Migliaia di studenti universitari e dipendenti presi di mira dagli schemi di e-mail phishing quest'anno hanno abboccato. Fortunatamente, non sono stati ingannati da veri truffatori, ma dalle loro stesse scuole, in simulazioni volte a renderli più abili nell'individuare minacce reali.

Quando l'Ohio State University ha fatto il suo primo phishing incentrato sugli studenti a gennaio, una strategia utilizzata anche nel mondo aziendale, oltre il 18% dei destinatari ha cliccato. La campagna di sensibilizzazione sul phishing incentrata sui dipendenti dell'Università dell'Alabama di Birmingham ha raccolto oltre 7, 000 persone a marzo, o circa un quarto dei destinatari.

Ezequiel Herrera, studente del secondo anno dello stato dell'Ohio, che si vanta di rispondere rapidamente ai messaggi, è stato colto alla sprovvista due volte dalle false e-mail di phishing. La prima volta, Egli ha detto, era orgoglioso che la sua scuola stesse intraprendendo quel tipo di azione educativa. La seconda volta lo lasciò frustrato.

"Ero un po' come, 'Oh, Sono veramente, veramente male, '" Herrera, 19, detto con un sorriso. Da allora, Egli ha detto, è diventato più cauto mentre scorre le e-mail di mittenti sconosciuti.

I falsi messaggi di phishing imitano le e-mail sugli aiuti finanziari, vacanze, reimpostare le password o altri argomenti ma contengono segni di potenziali frodi, come saluti generici, richieste di interventi o informazioni urgenti, errori di spelling, e mittenti da nomi di dominio sconosciuti. I destinatari che fanno clic sui collegamenti nelle e-mail vengono reindirizzati a suggerimenti sulle buone abitudini di sicurezza informatica e su come individuare e segnalare tentativi reali di furto di password o altre informazioni sensibili.

"Una simulazione di phishing aiuta le persone a capire il ruolo che svolgono nella gestione della sicurezza, che non dipende dal supporto IT o dall'help desk o da chiunque possa camminare alla cieca, "ha detto Helen Patton, Responsabile della sicurezza delle informazioni dello stato dell'Ohio. "Molto di ciò che rende sicura un'organizzazione è ciò che accade tra un individuo e la sua tastiera o il suo telefono".

Patton ne parla come una vaccinazione digitale, aiutando a proteggere le persone e la più ampia comunità del campus da attacchi informatici che potrebbero costare molto di più delle simulazioni di phishing.

Proprio il mese scorso, I pubblici ministeri statunitensi hanno accusato un gruppo di iraniani di aver violato i sistemi informatici di circa 320 università negli Stati Uniti e all'estero per rubare miliardi di dollari di ricerca scientifica e ingegneristica che è stata poi utilizzata dal governo o venduta a scopo di lucro. I pubblici ministeri hanno affermato che le e-mail di spear-phishing sono state utilizzate per colpire oltre 100, 000 professori, ma non hanno identificato pubblicamente quegli individui o le loro scuole.

Lo stato dell'Ohio ha utilizzato simulazioni di phishing per i dipendenti dal 2016. I funzionari non riveleranno i risultati esatti per motivi di sicurezza, ma affermano che le risposte sono migliorate dai primi round quando, Per esempio, un messaggio su una stampante al secondo piano è stato cliccato da persone in strutture che non avevano nemmeno un secondo piano.

In fretta, cultura basata sulla tecnologia in cui così tante persone scambiano così tante informazioni a portata di mano su smartphone e altri dispositivi, Patton ha detto, la battaglia è far rallentare le persone.

Il pratico, la formazione esperienziale sul phishing falso si è dimostrata più efficace rispetto alle presentazioni, webinar o altri tipi comuni di formazione che possono diventare obsoleti, disse Giovanna Grama, che dirige il programma di sicurezza informatica presso l'associazione tecnologica per l'istruzione superiore EDUCAUSE.

Il rischio, Certo, è che la gente si sentirà ingannata, quindi è importante che la formazione sia educativa, non punitivo, ha detto Grama.

In Alabama-Birmingham, un membro della facoltà ha criticato la simulazione di phishing come una perdita di tempo, ma la maggior parte delle risposte è stata positiva, disse Curt Carver, il vicepresidente dell'università per la tecnologia dell'informazione, che ricorda di aver sentito parlare per la prima volta del concetto di auto-phishing più di dieci anni fa.

Alcune persone segnalano i messaggi come sospetti, e altri inviano risposte come "Ah, mi hai preso!" o "Non mi hai capito questa volta!" Alcuni, Egli ha detto, ha espresso interesse a renderlo più un gioco, volendo misurare quanto bene rilevano gli attacchi di phishing rispetto ad altri.

"Hanno capito ... possono essere un eroe, possono essere una persona che aiuta a proteggere tutti gli altri, " disse Carver.

© 2018 The Associated Press. Tutti i diritti riservati.