19 dicembre 2024 • Phishing
Si stima che ogni giorno i criminali informatici inviino 3,4 miliardi di e-mail all'indirizzo phishing .
Ecco perché le organizzazioni investono in tecnologia e politiche per mantenere i propri dati al sicuro da questi attacchi. Tuttavia, ciò che spesso viene dimenticato è il fattore umano.
Per ridurre il rischio di cadere vittima di un attacco di phishing, è fondamentale istruire i propri dipendenti affinché sappiano riconoscere il phishing e segnalarlo ai referenti competenti all'interno dell'organizzazione. Un ottimo metodo per sviluppare la resilienza al phishing è quello di ricorrere a una simulazione di phishing.
Ma con un'ampia varietà di soluzioni software disponibili, come si fa a sapere quale simulatore phishing è quello giusto per la propria azienda? In questo articolo vi illustreremo le migliori opzioni che abbiamo trovato.
I 17 migliori strumenti software di simulazione phishing :
- Guardey
- Minaccia Phish di Sophos
- Gophish
- Formazione sulla simulazione di attacco da parte di Microsoft
- Hoxhunt
- Cofense PhishMe
- Infoseq IQ
- Safetitan
- Cyber Guru
- Phishingbox
- uPhish (di Usecure)
- Wizer
- Barracuda
- Lupo artico
- Pescato
- Proofpoint
- Sicurezza Fortra Terranova
1. Guardingo

Guardey offre una combinazione di security awareness e phishing .
È possibile impostare facilmente una simulazione diphishing in pochi minuti:
- Scegliere un modello di phishing dalla biblioteca
- Decidere a quali dipendenti inviare il documento e quando.
- Inserite nella whitelist il vostro dominio
- Iniziare a inviare
In una dashboard in tempo reale, è possibile tenere sotto controllo statistiche importanti come il numero di e-mail inviate e il numero di volte in cui un'e-mail è stata aperta, un link è stato cliccato e i dati sono stati inviati.
Ciò che distingue Guardey dalle alternative è che offre anche security awareness gamificata security awareness . I dipendenti affrontano sfide settimanali, durante le quali imparano a conoscere tutti i tipi di phishing e un'ampia varietà di altri rischi per la sicurezza. In una classifica, possono competere tra loro, il che ha dimostrato di aumentare il coinvolgimento. Gli utenti possono guadagnare punti ottenendo buoni risultati durante la formazione e segnalando phishing simulazioni).
Guardey ritiene che il modo migliore per creare consapevolezza sul phishing sia quello di fare formazione settimanale e di eseguire regolarmente una simulazione phishing per verificare l'efficacia della formazione.
Pro
- Piattaforma facile da usare (per impostare una campagna bastano pochi minuti)
- Gamification per motivare gli utenti
- Prova gratuita disponibile
- Prezzi trasparenti
Contro
- La piattaforma di formazione non utilizza contenuti video, il che può essere un ostacolo per alcune organizzazioni.
Recensione
"I risultati di phishing hanno chiarito che c'è del lavoro da fare per migliorare la consapevolezza di phishing . Se riusciamo a far sì che i nostri dipendenti riconoscano e segnalino un maggior numero di phishing incidenti, possiamo intervenire e mantenere i danni al minimo. D'ora in poi, vogliamo eseguire una simulazione phishing due volte l'anno con Guardey, per vedere se la situazione migliora". - Fonte
💡 Pianificate una demo con uno specialista Guardey per saperne di più
2. Minaccia Phish di Sophos
Sophos offre una combinazione di simulazioni phishing e formazione security awareness in un'unica piattaforma. La piattaforma offre una prova gratuita, quindi ci siamo iscritti e abbiamo dato un'occhiata.
È possibile impostare una campagna utilizzando uno dei 500 modelli di phishing presenti nella libreria di Sophos. È disponibile un'ampia gamma di argomenti, come ad esempio un'e-mail che contiene un servizio di coinvolgimento dei dipendenti e un'e-mail sulle nuove regole di parcheggio. Ci piace la specificità. È inoltre possibile personalizzare questi modelli per adattarli alle proprie esigenze.
