Phishing aziendale

avatar

C'è stato un curioso esperimento in casa Linkedin, il social Microsoft in salsa business. Nelle vicinanze delle festività natalizie la direzione ha mandato, ma poi vedremo questo punto, una mail in cui sostanzialmente diceva che siccome non veniva fatto il tradizionale brindisi, si dava un bonus di 650$ a tutti coloro che poi avrebbero compilato la form di richiesta entro una tale data.

Dopo qualche giorno il security team ha inviato 500 mail ad altrettanti dipendenti, comunicandogli che quello era un test e lo avevano fallito. Quindi erano invitati a ripetere i corsi aziendali sulla sicurezza.

Sono chiaramente seguite polemiche e proteste. Tuttavia le informazioni note più o meno finiscono qui. L'idea in un certo senso è interessante, cioè si è testata la capacità interna del personale di riconoscere una minaccia informatica. Non è una cosa secondaria, poiché quello è il primo e più importante livello di difesa. Diversamente invece molti credono che i sistemi di difesa secondari, antivirus, antispam eccetera siano quelli primari e che siano questi ultimi preposti a fare il lavoro sporco.

phishing3390518_1920.jpg
Image by Tumisu from Pixabay

Se arriva una mail di phishing e l'utente fa l'utonto, non c'è moltissimo da fare se non affidarsi tramite software a "pattern noti" cioè ad evidenze riconoscibili che sono appunto già note. Nel caso specifico però mi domando se il test fosse davvero phishing? Cioè non sappiamo molto, anzi direi nulla sul piano tecnico. La mail è arrivata dalla direzione? stavano utilizzando un indirizzo della direzione? e successivamente la form era in un sito della direzione, magari della intranet?

Se a tutte queste domande la risposta è si, diventa difficile dire che questo test fosse probante. L'unico elemento "strano" ma anche qui non sappiamo come si sono svolte altre iniziative nel passato di questa azienda, è che per avere un bonus si dovesse usare una form entro il giorno "x" quando il bonus dovrebbe essere dato a tutti in modo indistinto e proattivo. Diciamo che magari questi 500 dipendenti potevano alzare il telefono e chiedere spiegazioni all'ufficio personale. Sempre che appunto non l'abbiano fatto.

Questo per dire che probabilmente ci sarei cascato pure io, quanto meno per la parte tecnica. Molto meno sulle modalità dell'iniziativa, ma se poi scopri che prima d'ora sono avvenute cose simili non resta che chiamare via telefono l'ufficio del personale... che a quel punto che avrebbe risposto?! Sicuramente doveva essere a conoscenza dell'esperimento, ma se telefonicamente spifferano la presenza di un test, nel giro di qualche whatsapp lo vengono a sapere anche tutti gli altri... quindi potrebbero aver benissimo mentito. E ritorneremo al punto di partenza, sarebbe considerabile come phishing?!

https://tosolini.info



0
0
0.000
3 comments
avatar

@tosolini simpatica e singolare iniziativa, d'accordissimo con te quando dici che per il phishing è la componente umana il vero antiphishing.

Loro non avranno fatto il brindisi ma qui su Hive non corriamo rischi perchè possiamo brindare quando vogliamo e scegliere tra una !BEER e (da poco) un !WINE 😂😂

0
0
0.000
avatar

Sorry, out of BEER, please retry later...

0
0
0.000