
L'email di formazione anti-phishing che i tuoi dipendenti hanno appena ricevuto potrebbe, ironia della sorte, in realtà essere un'e-mail di phishing, secondo gli analisti delle minacce informatiche che hanno recentemente scoperto una campagna di ingegneria sociale online incentrata sulla consapevolezza della sicurezza.
Mercoledì, in un post sul blog , gli esperti di Cofense hanno riferito di aver scoperto una campagna di phishing che invia e-mail che pretendono di essere una notifica che esorta i dipendenti a completare la loro formazione con la società di sensibilizzazione sulla sicurezza informatica KnowBe4. Facendo clic sui collegamenti incorporati, tuttavia, i destinatari dell'email vengono indirizzati a una pagina di phishing progettata per rubare le loro credenziali di Microsoft Outlook e altre informazioni personali.
L'e-mail avverte i dipendenti che hanno solo un giorno per completare la formazione prima della scadenza del programma. L'urgenza è spesso uno strumento utilizzato dagli ingegneri sociali per indurre le vittime a prendere decisioni affrettate senza pensare alle conseguenze delle loro azioni. E il fatto che gli aggressori abbiano scelto un tema di sicurezza informatica è particolarmente ingannevole.
Le e-mail inoltre "scoraggiano i destinatari dal navigare direttamente nelle pagine di formazione aziendale legittime con la seguente dichiarazione", sottolineano i coautori del post del blog Max Gannon e Brad Haas, analisti di intelligence sulle minacce di Cofense, insistendo sul fatto che la formazione non è disponibile attraverso il portale dei dipendenti .
Cofense afferma che il kit di phishing è ospitato sui domini di almeno siti Web compromessi da metà aprile 2020. Si è inoltre scoperto che molti di questi siti hanno recentemente ospitato una shell Web chiamata "Chips L MINI SHELL" che offre agli aggressori la possibilità di caricare e modificare i file.
Quindi forse le aziende ora dovranno tenere una formazione aggiuntiva sulla consapevolezza della sicurezza per avvertire i dipendenti di cercare una formazione falsa sulla consapevolezza della sicurezza.
Le notifiche di formazione sulla sensibilizzazione alla sicurezza post- phishing sono apparse per la prima volta su SC Media .