Le banche, e più in generale gli operatori finanziari, si interrogano su come difendersi efficacemente dal phishing bancario, tenuto conto che il più recente Rapporto Clusit li elegge a bersagli preferenziali di questa attività.
La stessa fonte afferma che nel secondo semestre del 2020 sono state create 3,2 nuove pagine di phishing al giorno, approfittando anche del clima di incertezza legato al covid e della maggior permanenza in casa delle persone. Per quanto il phishing sia spesso rivolto ai clienti delle banche, anche il personale interno è un obiettivo dichiarato dei cyber criminali, che rafforzano il phishing con tecniche di social engineering e sfruttano con una certa disinvoltura il meccanismo della Business e-mail Compromise (noto anche come CEO Fraud).
La realtà è che l’approccio tecnico è fondamentale per la robustezza dell’ecosistema bancario, ma non è sufficiente. Le banche hanno dimostrato di essere all’avanguardia sul fronte delle misure tecniche di sicurezza, eppure per difendersi dal phishing bancario c’è anche bisogno di una strategia puntuale e dell’annesso percorso di security awareness. Il tutto, con l’obiettivo di rendere i dipendenti la prima linea di difesa della banca, non più il suo anello debole.
Come difendersi dal phishing bancario e sviluppare una cultura della sicurezza
Sviluppare un’efficace strategia di security awareness non può prescindere da un assessment approfondito, che coinvolge le persone, gli strumenti, i comportamenti e la cultura della sicurezza. Infatti, così com’è importante comprendere la preparazione e la sensibilità dei singoli dipendenti sul tema, è ancor più centrale adottare un approccio olistico, sistemico, che permetta di valutare il livello di consapevolezza e i comportamenti adottati dall’azienda sul fronte della sicurezza.
Le logiche conseguenze sono la definizione di un comportamento target e di tutti gli step necessari per integrarlo nella cultura aziendale. Sviluppare comportamenti virtuosi sotto il profilo della sicurezza e renderli “standard” nell’ecosistema bancario è infatti l’obiettivo della strategia e del percorso di awareness: difendersi dal phishing bancario dipende quindi dalla capacità della banca di trasformare la strategia in un percorso concreto, sfruttando tutti gli strumenti offerti dalla tecnologia.
Security Awareness: engagement e personalizzazione
Il percorso di security awareness deve essere coinvolgente, engaging. Non si può più ragionare (solo) in termini di “incontri di formazione”, siano essi in aula o online, perché il percorso deve essere personalizzato. D’altronde, dopo aver valutato a livello aziendale la cultura della sicurezza, bisogna poi considerare che ogni dipendente ha un suo livello di consapevolezza e competenza che non necessariamente dipende dalle sue mansioni lavorative. Largo quindi non solo a una formazione rapida, veloce, basata su pillole di rapida fruizione e assimilazione, ma anche ad assessment continui finalizzati a monitorare il progresso dei vari dipendenti rispetto a temi sensibili e critici come il phishing bancario. A tal proposito, è molto più significativo confrontare i risultati della stessa azienda in momenti diversi del percorso di awareness rispetto a paragonarli ad altre aziende, ovvero ai benchmark di mercato.
Infine, il phishing bancario può essere simulato. A causa delle sue peculiari dinamiche d’attacco, è sufficiente un’e-mail e/o un sito contraffatto, un SMS o un messaggio WhatsApp per avviare il processo finalizzato alla cattura delle credenziali d’accesso ai sistemi bancari. Per questo, difendersi dal phishing bancario significa anche sviluppare simulazioni attendibili e sottoporle ciclicamente agli utenti, al fine di valutare quel progresso di cui sopra e per sviluppare poco alla volta comportamenti solidi e virtuosi. Il tutto, abilitato da apposite piattaforme sempre connesse e accessibili, meglio se basate su dinamiche particolarmente engaging come la gamification e i percorsi personalizzati.
