La formazione sulla consapevolezza della sicurezza basata sui ruoli adatta i materiali di formazione e i meccanismi di consegna al ruolo di un dipendente e riduce il rischio informatico associato a quel ruolo.
Il mondo è un luogo complesso e diversificato e le persone al suo interno sono un crogiolo di abilità, competenze e attitudini. All'interno di un'azienda, questa diversità è spesso messa a frutto creando ruoli specifici che fanno leva su queste diverse abilità e competenze.
Il fatto che le persone lavorino in ruoli specifici all'interno di un'organizzazione non sfugge ai criminali informatici. I truffatori spesso adattano i loro attacchi in base all'obiettivo. Ad esempio, gli attacchi BEC (Business Email Compromise) si concentrano in genere sui dipendenti che ricoprono ruoli di responsabilità e di contabilità. I truffatori adattano le campagne di phishing o altri attacchi di social engineering in modo da riflettere il titolo di lavoro di un individuo, facendo così leva su caratteristiche umane intrinseche come la fiducia, per garantire il successo.
Tuttavia, se i truffatori usano l'ingegneria sociale basata sui ruoli e il phishing per migliorare il successo dei loro attacchi informatici, allora due possono giocare a quel gioco.
Formazione sulla consapevolezza della sicurezza basata sui ruoli per fermare il phishing basato sui ruoli
Ai criminali informatici piace assicurarsi che ogni campagna che progettano sarà un successo: sanno che più un'email di phishing è fatta su misura, più è probabile che il bersaglio creda che l'email sia reale e quindi clicchi su un link dannoso o agisca sulla richiesta dell'email di cambiare banca e inviare denaro con urgenza, ecc.
Lo spear-phishing è spesso l'arma scelta quando un criminale informatico prende di mira un ruolo specifico in un'organizzazione. Questa forma di phishing presenta una messaggistica altamente personalizzata per manipolare determinati tipi di dipendenti. I ruoli tipici che sono soggetti ad attacchi di spear-phishing sono:
- Dirigenti di livello C e assistenti esecutivi
- Libro paga
- HR
- Finanze e conti passivi
- Utenti privilegiati
Dirigenti di livello C e assistenti esecutivi: Le frodi "Whaling" e BEC (Business Email Compromise) si concentrano sui dirigenti di livello C di un'organizzazione bersaglio. I truffatori possono prendere di mira anche gli assistenti esecutivi, utilizzando il social engineering e lo spear-phishing per ottenere l'accesso all'account di posta elettronica del CEO o ad altre informazioni personali. Per avviare la frode BEC vengono utilizzate e-mail CXO compromesse o contraffatte.
Dipartimento del libro paga: i truffatori prendono di mira gli impiegati del libro paga che gestiscono i pagamenti degli stipendi dei dipendenti, per reindirizzare il denaro sul conto bancario del truffatore. Per esempio, il truffatore può spoofare l'email di un dipendente che chiede di cambiare i dettagli del conto bancario del libro paga.
Risorse Umane (HR): l'HR risiede su informazioni altamente riservate e personali. Ciò rende questo ruolo a rischio di campagne di spear-phishing che cercano di ottenere l'accesso ai dati che possono poi essere sfruttati in ulteriori attacchi. Le Risorse Umane diventano quindi parte di un tentativo di frode più complesso e a più fasi, come le frodi BEC e del libro paga; un dipendente delle Risorse Umane può essere ingannato nel rivelare informazioni su un dirigente di livello C o un altro dipendente per ottenere le informazioni necessarie per portare a termine la frode.
Finanza e contabilità fornitori: il dipartimento che tiene i cordoni della borsa è un obiettivo ovvio per i criminali informatici. Le frodi BEC, per esempio, finiscono spesso alla porta della contabilità fornitori. Ma ci sono molti tipi di frode che si concentrano su questo ruolo. Le frodi contabili sono molto diffuse e un rapporto ha scoperto che il 50% delle piccole imprese nel Regno Unito sono state esposte a questo tipo di frode, sia da minacce interne che esterne.
Utenti privilegiati: i criminali informatici prendono di mira gli utenti privilegiati in quanto possiedono le "chiavi del castello aziendale". Agli utenti privilegiati vengono concessi i diritti di accesso alle aree sensibili di una rete e, in quanto tali, offrono una via d'accesso diretta alla rete a qualsiasi criminale informatico che riesca a ingannarli e a fargli consegnare le proprie credenziali o scaricare malware. Secondo un rapporto, il 63% delle organizzazioni ritiene che gli utenti privilegiati rappresentino il rischio più elevato di minaccia insider.
