Un'e-mail di phishing simulata che utilizzava la falsa promessa di bonus aziendali come esca per ingannare i dipendenti ha acceso un dibattito sull'etica dei test di consapevolezza della sicurezza che potenzialmente generano sfiducia e rancore.
Da un lato, le simulazioni dovrebbero imitare il più fedelmente possibile le campagne di phishing nella vita reale, sostengono gli esperti di consapevolezza della sicurezza. D'altra parte, un esercizio di formazione insensibile può mettere la tua azienda in cattiva reputazione con i dipendenti.
L'e-mail in questione, che è stata inviata la scorsa settimana ai dipendenti della Tribune Publishing con sede a Chicago, ha detto ai destinatari che avrebbero ricevuto $ 5.000 a $ 10.000 in pagamenti bonus, "come risultato diretto del successo creato dagli sforzi in corso per tagliare i nostri costi. "
L'e-mail incoraggiava le persone a fare clic su un collegamento per scoprire la loro ricompensa, ma così facendo ha rivelato un messaggio secondo cui l'e-mail era in realtà un test di simulazione di phishing da parte della società di formazione sulla consapevolezza della sicurezza KnowBe4.
Justin Fenton, un giornalista banditore del Baltimore Sun di proprietà del Tribune, ha spiegato in un tweet perché il falso phishing era problematico: "Dopo aver tagliato il nostro staff, chiuso redazioni, licenziato giornalisti e tagliato gli stipendi durante una pandemia, @tribpub ha pensato di testare la nostra suscettibilità al phishing consisteva nell'inviare un'e-mail contraffatta che annunciava grandi bonus ", ha scritto, aggiungendo:" Licenzia tutte le persone coinvolte ".
È una linea sottile
SC Media ha contattato diversi esperti di consapevolezza della sicurezza e di sicurezza della posta elettronica, che hanno avuto reazioni contrastanti sull'esercizio di phishing del Tribune.
Matthew Gardiner, stratega della sicurezza informatica presso Mimecast, sostiene che il test di phishing era entro i limiti: "I criminali informatici non hanno filtri morali o" simpatici "poiché stanno tentando di motivare i clic e il coinvolgimento. Quindi, è perfettamente ragionevole che una simulazione prenda lo stesso tatto ", ha detto in un'intervista a SC Media. "Poiché il denaro è la motivazione universale, è una tecnica di ingegneria sociale molto comune utilizzata dai criminali informatici e quindi dovrebbe essere utilizzata anche nelle simulazioni che hanno lo scopo di testare e aiutare il personale a essere più cauto".
Gardiner ha osservato che i criminali informatici spesso eseguono ricognizioni sui loro obiettivi e sanno come stimolare al meglio una reazione da parte dei loro dipendenti. Pertanto, "Disattivare unilateralmente il tuo programma di formazione sulla consapevolezza della sicurezza" non consentendo test mirati "è solo per dare un ulteriore vantaggio ai criminali informatici".
Questo è il motivo per cui aziende come Mimecast e KnowBe4 realizzano regolarmente simulazioni di phishing da campagne autentiche che hanno incontrato. “Più le simulazioni sono vicine alla realtà, meglio è. In questo modo, i professionisti della sicurezza non hanno nemmeno bisogno di indovinare l'approccio che i criminali informatici prenderebbero quando prendono di mira la loro organizzazione ", ha affermato Gardiner.
In un post sul blog dell'azienda che affronta il problema, il fondatore e CEO di KnowBe4 Stu Sjouwerman ha riconosciuto che alcuni utenti su Twitter hanno trovato il test "irrispettoso, uno schiaffo in faccia e sordo", aggiungendo che la reazione "è comprensibile".
Mentre il CEO ha affermato che i test di phishing dovrebbero essere "sensibili alla cultura e alle circostanze aziendali esistenti", ha anche affermato che è "una linea sottile da percorrere, perché i cattivi non si preoccupano affatto di quei valori e useranno sgradevole tattica di ingegneria sociale per convincere un dipendente a fare clic in modo che possa assumere il controllo della workstation e chiudere l'intera azienda con il ransomware ".
Sjouwerman ha affermato che KnowBe4 possiede 5.000 modelli di phishing che sono "noti per funzionare" e sono classificati in base alla difficoltà e suddivisi in categorie, tra cui "controversi".
Tuttavia, altri esperti ritengono che il danno del test Tribune abbia superato il valore.
"Ho già risposto al Tweet, esprimendo il mio disgusto", ha affermato Kevin O'Brien, fondatore e CEO di GreatHorn. “Non è solo eticamente discutibile, non aiuta a formare nessuno. Al contrario, spingerà il personale a diffidare della sicurezza ea provare vergogna e imbarazzo, invece di fornirgli le informazioni di cui ha bisogno per svolgere il proprio lavoro in modo più efficace ".
"La sicurezza può essere un partner commerciale, che consente ai dipendenti, attraverso processi e tecnologia, di aiutare a prendere decisioni migliori, oppure può essere un gruppo di avversari 'gotcha' da cui tutti si tirano indietro", ha continuato O'Brien. “Quello che stiamo vedendo in un esercizio come questo è l'applicazione errata della tecnologia di formazione. Predare gli utenti e poi ridacchiarli dalle viscere dell'IT aziendale non è il modo in cui operano le organizzazioni di sicurezza delle informazioni progressiste ".
