Skip to content
CyberXplore - Xplore the Unseen

Simulazioni di phishing fatte bene: come misurare il rischio umano

cyberxploreDi cyberxplore12 min di lettura

Un’email trappola che umilia chi clicca non insegna nulla. Ecco come conduciamo una simulazione di phishing che misura il rischio umano e sposta i numeri che contano: tasso di segnalazione, tempo di reazione e cliccatori recidivi.

Simulazioni di phishing fatte bene: come misurare il rischio umano

Le 16:55 di un venerdì. Un’impiegata dell’ufficio contabilità di un’azienda che chiameremo acme-corp apre un’email dal “CFO”. Bonifica subito il fornitore, la fattura è già scaduta, sono bloccato in riunione quindi non chiamarmi. Il suo cursore era sul pulsante di approvazione.

Si è fermata. Non perché un filtro l’avesse segnalata, né perché sia più sveglia del resto dell’ufficio. Due settimane prima aveva cliccato su una simulazione di phishing che usava esattamente lo stesso schema: urgenza sommata all’autorità, un motivo che non puoi verificare a voce. La lezione è rimasta. Ha invece inoltrato il messaggio vero al pulsante di segnalazione.

Il gioco è tutto qui. Una simulazione di phishing non serve a cogliere le persone in fallo. Serve a misurare come si comporta il personale di fronte a un’esca credibile e poi a ridurre la distanza tra chi clicca e chi segnala. Gestiscila come una macchina per attribuire colpe e insegnerai al personale a nascondere i propri errori. Gestiscila bene e ne uscirai con un numero difendibile per il rischio umano e una linea di tendenza che puoi davvero far muovere.

Punti chiave

  • Una simulazione di phishing misura il rischio umano di fronte a un’esca realistica. È una diagnosi, non un tranello né uno strumento punitivo.
  • Il tasso di segnalazione conta più del tasso di clic. Un team che segnala in fretta contiene un attacco più rapidamente di uno che si limita a cliccare di meno.
  • Conducila in modo etico: approvazione scritta della dirigenza, HR e responsabile del SOC informati, nessuna password reale mai memorizzata e nessun nome di singoli.
  • Collega a ogni campagna una formazione breve e sul momento. Il secondo giusto per insegnare è subito dopo il clic, non in una presentazione trimestrale.
  • Monitora nel corso dei vari cicli il tasso di clic, il tasso di invio, il tasso di segnalazione, il tempo fino alla prima segnalazione e i cliccatori recidivi. Una singola campagna è un’istantanea; il valore sta nella tendenza.

Che cos’è davvero una simulazione di phishing

Una simulazione di phishing è un esercizio controllato in cui il tuo team di sicurezza, o una società come la nostra, invia al tuo stesso personale email di phishing innocue ma realistiche, registra chi interagisce e trasforma il risultato in formazione e correzioni di processo. Le email sembrano vere. Il payload non esiste. Il portatile di nessuno viene compromesso e non viene mai catturata una credenziale reale.

Si sovrappone con precisione al modo in cui gli attaccanti entrano. Il phishing rientra nella tecnica MITRE ATT&CK T1566, con sotto-tecniche per i link di spearphishing (T1566.002) e gli allegati (T1566.001). La raccolta di credenziali tramite una falsa pagina di accesso è la variante che modelliamo di più, perché è economica da eseguire e funziona. La compromissione della posta elettronica aziendale, lo scenario di frode tramite bonifico qui sopra, è il cugino costoso, e vale la pena simularla in particolare per i ruoli della finanza e degli assistenti di direzione.

Ecco la parte scomoda. I tuoi controlli tecnici possono essere eccellenti e una sola email convincente rivolta a una sola persona distratta li supera comunque senza problemi. Le persone non sono l’anello più debole perché sono sbadate. Sono il bersaglio perché sono raggiungibili e perché un buon pretesto dirotta istinti che in realtà vogliamo nei dipendenti: essere disponibili, essere rapidi, non far aspettare il capo.

Come condurre una simulazione di phishing in modo etico?

Ottieni un’autorizzazione scritta prima che una sola email lasci la posta in uscita. Nei nostri incarichi la campagna non parte finché non abbiamo l’approvazione della dirigenza, un elenco di bersagli concordato e una finestra di blackout che esclude gli incidenti in corso, i giorni di pubblicazione dei risultati e qualsiasi cosa somigli a una tragedia aziendale. L’ingegneria sociale è l’unico tipo di test in cui il soggetto è una persona, non un server. L’etica è portante.

Alcune linee che non oltrepassiamo:

  • Informa le persone giuste, non tutti. HR, l’ufficio legale e il responsabile del SOC hanno bisogno di un preavviso. La popolazione generale no, altrimenti stai misurando teatro invece che comportamento.
  • Non conservare mai una credenziale reale. Se la pagina di destinazione ha un campo password, il valore inserito finisce nel nulla. Registriamo che c’è stato un invio, mai cosa è stato digitato. Non esiste alcun motivo difendibile per trattenere una password reale.
  • Nessuna gogna pubblica. La rendicontazione resta aggregata. “Il tasso di segnalazione della finanza era del 40 per cento” va bene. Fare il nome di Dave della finanza in un canale aziendale è il modo per uccidere il programma in una sola campagna.
  • Calibra la crudeltà. Le finte lettere di bonus, i finti avvisi di licenziamento e i finti appelli alla beneficenza dopo un vero disastro producono tutti tassi di clic enormi e bruciano la fiducia altrettanto in fretta. Evitiamo i pretesti emotivamente abusivi. Puntiamo a un cambiamento di comportamento, non a un reclamo all’ufficio HR.