Phishing simulato all'interno di programmi di formazione sulla consapevolezza della sicurezza basati sui ruoli
Il phishing simulato è un ottimo modo per educare i dipendenti sul phishing e sulle minacce informatiche. Adattando i messaggi di phishing simulato ai ruoli all'interno della vostra forza lavoro, potete simulare le stesse tattiche usate dai criminali informatici quando prendono di mira un gruppo specifico all'interno di un'organizzazione. Questo rende la simulazione di phishing più reale e specifica per il ruolo di quell'individuo.
Per eseguire simulazioni di phishing basate sui ruoli, una piattaforma deve supportare modelli di phishing che possono essere personalizzati in base al ruolo. Per esempio, i titoli di phishing basati sui ruoli riflettono i tipi di ruoli che sono spesso presi di mira dallo spear-phishing.
Esempi di attacchi di phishing basati sui ruoli
Obiettivo utente privilegiato: Il gruppo di hacker Lazarus è famoso per l'attacco ransomware WannaCry nel 2017. Più recentemente, il gruppo ha utilizzato campagne di phishing mirate, basate su offerte di lavoro fasulle, che si concentrano su utenti privilegiati. Una delle più recenti è stata quella che ha preso di mira l'amministratore di sistema di una piattaforma di criptovaluta. L'amministratore di sistema ha ricevuto un documento di phishing sotto forma di un'offerta di lavoro tramite il suo account personale di LinkedIn.
Conti da pagare: Facebook e Google sono stati truffati per oltre 100 milioni di dollari da un truffatore che ha preso di mira i dipendenti dei due giganti tecnologici utilizzando e-mail di spear-phishing rivolte a determinati ruoli utente.
Frode sui mandati di stipendio: Le campagne di phishing che coinvolgono il furto delle buste paga dei dipendenti sono un terreno ideale per i truffatori motivati finanziariamente. Spesso, i truffatori inviano email al personale delle Risorse Umane o delle Paghe con una richiesta di cambio di conto corrente. L'email di phishing spesso si finge un vero dipendente e include la sua firma email e sembra provenire da un dominio aziendale interno. Se il cambiamento viene effettuato, lo stipendio del dipendente viene pagato sul conto bancario del truffatore.
Motivi per personalizzare la formazione sulla consapevolezza della sicurezza
Lo spear-phishing è uno dei preferiti dai truffatori di ruolo e ha molto successo a causa della natura mirata di questo tipo di phishing. Secondo un rapporto di Symantec, lo spear-phishing è usato come vettore principale nel 65% degli attacchi informatici. Prendendo di mira ruoli specifici dei dipendenti, i criminali informatici possono creare truffe complesse e a più fasi che funzionano.
I programmi di formazione basati sui ruoli e il phishing simulato associato al ruolo forniscono un programma su misura per la formazione che batte i criminali informatici al loro stesso gioco. Insegnare ai dipendenti l'esatta natura del phishing e delle truffe di ingegneria sociale che mirano specificamente al loro ruolo, dà ai dipendenti le conoscenze per esaminare attentamente le e-mail e altre comunicazioni.
I vantaggi della personalizzazione della formazione sulla sicurezza
La personalizzazione della formazione di sensibilizzazione alla sicurezza offre vantaggi significativi in quanto affronta i rischi e le sfide specifiche dei diversi ruoli all'interno di un'organizzazione. I programmi di formazione generici spesso non sono in grado di preparare adeguatamente i dipendenti alle minacce informatiche specifiche che è più probabile che incontrino nelle loro attività quotidiane. La formazione personalizzata assicura che i dipendenti ricevano una formazione pertinente e mirata che parla direttamente dei tipi di attacchi di phishing, delle tattiche di social engineering e di altri rischi informatici più pertinenti ai loro ruoli.
Adattando la formazione ai singoli reparti e alle funzioni lavorative, le organizzazioni possono creare una forza lavoro più coinvolta e informata, migliorando l'efficacia complessiva del programma di sicurezza. Il vantaggio principale della personalizzazione della formazione sulla sicurezza è che rafforza la capacità dei dipendenti di riconoscere le minacce specifiche del proprio ruolo, riducendo la possibilità di costose violazioni della sicurezza. Inoltre, garantisce la conformità alle normative specifiche del settore e promuove una cultura della sicurezza proattiva in tutta l'azienda.
MetaCompliance offre programmi di formazione personalizzati e basati sui ruoli, progettati per rispondere ai rischi di sicurezza specifici di ogni ruolo e di ogni reparto. Scoprite come la nostra formazione di sensibilizzazione alla sicurezza dipartimentale possa fornire le conoscenze specialistiche di cui i vostri diversi team hanno bisogno per rimanere al sicuro.
