Indagine Cefriel sulla sicurezza informatica
Dopo un attacco di phishing fino al 60% dei destinatari clicca su link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l’attendibilità del mittente, specie nei primi venti minuti dal ricevimento della mail stessa. È il risultato di un test di phishing (SDVA, Social driven vulnerability assestment) condotto su 40 mila dipendenti di più di 20 imprese in tutta Europa da Cefriel, società partecipata da università, imprese e pubbliche amministrazioni che realizza progetti di innovazione digitale e di sviluppo del capitale umano. “Ormai – ha dichiarato Alfonso Fuggetta, Ceo di Cefriel – ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker. Per prevenire questi attacchi bisogna farsi sempre una domanda in più e nell’incertezza non fare quel click che può risultare quasi istintivo”.
Dal test di Cefriel emerge che in media a un hacker bastano tre mail per ottenere un click sul link potenzialmente malevolo contenuto all’interno, e quattro per convincere almeno un utente a inserire le proprie credenziali sul sito ingannevole.
Altro fattore molto rilevante è il tempo: il 50% del totale delle vittime abbocca entro i primi 20 minuti, mentre i processi e i sistemi di sicurezza aziendale necessitano almeno di un paio d’ore, realisticamente, per attivare il contrasto.
Il test SDVA (Social Driven Vulnerability Assessment) consente di mettere alla prova gli utenti di un’azienda al fine di stimare la vulnerabilità legata al fattore umano tramite l’invio ai dipendenti di mail che invitano a visitare un sito e a inserire le proprie credenziali aziendali.
Le esche utilizzate all’interno della mail sono abbastanza generiche, vagamente contestualizzate alla realtà aziendale tramite loghi, colori o riferimenti a iniziative reali, sfruttando informazioni facilmente reperibili online. Le aziende coinvolte appartengono a settori diversi tra cui bancario assicurativo, energetico, amministrazioni pubbliche e aziende di prodotti e servizi.
Analizzando i dati per settore, paradossalmente quello bancario/assicurativo è risultato il più “vulnerabile”. Dagli attacchi condotti su più aziende del settore risulta che in media il 41% clicca sul link ingannevole, mentre in media il 27% inserisce le proprie credenziali. Numeri più bassi, ma comunque preoccupanti si rilevano nella pubblica amministrazione: il 33% clicca sul link, il 16% inserisce anche le credenziali.
Contenuti correlati
-
Il backup nel mirino dei cybercriminali: perché la capacità di recupero dei dati è diventata la nuova frontiera della sicurezza
Per molto tempo il backup è stato considerato il pilastro fondamentale di qualsiasi strategia di protezione dei dati. Disporre di una copia delle informazioni aziendali era ritenuto sinonimo di sicurezza e rappresentava una garanzia sufficiente per proteggersi...
-
Industrial Cyber Security: come agire sotto attacco
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. In caso di...
-
Industrial Cyber Security: le normative
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Ritenete che le...
-
Industrial Cyber Security: l’evoluzione attesa
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. In che direzione...
-
Industrial Cyber Security: il ‘piano B’ e il ‘fattore uomo’
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Una volta subito...
-
Sicurezza IT-OT: come ottenerla?
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. A fronte di...
-
Tavola rotonda: “Industrial Cyber Security” – Introduzione
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Conoscere...
-
Cyber Resilience Act
Il Cyber Resilience Act (CRA) sta ridefinendo la connettività industriale: vediamo cos’è e cosa significa realmente per le aziende che sviluppano internamente la connettività dei propri dispositivi Leggi l’articolo
-
OT cybersecurity: scadenze, obblighi e opportunità al centro di una giornata di Consorzio PI
Sala piena e persone in piedi: è stata un indubbio successo la giornata di studio dedicata al tema “OT Cyber Security: dalla teoria alla fabbrica”, organizzata da Consorzio PI Italia a Cavenago Brianza, alle porte di Milano. Un...
-
IndraMind Cybersecurity rafforza la protezione del gruppo Arvedi
IndraMind Cybersecurity, l’unità di cybersecurity di IndraMind (Indra Group), ha implementato per il Gruppo Arvedi, tra i principali produttori siderurgici italiani, un servizio di sicurezza gestita (Managed Global Security Service) attivo H24, 7 giorni su 7, che...















