Indagine Cefriel sulla sicurezza informatica

Pubblicato il 17 ottobre 2017

Dopo un attacco di phishing fino al 60% dei destinatari clicca su link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l’attendibilità del mittente, specie nei primi venti minuti dal ricevimento della mail stessa. È il risultato di un test di phishing (SDVA, Social driven vulnerability assestment) condotto su 40 mila dipendenti di più di 20 imprese in tutta Europa da Cefriel, società partecipata da università, imprese e pubbliche amministrazioni che realizza progetti di innovazione digitale e di sviluppo del capitale umano. “Ormai – ha dichiarato Alfonso Fuggetta, Ceo di Cefriel – ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker. Per prevenire questi attacchi bisogna farsi sempre una domanda in più e nell’incertezza non fare quel click che può risultare quasi istintivo”.

Dal test di Cefriel emerge che in media a un hacker bastano tre mail per ottenere un click sul link potenzialmente malevolo contenuto all’interno, e quattro per convincere almeno un utente a inserire le proprie credenziali sul sito ingannevole.

Altro fattore molto rilevante è il tempo: il 50% del totale delle vittime abbocca entro i primi 20 minuti, mentre i processi e i sistemi di sicurezza aziendale necessitano almeno di un paio d’ore, realisticamente, per attivare il contrasto.

Il test SDVA (Social Driven Vulnerability Assessment) consente di mettere alla prova gli utenti di un’azienda al fine di stimare la vulnerabilità legata al fattore umano tramite l’invio ai dipendenti di mail che invitano a visitare un sito e a inserire le proprie credenziali aziendali.

Le esche utilizzate all’interno della mail sono abbastanza generiche, vagamente contestualizzate alla realtà aziendale tramite loghi, colori o riferimenti a iniziative reali, sfruttando informazioni facilmente reperibili online. Le aziende coinvolte appartengono a settori diversi tra cui bancario assicurativo, energetico, amministrazioni pubbliche e aziende di prodotti e servizi.

Analizzando i dati per settore, paradossalmente quello bancario/assicurativo è risultato il più “vulnerabile”. Dagli attacchi condotti su più aziende del settore risulta che in media il 41% clicca sul link ingannevole, mentre in media il 27% inserisce le proprie credenziali. Numeri più bassi, ma comunque preoccupanti si rilevano nella pubblica amministrazione: il 33% clicca sul link, il 16% inserisce anche le credenziali.



Contenuti correlati

  • Cyber-security nell’industria: serve un piano di ‘difesa in profondità’

    Senza cyber-security non esiste safety. La ‘defence in depth’ diventa un paradigma irrinunciabile anche nei sistemi di controllo industriale (ICS), che governano fabbriche e impianti. Gli aspetti cruciali approfonditi in una giornata di studio promossa da Anipla...

  • Conoscere la cyber security per l’industria

    Per diffondere la cultura della sicurezza nel mondo della produzione, Messe Frankfurt Italia ha organizzato a Milano un evento, denominato Industrial Cyber Security Forum (ICS Forum), dedicato a diffondere nel mondo delle imprese la cultura della protezione...

  • Ransomware: il backup dei dati non basta a proteggere le aziende

    Pur ritenendo di essere totalmente protetti e non vulnerabili, quando si parla di sicurezza informatica bisogna comprendere che in realtà si è attaccabili da più fronti. Per non perdere i dati in caso di attacco informatico, la...

  • Kaspersky Lab alla conferenza Itasec

    Kaspersky Lab ha partecipato in qualità di Gold Sponsor a Itasec, la conferenza annuale italiana sulla sicurezza informatica organizzata dal Laboratorio Nazionale di Cybersecurity del Cini. Nell’occasione, gli esperti di sicurezza della società hanno presentato un’analisi dell’attuale...

  • Mercato dell’information security in crescita

    Nel 2017 il cyber crime è aumentato in modo incessante e progressivo, con attacchi sempre più frequenti, aggressivi e sofisticati, ma sono cresciute anche l’attenzione delle imprese alla cyber security e le risorse stanziate per prevenire gli...

  • ICS Forum: di sicurezza non si parla mai abbastanza…

    “La cyber security è un fattore di sviluppo, un asset critico per fare bene business, un servizio fondamentale per chi vuole investire in Italia”: questa frase di Stefano Panzieri, docente dell’Università degli Studi Roma Tre, riassume perfettamente quanto emerso...

  • Darktrace: Prediction 2018

    L’intelligenza artificiale sta cambiando il nostro modo di pensare alla tecnologia, e le aziende stanno investendo significativamente in questo settore per aumentare, accrescere e proteggere il proprio business. IDC stima che il mercato AI crescerà da 8 miliardi...

  • Quick win per una protezione a portata di PMI

    Nello scorso capitolo della Guida alla CyberSecurity abbiamo fatto riferimento a due casi eclatanti e attuali di cyber-breaches per cercare di dare un’idea della portata dei danni che le intrusioni informatiche possono causare. Leggi l’articolo

  • Cyber-security: un mostro dalle mille teste

    Una chiacchierata per capire quanto sia oggi indispensabile occuparsi di cyber-security a livello produttivo e come ‘domarne’ le mille teste Leggi l’articolo

  • Automation Fair 2017: la Cyber Security

    In occasione di Automation Fair 2017 abbiamo intervistato Sherman Joshua, Connected Services Portfolio Manager di Rockwell Automation, sul tema della cyber security.  Parlando infatti di Connected Enterprise, Connected Production, Connected Services, non poteva mancare un focus particolare...

Scopri le novità scelte per te x