Segnalazione degli attacchi di Phishing simulato (Cyber Defenders)

Modificato

Cyber Guru Phishing è in grado di registrare le segnalazioni effettuate dagli utenti che, correttamente, sono in grado di riconoscere gli attacchi di phishing e li segnalano al dipartimento preposto.

Il presente articolo descrive la procedura necessaria affinché queste segnalazioni siano riconosciute e registrate dal sistema Cyber Guru per valorizzare il dato degli “Attacchi Segnalati”.

Questa funzione consentirà l'analisi dei dati relativi agli "Attacchi segnalati", al fine di valorizzare un profilo denominato "Cyber Defenders" all'interno del percorso. I Cyber Defenders sono gli utenti che non solo riconoscono ed evitano di cliccare sulle simulazioni del programma, ma segnalano anche internamente le email sospette.

⚠️

ATTENZIONE Il sistema non registra la segnalazione ricevuta da un utente che abbia PRIMA cliccato sulla simulazione e, solo DOPO il click, abbia proceduto alla segnalazione della stessa.

La modalità con la quale l’utente segnala un’ipotetica email di simulazione di phishing può variare in base alle esigenze organizzative del cliente e alle possibilità operative offerte dall’infrastruttura di gestione della posta elettronica.

Una delle soluzioni più diffuse e accessibili per gli utenti è la configurazione di un pulsante “Segnala Phishing” visibile nel client di posta dell’organizzazione, sia esso di tipo applicazione (ad es. Microsoft Outlook), di tipo web (come OWA o Google Gmail) o per device mobili (ad es. Outlook for Android or iOS). Nel caso in cui l'uso del pulsante non sia possibile o desiderabile, sono disponibili alternative per effettuare la segnalazione, come descritto nei paragrafi successivi.

Indipendentemente dall'utilizzo del pulsante di segnalazione, l'invio dei messaggi di posta verso la Piattaforma CG può essere integrato con il flusso preesistente del cliente.

È fondamentale che il flusso di segnalazione sia filtrato in modo da inviare alla Piattaforma CG esclusivamente i messaggi di phishing simulati inviati direttamente all'utente da Cyber Guru, escludendo altri messaggi non rilevanti. I messaggi non provenienti da Cyber Guru possono essere bloccati o reindirizzati al SOC/CERT del cliente per un'analisi approfondita in termini di sicurezza informatica.

NB. La Piattaforma CG esclude automaticamente i messaggi inoltrati che non appartengono alle simulazioni di phishing inviate, indipendentemente dall'efficacia del filtro nel flusso di inoltro.

Condizioni per inoltrare la segnalazione a Cyber Guru

Affinché una segnalazione venga registrata nella Piattaforma CG, devono essere soddisfatte le seguenti condizioni

  • Deve essere inviata una email per ciascuna segnalazione da parte di ogni utente all’indirizzo defenders@cyberguru.report.

  • La email oggetto della segnalazione può essere inoltrata direttamente nel corpo del messaggio (messaggio in-body) o inviata come allegato.

  • La segnalazione, indipendentemente dalla modalità scelta (in-body o allegato), deve contenere almeno la parte "?rid=" seguita dall’identificativo RID, un codice alfanumerico unico per ogni campagna, utente e cliente.

Le modalità descritte possono essere eseguite automaticamente tramite sistemi configurati, come l'uso di un pulsante di segnalazione appositamente predisposto, oppure manualmente (ad esempio, l'utente inoltra il messaggio da segnalare all'indirizzo defenders@cyberguru.report o a un altro indirizzo dell’organizzazione che filtra e inoltra la segnalazione a Cyber Guru).

Di seguito sono elencati alcuni scenari a titolo esemplificativo in cui il sistema registra correttamente le segnalazioni ricevute:

  • L'utente inoltra direttamente la email di phishing a defenders@cyberguru.report in autonomia.

  • L'utente inoltra la email di phishing a un collega, responsabile IT o a un'altra persona che poi la inoltra a defenders@cyberguru.report.

  • L'utente inoltra la email di phishing a un sistema di ticketing e da lì viene inoltrata successivamente a defenders@cyberguru.report.

  • L'utente inoltra la email di phishing, da cui si estrae il link di phishing (che termina con "?rid=IDENTIFICATIVO"), e questo link viene inserito in un nuovo messaggio inviato a defenders@cyberguru.report.

Di seguito sono elencati alcuni esempi in cui il sistema non registra correttamente le segnalazioni ricevute:

  • Viene inviata una lista di indirizzi email

  • Viene inviata una lista di nomi utente

  • Viene inviata una lista di rid

  • Viene inviato un indirizzo email

  • Viene inviato un nome utente

  • Viene inviato un codice RID senza particella “?rid=“

Procedura per l’instradamento automatico delle email segnalate

Al fine di creare un filtro per instradare correttamente le segnalazioni di email che l’utente sospetta essere phishing simulato o reale, sono stati inseriti all’interno delle email inviate dalla piattaforma alcuni elementi statici per consentirne il riconoscimento automatico:

  • Tutte le URL contenute nelle email hanno la particella “?rid=” al proprio interno;

  • Salvo diversi accordi, gli IP statici di provenienza delle email di phishing simulato sono: 85.235.135.191; 95.110.231.245;

  • Ogni email contiene un Header personalizzato con nome "CGRE" e valore "en2358nfwf348fnw932jdo4fe4rrewffd";

  • Tutte le mail hanno un tag HTML incluso nel corpo della mail (subito dopo l'eventuale tag "</body>". Questo tag ha valore "<div class=”CGRE-en2358nfwf348fnw932jdo4fe4rrewffd”>";

  • Le email inoltrate attraverso il pulsante “Report Phishing” di Microsoft hanno nel loro body la stringa “client-ip=85.235.135.191; helo=phishing.cyberguru.report” o client-ip=95.110.231.245; helo=phishing.cyberguru.report