Anche Lance Spitzner, direttore della ricerca e della comunità presso il SANS Institute, ha espresso preoccupazione.
"Vuoi replicare quello che stanno facendo i cattivi, ma devi stare attento e non andare troppo lontano", ha detto Spitzner. Altrimenti, “inizi a distruggere la fiducia della tua forza lavoro e inizi a creare una cultura della sicurezza tossica. Ed è proprio quello che è successo qui. "
Tuttavia, in un'altra organizzazione, questo tipo di test potrebbe essere stato completamente previsto e accettato.
Ad esempio, se la stessa identica e-mail di phishing fosse inviata ai dipendenti di Lockheed Martin o di qualsiasi organizzazione di difesa, Spitzner si aspetta che le persone non battano ciglio, perché sono stati oggetto di phishing per anni.
In tal caso, i dipendenti “sanno che l'azienda non sta cercando di" ingannarli ", sanno di essere presi di mira da cinesi e russi. Quindi, hanno una cultura in cui questo è accettabile. "
Ma sono stati anche addestrati adeguatamente. Se il Tribune non ha effettuato in precedenza simulazioni di phishing regolari, a partire da questo probabilmente "ha dato il via a tutti i tipi di trigger emotivi", ha detto Spitzner. “Purtroppo non è bianco o nero. Non è binario. Si tratta davvero di ciò che è accettabile nella cultura della tua organizzazione ".
COVID-19 complica il dibattito
Discussioni etiche simili sono spuntate sul fatto che le campagne di phishing simulato che sfruttano crisi come la pandemia COVID-19 siano mal concepite.
Certamente, le truffe di phishing del coronavirus sono diventate un luogo comune, mettendo in gioco le paure del pubblico per ingegnerizzare socialmente le vittime.
Per questo motivo, Gardiner ha affermato che anche le e-mail COVID sono un gioco leale, anche se se la simulazione di phishing è buona, non dovrebbe essere progettata per causare panico. Secondo Gardiner, "i criminali informatici non vogliono che i loro obiettivi si alzino le spalle, ma [piuttosto] si impegnano e poi dimenticano di averlo fatto. Per essere efficaci al massimo, le simulazioni devono imitare la realtà il più fedelmente possibile ”e non far scattare troppi campanelli d'allarme.
"Non vogliono essere notati, vogliono rubare credenziali di accesso, informazioni sensibili e malware delle piante", ha continuato Gardiner. “E più a lungo l'organizzazione non se ne accorge, meglio è per l'attaccante. La realtà di ciò tende a mitigare l'ingegneria sociale degli aggressori e quindi allo stesso modo dovrebbe guidare anche le simulazioni ".
Spitzner ha detto che è tutto nella formulazione.
“Se invii un'e-mail COVID-19 dicendo: 'Oh mio Dio, metà delle persone in azienda sono infette da Covid. Fare clic qui per scoprire chi è stato infettato, "probabilmente andrà male", ha detto Spitzner. Ma se crei un tema di tipo COVID più semplice, qualcosa come "Sei preoccupato per COVID? Bene, qui puoi acquistare maschere che costano il 10% in meno, "questo non spinge quasi gli stessi trigger emotivi, ma stai ancora usando lo stesso metodo".
Ma alcuni test di phishing attirano le aziende che dovrebbero evitare completamente, ha affermato Spiztner, tra cui il Viagra e le tangenti per corrispondenza. Simulazioni di phishing come queste potrebbero causare grande dolore e imbarazzo a un dipendente che viene sorpreso a fare clic.
Per aiutare le aziende a creare test di simulazione di phishing più efficaci, il SANS Institute ha pubblicato una guida strategica completa sull'argomento. Una delle lezioni chiave all'interno è essere consapevoli dei sentimenti dei dipendenti e non usare esche troppo emotive o sensazionali.
"A volte le persone responsabili dei programmi di phishing sono molto brave, ma persone di sicurezza altamente tecniche, e ci pensano solo dal punto di vista della minaccia", ha detto Spitzner. "Devi pensare anche al fattore umano."
Tribune Publishing ha rilasciato una dichiarazione in cui si scusa per l'incidente, dicendo: “La scorsa settimana l'azienda ha condotto un test interno regolare per valutare e ridurre il suo attuale livello di rischio di phishing e malware. Sulla base dell'input fornito dal team di sicurezza informatica dell'azienda e dai consulenti, il contenuto di quel test includeva il linguaggio relativo ai bonus dei dipendenti. Essendo stata vittima di attacchi di questa natura in passato, la società ha riconosciuto che i malintenzionati usano regolarmente questo tipo di linguaggio e ha deciso di utilizzare il linguaggio per simulare le comuni frodi di phishing ".
“L'azienda non aveva intenzione di offendere nessuno dei suoi dipendenti. In retrospettiva, l'argomento dell'email era fuorviante e insensibile, e l'azienda si scusa per il suo utilizzo ".
Il test di phishing post "Insensitive" ha suscitato il dibattito sull'etica della formazione sulla sicurezza apparso per la prima volta su SC Media .