene chiaramente alla luce che un hacker si serve circa di tre mail per riuscire a ricevere un clic su un link potenzialmente maligno contenuto nel testo del messaggio, e quattro per indurre almeno un utente a digitare credenziali e informazioni personali nei moduli di richiesta dei siti web malevoli.
Phishing, basta un link. E il 60% dei dipendenti ci casca
Un ulteriore fattore per nulla irrilevante è il tempo: circa il 50% del totale degli utenti vittime di phishing cede entro i primi 20 minuti dalla ricezione della mail, mentre i processi e i sistemi di sicurezza aziendale hanno solitamente bisogno di almeno un paio d’ore, nella migliore delle ipotesi, per dare il via alla difesa digitale.
Il test condotto da Cefriel permette di mettere alla prova i dipendenti di un’azienda al fine di poterne analizzare le attività sul web e la vulnerabilità con la quale si cede a tali minacce attraverso lo stratagemma dell’invio di email che incitano a cliccare sul link ad un sito e a compilare un form in cui si richiedono le proprie credenziali aziendali. Le “esche” adoperate nel testo della mail risultano abbastanza vaghe, fanno generalmente riferimento alla realtà aziendale grazie all’utilizzo di loghi, colori o descrizioni di attività realmente svoltesi nel contesto aziendale, grazie all’uso di informazioni facilmente reperibili online. Le aziende partecipanti al test fanno parte di ambiti differenti tra i quali bancario assicurativo, energetico, amministrazioni pubbliche e aziende di prodotti e servizi.
Esaminando i dati in base al settore, stranamente proprio quello bancario/assicurativo è risultato il più “debole”. Dalle analisi effettuate su diverse aziende del settore salta all’occhio che in media il 41% dei dipendenti clicca sul link malevolo, mentre il 27% fornisce le proprie credenziali. Presenta percentuali meno vertiginose, ma comunque allarmanti la pubblica amministrazione: circa il 33% clicca sul link, il 16% digita anche le credenziali.