Indagine Cefriel sulla sicurezza informatica

Pubblicato il 17 ottobre 2017

Dopo un attacco di phishing fino al 60% dei destinatari clicca su link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l’attendibilità del mittente, specie nei primi venti minuti dal ricevimento della mail stessa. È il risultato di un test di phishing (SDVA, Social driven vulnerability assestment) condotto su 40 mila dipendenti di più di 20 imprese in tutta Europa da Cefriel, società partecipata da università, imprese e pubbliche amministrazioni che realizza progetti di innovazione digitale e di sviluppo del capitale umano. “Ormai – ha dichiarato Alfonso Fuggetta, Ceo di Cefriel – ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker. Per prevenire questi attacchi bisogna farsi sempre una domanda in più e nell’incertezza non fare quel click che può risultare quasi istintivo”.

Dal test di Cefriel emerge che in media a un hacker bastano tre mail per ottenere un click sul link potenzialmente malevolo contenuto all’interno, e quattro per convincere almeno un utente a inserire le proprie credenziali sul sito ingannevole.

Altro fattore molto rilevante è il tempo: il 50% del totale delle vittime abbocca entro i primi 20 minuti, mentre i processi e i sistemi di sicurezza aziendale necessitano almeno di un paio d’ore, realisticamente, per attivare il contrasto.

Il test SDVA (Social Driven Vulnerability Assessment) consente di mettere alla prova gli utenti di un’azienda al fine di stimare la vulnerabilità legata al fattore umano tramite l’invio ai dipendenti di mail che invitano a visitare un sito e a inserire le proprie credenziali aziendali.

Le esche utilizzate all’interno della mail sono abbastanza generiche, vagamente contestualizzate alla realtà aziendale tramite loghi, colori o riferimenti a iniziative reali, sfruttando informazioni facilmente reperibili online. Le aziende coinvolte appartengono a settori diversi tra cui bancario assicurativo, energetico, amministrazioni pubbliche e aziende di prodotti e servizi.

Analizzando i dati per settore, paradossalmente quello bancario/assicurativo è risultato il più “vulnerabile”. Dagli attacchi condotti su più aziende del settore risulta che in media il 41% clicca sul link ingannevole, mentre in media il 27% inserisce le proprie credenziali. Numeri più bassi, ma comunque preoccupanti si rilevano nella pubblica amministrazione: il 33% clicca sul link, il 16% inserisce anche le credenziali.



Contenuti correlati

  • Le minacce nel cyberspazio: gli attacchi più diffusi e casi concreti

    Il 2016 è stato l’anno peggiore di sempre per la sicurezza informatica. A dirlo è il Rapporto Clusit 2017 dell’Associazione Italiana per la Sicurezza Informatica, redatto da oltre un centinaio di professionisti in collaborazione con un gran...

  • Non solo tecnologia: educare le persone alla cybersecurity

    Le aziende oggi investono in sistemi di cybersecurity, hanno dei programmi di education, degli standard e delle procedure che aiutano a mantenere le informazioni sicure. Spesso, però, si tende a dimenticare che la prima linea di difesa...

  • Bad Rabbit: nuova ondata ransomware in Europa

    Nelle scorse settimane un nuovo ransomware denominato Bad Rabbit ha colpito Russia, Ucraina, Turchia, Germania, Bulgaria, USA e Giappone. Russia e Ucraina hanno subito l’attacco maggiore, poiché l’infezione è partita da alcuni siti web di notizie russi...

  • A Milano il Petrolchimico 4.0 e la Cyber security

    Il 30 novembre a Milano è di scena mcT Tecnologie per il Petrolchimico, l’evento verticale di riferimento per i professionisti impegnati nel settore del petrolchimico e dell’industria di orocesso. Anche questa nona edizione sarà caratterizzata da un ricco...

  • Cybersecurity, una polizza contro i rischi informatici per le aziende

    La compagnia italiana Mansutti presenta “Cyber 4.0”, la protezione assicurativa più ampia oggi sul mercato, che tutela le imprese di ogni settore e dimensione sia dagli attacchi esterni sia dalle criticità e dagli errori interni all’organizzazione. Un...

  • Assicurazioni per il rischio informatico con Marsh e Kaspersky Lab

    Kaspersky Lab e Marsh hanno firmato un memorandum d’intesa per la copertura assicurativa delle aziende nel settore industriale. Il primo passo di questa partnership prevede una collaborazione per quel che riguarda gli auditing di sicurezza informatica, per...

  • ICS Forum: la cyber security nell’industria

    La sicurezza delle informazioni e delle operazioni nel mondo della produzione sarà il tema centrale di Industrial Cyber Security Forum (ICS Forum), un evento organizzato da Messe Frankfurt Italia e dedicato a diffondere nel mondo delle imprese...

  • Le minacce nel cyberspazio… – video

    Informazioni personali e Big Data sono il vero oro del nuovo millennio. Per questi motivi, gli attacchi si concentrano sempre più dove si concentra il denaro, con conseguenze a livello economico rilevanti. Ne parla l’avvocato Cristiano Cominotto.

  • Cyber-security, profili generali – video

    Cosa si può fare dal punto di vista legale nel caso in cui l’azienda venga ‘attaccata’ da un cyber-criminale? Come si attiva la Giustizia di fronte a un cyber-attacco? Quali sono le armi legali a disposizione della vittima?...

  • Le minacce nel cyberspazio: gli attacchi più diffusi e casi concreti

    Il 2016 è stato l’anno peggiore di sempre per la sicurezza informatica. A dirlo è il Rapporto Clusit 2017 dell’Associazione Italiana per la Sicurezza Informatica, redatto da oltre un centinaio di professionisti in collaborazione con un gran...

Scopri le novità scelte per te x