Una simulazione di phishing è un esercizio di cybersecurity che mette alla prova la capacità di un'organizzazione di riconoscere e rispondere a un attacco di phishing.

Un attacco di phishing è un messaggio e-mail, SMS o vocale fraudolento progettato per indurre le persone a scaricare malware (come ransomware), rivelando informazioni sensibili (come nomi utente, password o dati della carta di credito) o inviando denaro alle persone sbagliate.

Durante una simulazione di phishing, i dipendenti ricevono e-mail di phishing simulate (o messaggi o telefonate) che imitano i tentativi di phishing del mondo reale. I messaggi impiegano le stesse tattiche di ingegneria sociale (ad esempio, impersonare qualcuno che il destinatario conosce o di cui si fida, creando un senso di urgenza) per guadagnare la fiducia del destinatario e manipolarlo affinché intraprenda un'azione sconsiderata. L'unica differenza è che i destinatari che abboccano (ad esempio, facendo clic su un link dannoso, scaricando un allegato dannoso, inserendo informazioni in una pagina di destinazione fraudolenta o elaborando una fattura falsa) semplicemente non superano il test, senza impatti negativi sull'organizzazione.

In alcuni casi, i dipendenti che fanno clic sul link dannoso sono portati in una pagina di destinazione indicante che sono caduti in preda a un attacco di phishing simulato, con informazioni su come individuare meglio le truffe di phishing e altri attacchi informatici in futuro. Dopo la simulazione, le organizzazioni ricevono anche metriche sui tassi di clic dei dipendenti e spesso seguono con una formazione aggiuntiva sulla sensibilizzazione al phishing.

Statistiche recenti mostrano che le minacce di phishing continuano ad aumentare. Dal 2019, il numero di attacchi di phishing è cresciuto del 150% all'anno, con l'Anti-Phishing Working Group (APWG) che ha riportato un massimo storico per il phishing nel 2022, registrando più di 4,7 milioni di siti di phishing. Secondo Proofpoint, l'84% delle organizzazioni nel 2022 ha riscontrato almeno un attacco di phishing di successo.

Poiché anche i migliori gateway di e-mail e strumenti di sicurezza non sono in grado di proteggere le organizzazioni da ogni campagna di phishing, le organizzazioni si rivolgono sempre più spesso alle simulazioni di phishing. Le simulazioni di phishing ben congegnate aiutano a mitigare l'impatto degli attacchi di phishing in due modi importanti. Le simulazioni forniscono ai team di sicurezza delle informazioni di cui hanno bisogno per educare i dipendenti a riconoscere ed evitare meglio gli attacchi di phishing nella vita reale. Aiutano anche i team addetti alla sicurezza a individuare le vulnerabilità, migliorare la risposta complessiva agli incidenti e ridurre il rischio di violazioni dei dati e perdite finanziarie derivanti da tentativi di phishing riusciti.

I test di phishing solitamente fanno parte di una più ampia formazione sulla sicurezza condotta dai reparti IT o dai team di sicurezza.

Il processo prevede generalmente cinque fasi:

1. Pianificazione: le organizzazioni iniziano definendo i propri obiettivi e stabilendo l'ambito, decidendo il tipo di e-mail di phishing da utilizzare e la frequenza delle simulazioni. Determinano anche il destinatario, inclusa la segmentazione di gruppi o reparti specifici e, spesso, dei dirigenti. 
2. Redazione: dopo aver elaborato un piano, i team di sicurezza creano e-mail di phishing finte e realistiche che assomigliano molto alle minacce di phishing reali, spesso modellate su modelli di phishing e kit di phishing disponibili sul dark web. Prestano molta attenzione a dettagli come gli oggetti, gli indirizzi dei mittenti e i contenuti per realizzare simulazioni di phishing realistiche. Includono anche tattiche di ingegneria sociale, che comprendono anche l'impersonificazione (o lo "spoofing") di un dirigente o di un collega come mittente, per aumentare la probabilità che i dipendenti facciano clic sulle e-mail.
3. Invio: una volta finalizzati i contenuti, i team IT o i fornitori esterni inviano le e-mail di phishing simulate al destinatario con mezzi sicuri, tenendo conto della privacy.
4. Monitoraggio: dopo aver inviato le finte e-mail dannose, i responsabili tracciano e registrano attentamente il modo in cui i dipendenti interagiscono con le e-mail simulate, monitorando se fanno clic sui link, scaricano allegati o forniscono informazioni sensibili.
5. Analisi: dopo il test di phishing, i responsabili IT analizzano i dati della simulazione per determinare tendenze come i tassi di clic e le vulnerabilità di sicurezza. Successivamente, seguono i dipendenti che non hanno superato la simulazione con un feedback immediato, spiegando come avrebbero potuto identificare correttamente il tentativo di phishing e come evitare attacchi reali in futuro.

