Una società di consulenza di sicurezza informatica ha pianificato di rilasciare entro il prossimo mese un software, presentandolo come un aiuto ai datori di lavoro nel lanciare attacchi di ethical phishing contro i loro stessi dipendenti.
Non è uno scherzo. In pratica il software chiamato Phishme, e progettato da Intrepidus Group, servirebbe per testare mediante tecniche di phishing quanto il proprio personale o i propri clienti siano sensibili ad attacchi di questo genere.
La società afferma sul proprio sito Web che Phishme permetterebbe di effettuare test di sicurezza per catturare il contenuto di altri siti e inserirlo nelle e-mail phishing, aggiungendo gli indirizzi di posta elettronica, creando programmi di attacco per poi tracciare quali elementi del personale sono i più deboli.
I risultati del test possono essere ad esempio il numero di persone che hanno cliccato su una certa e-mail, la quantità di dati inseriti di conseguenza, e chi invece non ha risposto all’attacco.
Secondo il Sans Institute i governi, per evidenziare i punti deboli nella loro infrastruttura, farebbero già uso del targeting per il proprio personale utilizzando attacchi di tipo phishing.
Verso la fine dello scorso anno, il personale di Salesforce.com è stato vittima di phishing mirato, con una spiacevole conseguenza di diffusione di informazioni sui clienti.
Il consulente di sicurezza Dancho Danchev teme infatti che ci possano essere effetti collaterali involontari, ovvero che i phisher (veri) possano imparare dalla modalità “business-like” come usare il modulo Phishme, per scopi maliziosi. In realtà è probabile che i phisher dispongano già i questi strumenti e di conseguenza il rischio maggiore potrebbe essere rappresentato invece dai membri stessi del personale che, avendo accesso al software, ne utilizzerebbero le funzionalità per i propri scopi.
Vedremo come andrà a finire, di fato la speranza è che il software non esca mai dalle aziende e dagli scopi preposti, pena una possibile quanto rocambolesca minaccia informatica creata dagli stessi esperti di sicurezza.