Una campagna di phishing simulato andata malissimo

Recentemente c’è stato un caso di una campagna di phishing simulato andata davvero male [1]. Il motivo alla base del fatto porta a considerazioni legate alla frenesia della sicurezza IT post-COVID ed considerazioni etico-legali nel rapporto tra lavoratori e datori di lavoro.

Come riportato [1]

The phishing exercise delivered a fresh, demoralizing blow to staffers who have faced layoffs, furloughs and pay cuts at Tribune Publishing.

La cosa interessante, oltre ai dettagli tecnici, sono le due dichiarazioni diametralmente opposte del CEO di Knowbe4 e di Forrester. Dichiarazioni che riassumono le sue direttive opposte e difficilmente conciliabili della dei test di phishing simulato (test basati sulla social Engineering) [2]: da una parte testare in condizioni operative il più possibile identiche alle reali campagne di phishing, dall’altra rispettare la privacy e la sensibilità delle persone coinvolte. Un dilemma che ho affrontato con il Cefriel nel progetto DOGANA [3] il cui scopo era anche capire come evitare queste situazioni e trovare il miglior compromesso.

Knowbe4 «Attackers don’t care whether they’re violating norms or grazing no-go areas to get people to click on something. As far as baiting people, the emails were a perfect lure directed at a vulnerable pool of potential victims – the right combination to bag a click.»

La dichiarazione di Knowbe4, dicevo prima, è lecita se uno pensa alla sicurezza solo in modo funzionale, senza contare le persone che la subiscono, mirando dritti alla messa in sicurezza dei sistemi. Senza contare cioè il cosiddetto fattore umano ed il rapporto etico tra lavoratori e datori di lavoro. Non a caso la reazione opposta è stata la seguente:

«Preying on this [COVID-19] fear is cruel, and just because cybercriminals are utilizing this tactic doesn’t justify security practitioners to also stoop to this level»

Già precedentemente quest’anno [4] Forrester aveva pubblicato uno studio sulla accettabilità etica delle campagne di phishing simulato a tema COVID-19. È indicativo come a noi sembri ovvio evitare questi temi, ma che in America ci sia la necessità di fare uno studio per dirlo.

Per dire, durante le campagne di phishing simulato compiute in Cefriel spendiamo parecchio tempo ad approfondire la cultura aziendale e capire quali temi tocchino corde troppo sensibili, cercando però al contempo di essere ugualmente efficaci [5]. Senza contare che in generale è sempre bene evitare campagne di phishing che vanifichino i progressi fatti con i programmi aziendali di awareness sulla sicurezza.

Questo richiede, rispetto a tool one-click-away come Knowbe4 un poco più di lavoro, che però, ritornando alla frenesia della sicurezza nell’era post-COVID, ripaga, come riportato dai nostri test [6], in termini di accuratezza.

Riferimenti

[1] J. Kirk, «How a Phishing Awareness Test Went Very Wrong.» Available at: https://www.bankinfosecurity.com/blogs/how-phishing-readiness-test-goes-very-wrong-p-2948

[2] E. Frumento, «Social engineering, lo strumento Cefriel che ci dice quanto è vulnerabile la PA.» Available at: https://www.forumpa.it/pa-digitale/social-engineering-lo-strumento-cefriel-che-ci-dice-quanto-e-vulnerabile-la-pa/

[3] Il sito web del progetto DOGANA, www.dogana-project.eu

[4] B. Kime, C. O’Malley, «The Ethics Of COVID-19 Phishing.» Available at: https://go.forrester.com/blogs/point-counterpoint-the-ethics-of-covid-19-phishing/

[5] E. Frumento, «How to assess Social Engineering 2.0 attacks using SDVAs. The experience of the EU DOGANA Project.»Available at: https://www.slideshare.net/CEFRIEL/how-to-assess-social-engineering-20-attacks-using-sdvas-the-experience-of-the-eu-dogana-project

[6] E. Frumento, «Social Engineering: an IT Security problem doomed to get worse. Available at: https://medium.com/our-insights/social-engineering-an-it-security-problem-doomed-to-get-worst-c9429ccf3330