Una volta completati questi passaggi, molte organizzazioni compilano un report completo che riassume i risultati della simulazione di phishing da condividere con gli stakeholder interessati. Alcune utilizzano gli insight anche per migliorare la formazione sulla sensibilizzazione alla sicurezza prima di ripetere il processo regolarmente per aumentare la consapevolezza della cybersecurity e stare al passo con l'evoluzione delle minacce informatiche.

Quando si esegue una campagna di simulazione di phishing, le organizzazioni dovrebbero tenere in considerazione quanto segue.

• Frequenza e varietà dei test: molti esperti suggeriscono di condurre simulazioni di phishing regolarmente durante tutto l'anno utilizzando diversi tipi di tecniche di phishing. Questa maggiore frequenza e varietà può contribuire a rafforzare la consapevolezza della cybersecurity, garantendo al contempo che tutti i dipendenti rimangano vigili contro le minacce di phishing in evoluzione.
• Contenuti e metodi: per quanto riguarda i contenuti, le organizzazioni dovrebbero sviluppare e-mail di phishing simulate che assomiglino a tentativi di phishing realistici. Un modo per farlo è utilizzare modelli di phishing modellati sui tipi più diffusi di attacchi di phishing per prendere di mira i dipendenti. Ad esempio, un modello potrebbe concentrarsi sulla compromissione dell'e-mail aziendale (BEC), chiamata anche frode del CEO, un tipo di spear phishing in cui i criminali informatici emulano le e-mail di uno dei dirigenti di livello C dell'organizzazione per indurre i dipendenti a rilasciare informazioni sensibili o trasferire ingenti somme di denaro a un presunto fornitore. Come i criminali informatici che lanciano truffe BEC nella vita reale, i team di sicurezza che progettano la simulazione devono ricercare attentamente il mittente e i destinatari per rendere l'e-mail credibile.
• Tempistica: il momento ideale per le organizzazioni per effettuare una simulazione di phishing rimane una fonte di dibattito continua. Alcune preferiscono implementare un test di phishing prima che i dipendenti completino qualsiasi formazione di sensibilizzazione sul phishing per stabilire un benchmark e misurare l'efficienza delle future soluzioni di simulazione di phishing. Altre preferiscono aspettare fino a dopo la formazione di sensibilizzazione sul phishing per testare l'efficacia del modulo e vedere se i dipendenti segnalano correttamente gli incidenti di phishing. La tempistica in cui un'organizzazione decide di eseguire una simulazione di phishing dipende dalle sue esigenze e priorità.
• Seguito formativo: indipendentemente dal momento in cui le organizzazioni decidono di eseguire un test di phishing, in genere questo processo fa parte di un programma di formazione sulla sensibilizzazione alla sicurezza più ampio e completo. La formazione di follow-up aiuta i dipendenti che non hanno superato il test a sentirsi supportati anziché semplicemente ingannati e fornisce conoscenze e incentivi per identificare e-mail sospette o attacchi reali in futuro.
• Monitoraggio dei progressi e delle tendenze: dopo le simulazioni, le organizzazioni dovrebbero misurare e analizzare i risultati di ogni test di simulazione di phishing. In questo modo è possibile identificare le aree di miglioramento, compresi i dipendenti specifici che potrebbero aver bisogno di ulteriore formazione. I team di sicurezza dovrebbero anche tenersi informati sulle ultime tendenze e tattiche di phishing in modo che la prossima volta che eseguiranno una simulazione di phishing, possano testare i dipendenti con le minacce più rilevanti della vita reale.

Le simulazioni di phishing e i corsi di sensibilizzazione alla sicurezza sono importanti misure preventive, ma i team di sicurezza hanno anche bisogno di funzionalità di rilevamento e risposta alle minacce all'avanguardia per mitigare l'impatto di campagne di phishing di successo.