In base agli ultimi dati, circa il 91% di tutti i cyberattacchi inizia con un’e-mail di phishing, le cui tecniche sono implicate nel 32% dei casi di tutte le violazioni di dati andate a buon fine. Lo rivelano gli esperti di Kaspersky, che hanno analizzato i dati raccolti da un simulatore di phishing e forniti volontariamente dagli utenti. Questo strumento – il simulatore – consente anche di verificare la maturità informatica dei dipendenti delle aziende, affinchè non si facciano ingannare – per poca esperienza o scarsa conoscenza del fenomeno – da mail ingannevoli. Secondo gli esperti, infatti, quasi un dipendente su cinque clicca sul link, dimostrando la necessità di formazione aggiuntiva sulla cybersecurity.

Le cinque email di pishing più diffuse

Il colosso specializzato nella sicurezza informatica ha anche individuato, attraverso campagne di simulazione, quali sono le tipologie di  email di phishing più efficaci. Nel dettaglio, hanno per oggetto: Tentativo di consegna fallito – Purtroppo il nostro corriere non è riuscito a consegnare il vostro articolo. Mittente: Servizio di consegna della posta. Conversione dei click: 18,5%.; Email non consegnate a causa del sovraccarico dei server di posta. Mittente: Il team di supporto di Google. Conversione dei click: 18%; Sondaggio online tra i dipendenti: Cosa miglioreresti del lavoro in azienda. Mittente: Dipartimento Risorse Umane. Conversione dei click: 18%; Promemoria: Nuovo dress code aziendale. Mittente: Risorse umane. Conversione dei click: 17,5%; Attenzione a tutti i dipendenti: nuovo piano di evacuazione dell’edificio. Mittente: Dipartimento Sicurezza. Conversione dei click: 16%.
Inoltre, tra le altre e-mail di phishing che hanno ottenuto un numero significativo di click ci sono: conferme di prenotazione da parte di un servizio di prenotazione (11%), notifiche di un ordine (11%) e un annuncio di un concorso (10%). Al contrario, le e-mail che minacciano il destinatario o che offrono vantaggi immediati sembrano avere meno “successo”. Ad esempio, un modello con l’oggetto “ho violato il tuo computer e conosco la tua cronologia di ricerca” ha ottenuto il 2% dei click, mentre offerte come quelle di un abbonamento Netflix gratis o di una vincita di 1.000 dollari hanno ingannato solo l’1% dei dipendenti.

“I metodi utilizzati dai criminali informatici sono in costante evoluzione”

“La simulazione di attacchi phishing è uno dei modi più semplici per verificare la cyber-resilience dei dipendenti e per valutare l’efficacia della loro formazione in materia di cybersecurity. Tuttavia, ci sono aspetti significativi che devono essere considerati quando si conduce questa valutazione per renderla davvero efficace. Poiché i metodi utilizzati dai criminali informatici sono in costante evoluzione, la simulazione deve riflettere le tendenze aggiornate dell’ingegneria sociale, oltre agli scenari comuni della criminalità informatica. È fondamentale che gli attacchi simulati vengano eseguiti regolarmente e integrati con una formazione adeguata, in modo che gli utenti sviluppino una forte capacità di vigilanza che consenta loro di evitare di cadere in attacchi mirati o nel cosiddetto spear phishing”, ha dichiarato Elena Molchanova, Head of Security Awareness Business Development di Kaspersky.