Caro Diario,
dicono che sbagliando si impara. Ma, come diceva Einstein, “fare la stessa cosa più e più volte aspettandosi risultati diversi” è la definizione di follia. Bene, oggi ti racconto come mi sono sentito un po’ folle cercando di far funzionare le simulazioni di phishing nella mia azienda.
Devo confessarlo: ero convinto di sapere come gestire le simulazioni di phishing. Dopotutto, riconosco da tempo che l’ingegneria sociale è una minaccia concreta per la mia organizzazione, e ho deciso di affrontarla misurando il rischio in modo strutturato. In teoria, sembrava tutto semplice: inviare email simulate, raccogliere i dati, analizzare i comportamenti e intervenire. Ma come spesso accade nella cybersecurity, la realtà ha trovato il modo di mettermi in difficoltà.
Tentativo n. 1: Il phishing fantasma
Ho preparato la mia campagna, ho premuto “Invia” e… silenzio assoluto. I risultati erano inquietanti:
- Email inviate: 1000
- Email aperte: 0
- Clic sul link: 0
- Credenziali inserite: 0
Ho improvvisamente assunto un esercito di super esperti di cybersecurity o qualcosa non tornava.
Risultato? Un fallimento totale. La mia brillante simulazione era finita nello spam o, peggio, bloccata a monte dai filtri di sicurezza.
Morale della favola: senza configurare la whitelist, le email di simulazione non arriveranno mai a destinazione. E senza email, nessuna misurazione. Bella mossa, genio!
Tentativo n. 2: Il phishing che clicca da solo
Ok, questa volta ho fatto i compiti. Ho configurato la whitelist, ho rilanciato la campagna e ho atteso con trepidazione i risultati.
- Email inviate: 1000
- Email aperte: 700
- Clic sul link: 700
- Credenziali inserite: 10
Aspetta un attimo, Caro Diario… 700 clic su 700 aperture? Si darà il caso che adesso ho un esercito di cliccatori compulsivi?
Dopo un’indagine degna di un film di spionaggio, la verità è venuta a galla: i sistemi di sicurezza aziendali avevano cliccato sui link prima degli utenti!
Sì, proprio così: alcuni antivirus e filtri antiphishing testano i link delle email automaticamente per verificare se contengono minacce. Risultato? Interazioni fasulle che sporcano i dati. E il peggio è che io, fidandomi dei numeri, stavo per mandare a rapporto 700 persone innocenti. Roba da tribunale dell’Inquisizione!
Tentativo n. 3: Gli utenti innocenti… o forse no?
Dopo aver sistemato anche questo problema, finalmente avevo dati “puliti”.
- Email inviate: 1000
- Email aperte: 196
- Clic sul link: 73
- Credenziali inserite: 8
Ah-ha! Ora ci siamo, Caro Diario! Ho mandato un’email ai “colpevoli” per informarli dell’errore e… sorpresa: molti di questi negavano di aver cliccato!
- “Non ho mai ricevuto quell’email!”
- “Io? Ma figurati!”
- “Sicuro che non sia un errore?”
Dimmi tu se non sto impazzendo! Mi sentivo come il commissario Gordon con Batman: sapevo che c’era qualcosa di strano, ma nessuno voleva confessare.
Dopo una nuova indagine, la rivelazione: alcuni utenti avevano controllato la posta da dispositivi personali, con software di sicurezza che cliccavano e analizzavano i link all’insaputa degli utenti!
Era la fine? Ero destinato a non ottenere mai dati affidabili?
Tentativo n. 4: La soluzione SMART(fense)
Proprio quando stavo per arrendermi e scrivere la mia lettera di dimissioni con il sangue dell’ultima stampante inceppata, ho scoperto che c’era una soluzione.
Una delle piattaforme che uso per fare awareness ha sviluppato strumenti per rilevare e filtrare automaticamente le interazioni generate da software, distinguendole da quelle reali degli utenti. Si tratta di SMARTFENSE, e al momento è l’unica soluzione che fa questo lavoro usando un algoritmo proprietario e personalizzabili, tutti gli altri applicano solo whitelisting.
Ho lanciato una nuova campagna, questa volta con il filtro dei falsi positivi attivato della piattaforma e la reportistica dettagliata di questa nuova campagna è il seguente:
- Email inviate: 1000
- Email aperte: 124
- Clic sul link: 35
- Credenziali inserite: 9
Finalmente, Caro Diario, risultati realistici! Ora sapevo su chi concentrare i miei sforzi per migliorare la consapevolezza e ridurre il rischio.
Lezioni apprese:
- Configura la whitelist, sempre. Se l’email non arriva, la simulazione è inutile.
- Fai test preliminari. Evita brutte sorprese e risultati falsati.
- Rileva e filtra le interazioni software. Altrimenti, rischi di inseguire fantasmi.
- Non sottovalutare mai il fattore umano. Le persone negano, i log no.
E alla fine, come direbbe il buon Gandalf: “Anche la notte più buia finirà e il sole sorgerà”.
Ora ho dati affidabili, posso misurare il rischio e finalmente gestire il problema dell’ingegneria sociale. Ma, Caro Diario, lo so già… la prossima battaglia è dietro l’angolo!
Indice del Diario
0- Diario di un CISO che fa Awareness
1- Piattaforme di Awareness: Come fare la scelta intelligente
2- Le simulazioni di phishing non funzionano… o quasi
3- Integrazione con Microsoft e Google: un passo avanti per gestire I Distratti
4- Prossimamente…