Come costruiamo e inviamo la campagna

Il flusso di lavoro rispecchia quello dell’attaccante, senza il danno. Prima viene la ricognizione. Che aspetto hanno davvero le tue email reali? Studiamo il tono delle comunicazioni interne, i SaaS che usi realmente (Microsoft 365, Okta, qualunque portale HR in cui vivi) e i domini da cui invii. Un’esca convincente si spaccia per qualcosa che il bersaglio vede ogni settimana, non per un generico “reparto IT” che nessuno riconosce.

Poi l’infrastruttura. GoPhish, open source, copre invio, tracciamento e cattura sulla pagina di destinazione per la maggior parte del lavoro di sensibilizzazione. Per un dominio sosia registriamo qualcosa di plausibile, ad esempio acme-corp-hr.com o un quasi omoglifo di quello vero, lo riscaldiamo e configuriamo SPF, DKIM e DMARC in modo che raggiunga la posta in arrivo anziché la cartella dello spam. Prima ancora di inviare qualsiasi cosa, una delle prime cose che eseguiamo è un controllo della postura del bersaglio stesso:

$ dig +short TXT _dmarc.acme-corp.com
"v=DMARC1; p=none; rua=mailto:[email protected]"

Una policy p=none significa che il dominio monitora ma non rifiuta la posta contraffatta, il che ti dice già parecchio prima ancora che la campagna inizi. Se il tuo stesso gateway mette in quarantena il test, hai imparato qualcosa di reale sul gateway e assolutamente nulla sulle persone, quindi mettere a punto la recapitabilità fa parte del lavoro.

Il flusso di tracciamento in sé è semplice. Ogni link porta un token per ciascun destinatario, così che ogni evento si ricolleghi a una sola persona senza tirare a indovinare:

GET /login?rid=7f3a9c2e HTTP/1.1
Host: acme-corp-hr.com
User-Agent: Mozilla/5.0 ...

-- click logged for rid=7f3a9c2e
-- page renders a fake Okta login
-- if the user submits:
POST /login  { username, password }
-- submit logged, credentials discarded, redirect to training

Chiunque invii qualcosa atterra su un breve debriefing nell’istante stesso in cui preme Invio. Ecco l’email che hai ricevuto. Ecco i tre indizi che avresti potuto cogliere. Ecco il pulsante di segnalazione. Quella pagina batte qualsiasi modulo di formazione annuale, per un solo motivo: la lezione arriva mentre l’errore è ancora caldo.

Per i clienti più maturi andiamo oltre l’email. Il vishing (un pretesto telefonico) e lo smishing (SMS) completano il quadro, e un’esca con codice QR verifica se il “quishing” aggira del tutto le tue difese email. Gli attaccanti non si limitano a un solo canale, quindi nemmeno un test maturo dovrebbe farlo.

Quali metriche di phishing contano davvero?

Il tasso di clic è il numero che ogni stakeholder chiede e quello di cui mi fido meno preso da solo. È banale da falsare. Invia un’esca pigra e ovvia e il tuo tasso di clic sembrerà brillante. I numeri che ti dicono davvero qualcosa:

  • Tasso di segnalazione. Quale quota di destinatari preme il pulsante di segnalazione? È di gran lunga il miglior predittore della rapidità con cui un attacco reale viene contenuto. Un team che clicca al 15 per cento ma segnala al 60 per cento è in condizioni molto migliori di uno che clicca all’8 per cento e non segnala nulla.
  • Tasso di invio. Tra chi ha cliccato, quanti hanno digitato le credenziali? Il clic è un inciampo. L’invio è la compromissione.
  • Tempo fino alla prima segnalazione. I minuti dall’invio alla prima segnalazione di un utente. Una segnalazione rapida permette al SOC di rimuovere l’email dannosa da ogni casella di posta prima che altri abbocchino.
  • Cliccatori recidivi. La piccola fetta che clicca campagna dopo campagna è il tuo rischio concentrato. Queste persone hanno bisogno di coaching mirato, non di un’altra email di massa.

Una campagna ti dà un’istantanea. Quattro distribuite nell’arco di un anno, segmentate per reparto, ti danno una tendenza, e la tendenza è il vero risultato. È ciò che un consiglio di amministrazione vuole davvero vedere e ciò che un revisore accetta come prova che un controllo di sensibilizzazione funziona anziché esistere solo sulla carta.

Come si riduce davvero il rischio?

Testare senza dare seguito significa solo infastidire le persone secondo un calendario. La riduzione viene da due fronti: una formazione rapida e mirata legata a ogni simulazione, e la correzione delle lacune di processo che l’esercizio porta alla luce.