Oltre alle simulazioni di phishing , la piattaforma consente di formare i dipendenti sul riconoscimento di phishing. È disponibile in 10 lingue ed è corredata da alcuni video animati, come si può vedere nel video qui sopra.
Pro
- Viene fornito con una prova gratuita che consente di provare prima di acquistare
- Combinazione di simulazioni e formazione
- Ampia gamma di modelli
- Offre un pulsante di segnalazione in Outlook
Contro
- La formazione è un po' monodimensionale (si concentra solo su phishing).
- Il contenuto del video sembra prolisso e superato
Recensione
"La facilità di impostazione delle campagne di sensibilizzazione di phishing , il pulsante "Segnala messaggio" di Outlook integrato e i report sono i punti di forza del prodotto. A quanto pare, a causa di alcune contestazioni legali da parte di Microsoft, Sophos ha rimosso tutte le campagne progettate per assomigliare a phishing di Microsoft e agli attacchi di raccolta delle credenziali. Questo è un peccato, perché molti attacchi reali imitano l'esperienza di autenticazione degli utenti Microsoft e sono molto efficaci per ingannare il personale e indurlo a fornire i propri nomi utente e password". - G2
3. Gophish
GoPhish è un framework open-source per phishing che consente di copiare le e-mail esistenti per utilizzarle nelle campagne phishing . I link vengono sostituiti automaticamente e i valori di input vengono registrati, in modo da poter vedere esattamente chi ha cliccato e compilato dati preziosi.
La configurazione di GoPhish richiede una certa abilità tecnica. È possibile utilizzare la guida all'installazione su Github o utilizzare un'altra piattaforma per farla funzionare. Ma una volta che funziona, è uno strumento potente per impostare le proprie campagne personalizzate su phishing .
Pro
- Utilizzo gratuito
- Fonte aperta
- Utilizzate facilmente le e-mail esistenti
Contro
- Richiede conoscenze tecniche
- Non viene fornito con un modulo di formazione
Recensione
"Abbiamo creato il nostro server GoPhish utilizzando un'istanza AWS, e ci è voluto un bel po' di lavoro per farlo funzionare. Una delle parti più difficili è stata quella di far sì che Gmail non segnalasse automaticamente le e-mail di test come phishing/scam, vanificando l'intero compito di testare i nostri utenti". - Reddit
4. Formazione sulla simulazione di attacchi da parte di Microsoft
Outlook di Microsoft è il client di posta elettronica più utilizzato in assoluto, quindi è giusto che abbia creato il proprio simulatore phishing . Si chiama Attack Simulation Training e fa parte del prodotto Microsoft Defender.
La formazione sulla simulazione di attacco consente di scegliere tra diverse tecniche di social engineering:
- Raccolta di credenziali
- Allegato malware
- Link in allegato
- Collegamento al malware
- URL drive-by
Nella dashboard di reporting del prodotto, è possibile vedere quanti utenti hanno sperimentato una simulazione, quanti hanno completato la formazione dopo aver fallito un test phishing e persino quanti "recidivi" sono attivi nella vostra organizzazione.
Pro
- Parte dell'ecosistema Microsoft 365
- Buon rapporto
- Molteplici tecniche di ingegneria sociale tra cui scegliere
Contro
- Gli utenti segnalano che il prodotto di formazione non è all'altezza
- Gli utenti affermano che il prodotto è costoso rispetto ad altre alternative
Recensione
"I moduli di formazione sembrano solidi, sicuramente non tanti quanti KnowBe4 o altri, ma quelli che hanno sembrano adeguati. Più costoso della concorrenza, almeno se si valuta strettamente per i test phish e la formazione infosec." - Reddit
5. Hoxhunt
Hoxhunt offre quella che definisce una piattaforma di gestione del rischio umano. Non offre una prova gratuita, quindi è necessario contattare il reparto vendite per capire meglio come funziona.
