Lo strumento del NIST può aiutare le organizzazioni a migliorare la capacità di individuazione delle email di phishing dei loro dipendenti.
I ricercatori del National Institute of Standards and Technology (NIST) degli Stati Uniti hanno ideato un nuovo metodo che potrebbe essere utilizzato per comprendere con precisione il motivo per cui i dipendenti cliccano su determinate e-mail di phishing. Lo strumento, denominato Phish Scale, utilizza dati reali per valutare la complessità e la qualità degli attacchi di phishing per aiutare le organizzazioni a comprendere dove si trovano le loro vulnerabilità (umane).
Un ripasso veloce: nella sua forma più semplice, il phishing è un messaggio di posta elettronica non richiesto o qualsiasi altra forma di comunicazione elettronica in cui i criminali informatici si spacciano per un'organizzazione affidabile e tentano di rubare i tuoi dati. Informazioni come le credenziali di accesso possono quindi essere utilizzate in modo improprio per ulteriori attacchi o vendute sul dark web e utilizzate per commettere frodi o furti di identità.
Pertanto, qualsiasi impresa o organizzazione che si prende cura della propria sicurezza informatica realizza regolarmente esercizi di formazione sul phishing per vedere se i propri dipendenti siano in grado di distinguere tra e-mail reali e di phishing. Questi corsi di formazione mirano ad aumentare l'attenzione ed insegnare ai dipendenti come individuare i segnali di phishing mascherati da e-mail legittime. Un'attenta analisi protegge le organizzazioni da danni monetari e reputazionali.
Questi esercizi sono generalmente supervisionati dai Chief Information Security Officer (CISO), che valutano il successo o il fallimento di questi esercizi in base alla frequenza con cui i dipendenti fanno clic su un'e-mail di phishing. Tuttavia, i risultati non portano alla risoluzione dell'intero problema.
Che cos'è la Phish Scale del NIST?
"La Phish Scale ha lo scopo di aiutare a comprendere più approfonditamente quanto una email di phishing sia più difficile o più facile da rilevare per un particolare pubblico di destinazione", ha detto la ricercatrice del NIST Michelle Steves nel comunicato stampa che annuncia il nuovo strumento.
Si considerano due elementi quando si valuta quanto sia difficile rilevare un potenziale messaggio di phishing. La prima variabile valutata dallo strumento è "segnali di posta elettronica di phishing": segni osservabili, come errori di ortografia, utilizzo di indirizzi email personali anziché email di lavoro o utilizzo di tecniche di time-pressing.
La seconda variabile è "l'allineamento del contesto dell'email all'utente". Il tool sfrutta un sistema di valutazione per valutare se il contesto è rilevante per il target: più è rilevante, più difficile diventa identificarlo come email di phishing. Sulla base di una combinazione di questi fattori, la Phish Scale classifica la difficoltà di individuare il phishing in tre categorie: minimo, moderato e molto difficile.
In generale, questo strumento fornisce informazioni preziose sugli attacchi di phishing, oltre ad aiutare le imprese a comprendere perché le persone cliccano su queste e-mail.
LETTURA CORRELATA: Questo test ti dirà quanto è probabile che tu cada in una frode
La Phish Scale mira a fornire ai CISO una migliore comprensione dei dati sulla percentuale di clic sulle email phshing, in modo che non si affidino esclusivamente all'output numerico. "Una bassa percentuale di clic per una particolare e-mail di phishing può avere diverse cause: le e-mail di formazione sul phishing sono troppo facili o non forniscono un contesto pertinente all'utente, oppure l'e-mail di phishing è simile a un esercizio precedente. Dati come questo possono creare un falso senso di sicurezza se le percentuali di clic vengono analizzate da sole senza comprendere la difficoltà dell'email di phishing ", ha affermato il NIST.
Sebbene tutti i dati forniti alla Phish Scale provengano dal NIST, l'istituto spera di testare lo strumento su altre organizzazioni e aziende per vedere se funziona adeguatamente. Per ulteriori informazioni sullo strumento e sulla ricerca alla base, è possibile approfondire l'articolo "Categorizing human phishing difficulty: a Phish Scale" , pubblicato dai ricercatori Michelle Steves, Kristen Greene e Mary Theofanos.