Rendi la segnalazione l’opzione predefinita più semplice e premiala. Un pulsante di segnalazione con un clic in Outlook o Gmail, a cui si risponde con un semplice “grazie, ci stiamo occupando della cosa”, batte ogni volta una cultura punitiva. Sul piano tecnico, la stessa campagna fa quasi sempre emergere lacune che vale la pena correggere a prescindere da come si sono comportate le persone: DMARC ancora su p=none, nessun banner per mittenti esterni, una MFA che accetta codici SMS soggetti a phishing, nessuna regola di flusso della posta per rimuovere in un colpo solo una email di phishing segnalata da ogni casella. Spingi gli account di alto valore verso una MFA resistente al phishing come FIDO2 o le passkey, perché questo elimina del tutto il vantaggio della raccolta di credenziali. Nessuna password da rubare, nessuna falsa pagina di accesso che valga la pena costruire.

Sii onesto anche nel debriefing. Uscire da un cattivo risultato a colpi di frasi (“la partecipazione è stata bassa per via del periodo”) non aiuta nessuno. Se metà della finanza ha consegnato le credenziali a un’esca di frode tramite bonifico, quello è il risultato. Mettilo nero su bianco. È risolvibile, e fingere il contrario garantisce solo che scoprirai la stessa cosa da un vero attaccante il trimestre successivo.

Come CyberXplore può aiutare

Il nostro servizio di ingegneria sociale e simulazione di phishing gestisce l’intero programma dall’inizio alla fine: esche multicanale realistiche via email, voce, SMS e QR, una gestione sicura delle credenziali che non memorizza mai una password reale, metriche per reparto e formazione sul momento che scatta nel secondo in cui qualcuno clicca. Costruiamo pretesti attorno ai tuoi strumenti e al tuo tono reali, informiamo il tuo SOC in modo che l’esercizio funga anche da allenamento di rilevamento e risposta, e ti consegniamo una linea di tendenza che puoi portare al consiglio di amministrazione o a un revisore. Vuoi conoscere il tuo vero tasso di segnalazione prima che sia un attaccante a misurarlo per te? Richiedi un preventivo e dimensioneremo una campagna in base al tuo organico e al tuo profilo di rischio.

FAQ

Con quale frequenza dovremmo condurre una simulazione di phishing?

Il ritmo trimestrale è il punto ideale per la maggior parte delle organizzazioni. Il ritmo mensile tende a generare stanchezza e assuefazione, mentre le campagne annuali sono troppo rare per costruire un’abitudine o mostrare una tendenza. Varia il pretesto e la difficoltà a ogni ciclo, così che le persone non possano semplicemente riconoscere lo schema e pensare “dev’essere il test trimestrale”.

I dipendenti che falliscono dovrebbero essere puniti?

No. La punizione insegna alle persone a nascondere gli errori e a diffidare del team di sicurezza, che è l’opposto di ciò che vuoi. Concentrati sul coaching, sulla facilità di segnalazione e sul sostegno al piccolo gruppo di cliccatori recidivi. Riserva l’azione formale del reparto HR alle vere violazioni delle policy, mai al clic su un test ben congegnato.

Qual è un buon tasso di clic per una simulazione di phishing?

Non esiste un numero magico universale, e inseguirne uno basso è fuorviante. Un’esca ben congegnata e mirata batte sempre una pigra, quindi una difficoltà crescente con un tasso di clic stabile o in calo è la vera vittoria. Tieni d’occhio nel tempo il tasso di segnalazione e i cliccatori recidivi invece di ossessionarti su una singola percentuale di clic.

Una simulazione di phishing è legale e sicura per il nostro personale?

Sì, quando è autorizzata e gestita in modo etico. Stai testando i tuoi dipendenti sui tuoi sistemi con l’approvazione della dirigenza, quindi è legale. La sicurezza deriva dal non memorizzare mai credenziali reali, evitare pretesti abusivi, informare HR e il SOC e mantenere tutta la rendicontazione aggregata invece di fare i nomi dei singoli.

In cosa una simulazione di phishing è diversa da un ingaggio di red team?

Una simulazione di phishing è un esercizio mirato e misurabile, incentrato sul comportamento del personale e sulle metriche di sensibilizzazione presso molti destinatari. Un ingaggio di red team può usare il phishing come punto di ingresso, ma poi persegue un obiettivo più ampio, come raggiungere dati sensibili o l’amministratore di dominio, per mettere alla prova rilevamento e risposta nell’intero ambiente. Si completano a vicenda: la simulazione costruisce la base umana che un red team mette poi sotto stress.

Lavora con CyberXplore

Ingegneria Sociale e Phishing

Vedi questo rischio nei tuoi sistemi? I nostri tester senior trovano e dimostrano esattamente questi problemi e ti danno un percorso chiaro per risolverli.

Articoli correlati

Trasforma questi approfondimenti in un progetto

Ottieni un penetration test guidato da esperti senior e su misura per il tuo stack - risultati concreti, non una checklist.

  • Retest gratuito di ogni correzione
  • Scope e preventivo in 24 ore
  • Solo tester senior
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Richiedi un preventivo