Nei primi di maggio 2015, Charles Harvey Eccleston, ex dipendente del Dipartimento dell’Energia degli Stati uniti e della Nuclear Regulatory Commission (Commissione per la regolamentazione del settore nucleare), è stato incriminato per aver pianificato l’invio di decine di email fraudolente ai dipendenti del Dipartimento al fine di poter entrare nel sistema e recuperare dati sensibili sulle armi nucleari americane. Il Phishing è un metodo utilizzato dagli hacker per infiltrarsi nei sistemi delle società. Ciò comporta l’invio di email in apparenza innocue, ma con un link che, una volta aperto, permette l’intrusione nel sistema. Per questo, gli hacker mirano individui specifici all’interno di un’organizzazione recuperando le loro informazioni personali sui social network come Facebook, Twitter e LinkedIn.
Il phishing è oggi una delle piaghe più virulente in termini di cyber sicurezza. Secondo uno studio condotto da Check Point, il 73% dei professionisti IT (Information Technology) sono già stati presi di mira dal phishing. Oggi vengono spesi circa 70 miliardi di dollari ogni anno per problemi legati alla sicurezza online, ma tutti gli sforzi sono dedicati agli antivirus tradizionali (firewall, Blacklist, spam), che non sono in grado di combattere contro il phishing.
Fondata nel 2013, la startup israeliana Ironscales, ha deciso di affrontare questo problema mettendo da parte virus tradizionali per offrire un approccio più innovativo: formare i dipendenti per essere in grado di individuare le email fraudolente.
Benishti Eyal, Amministratore Delegato di Ironscales è molto fiducioso nella capacità del cervello umano di individuare le frodi:
“Dove i sistemi tradizionali falliscono, i dipendenti possono avere successo perché il nostro cervello è il miglior sistema antivirus che esista all’interno di ogni società.”
Per formare i dipendenti, Ironscales invia email truccate ai dipendenti stessi. Ognuno le riceve in momenti diversi. Quando un dipendente cade nel tranello, facendo click sul link, iniziano dei tutorial ludici per spiegare in modo semplice e rapido come riconoscere una email fraudolenta.
“Oltre a questa formazione, vi è anche un pulsante rosso che consente al dipendente di segnalare tempestivamente email sospette. I dipendenti più vigili vengono chiamati “Iron Trap” (Trappola di ferro). Se una “trappola di ferro” fa click su questo pulsante nella parte superiore della mail del suo interlocutore, l’email viene automaticamente eliminata dal sistema aziendale. Se due dipendenti (senza la presenza della “trappola di ferro”) riferiscono la stessa mail, allora essa verrà eliminata dal sistema.”
Per quanto riguarda la frequenza dei corsi di formazione, Eyal ha riferito a Siliconwadi che:
“In generale le aziende decidono di avviare un programma di formazione una volta ogni due mesi, ma se lo desiderano possono anche farne di più.”
I dipendenti vengono avvertiti quando sta per iniziare un programma di allenamento.
Il fondatore di Ironscales fornisce dati impressionanti:
“Le società in cui i dipendenti completano il corso di formazione di Ironscales possono vantare un calo del 90% del tasso di apertura delle mail fraudolente. Il prezzo del corso è 15 dollari per partecipante e diminuisce in base al numero dei dipendenti coinvolti nel programma. I clienti sono aziende di diversi settori, come quello bancario, finanziario, assicurativo, dell’high-tech, dei giochi online e delle telecomunicazioni. Per ora l’azienda ha implementato il suo servizio in Israele ed in Gran Bretagna, ma il fondatore intende estendere le attività anche nel resto nel mondo, a partire dagli Stati uniti.”
Esperti israeliani, da sempre attivi nel campo della cyber-sicurezza, donano uno strumento in più alle aziende per proteggerle da attacchi informatici ed irrobustire la sicurezza online.