Ma ecco come funziona in breve:
- Si impostano le simulazioni di phishing
- In base al modo in cui i dipendenti interagiscono con le simulazioni, viene loro assegnato del materiale formativo.
- Gli utenti possono ottenere punti per i risultati ottenuti durante la formazione e per il riconoscimento e la segnalazione dei risultati ottenuti. phishing
Hoxhunt offre un'ottima e completa soluzione per phishing, ma molti la considerano costosa e adatta soprattutto alle organizzazioni aziendali.
Pro
- Gamification
- Dashboard di facile utilizzo per gli amministratori
Contro
- Nessuna prova gratuita
- Principalmente incentrato sulle organizzazioni aziendali
- Alcuni modelli di phishing sono facilmente riconoscibili come falsi.
Recensione
"L'idea di e-mail che sembrano reali è fantastica. Penso che aiuti le persone a rendersi conto di quanto sia semplice attirare qualcuno a cliccare su un link o ad aprire un allegato. È facile navigare nella dashboard, il punteggio tra gli altri all'interno dell'azienda è interessante. L'interattività della dashboard è ottima e invita a completare i lavori. Le e-mail, invece, sono molto semplici e si capisce subito che appartengono a un Hoxhunt. Quando ci si iscrive alla modalità piccante, anche le e-mail non sono molto sofisticate". - G2
6. Cofense PhishMe
Il prodotto phishing di Cofense si chiama PhishMe. Una citazione dal loro video: il programma di simulazione di phishing che trasforma i cacciati in cacciatori. E con questo intendono dire che i vostri dipendenti andranno a caccia delle e-mail di phishing . Apprezziamo l'arguzia.
La piattaforma offre una combinazione di tre pilastri:
- Security awareness formazione: una combinazione di simulazioni e formazione correttiva
- Segnalazione di e-mail dannose: possibilità di segnalare un'e-mail dall'interno del client di posta elettronica.
- Convalida del rischio: la possibilità di ottenere informazioni sul profilo di rischio di ogni singolo dipendente.
Pro
- Prodotto completo con simulazioni e formazione
- Rapporti approfonditi sulle prestazioni individuali
- Un arguto scrittore di sceneggiature video 😉
Contro
- Richiede una manutenzione continua
- Gli utenti si stancano dopo le simulazioni ripetitive
- La gestione delle iniziative di formazione è spesso definita dagli utenti dispendiosa in termini di tempo e risorse.
Recensione
"La caratteristica più vantaggiosa di Cofense PhishMe è la sua capacità di migliorare la sicurezza informatica in modo proattivo. Questo obiettivo viene raggiunto attraverso simulazioni realistiche e personalizzabili di phishing che consentono agli utenti di identificare e contrastare efficacemente le minacce di phishing . Gli svantaggi di Cofense PhishMe possono comprendere la necessità di una manutenzione continua, la potenziale stanchezza dell'utente dovuta a simulazioni phishing ripetitive e il compito di gestire le iniziative di formazione, che richiede molte risorse". - G2
7. Infoseq IQ
Infoseq IQ offre una formazione di sensibilizzazione personalizzata basata sul profilo di rischio unico di ciascun dipendente. Lo fa in modo simile a quello di Hoxhunt:
- Inviare le simulazioni di phishing
- Analizzare automaticamente le reazioni dell'utente
- Assegnare la formazione in base alle prestazioni
Molti recensori sono entusiasti della piattaforma, ma affermano che le funzionalità di reporting potrebbero essere migliorate.
Pro
- Campagne facili da impostare
- Formazione basata sul profilo di rischio individuale
Contro
- La funzionalità di reporting potrebbe essere migliorata
- Nessuna prova gratuita
Recensione
"L'interfaccia dello strumento è in continua evoluzione per migliorare le prestazioni dei clienti. Lavoro con lo strumento da un anno e vedo molti miglioramenti nell'interfaccia utente. La reportistica e le metriche possono essere migliorate. A volte è difficile capire le metriche manualmente. Inoltre, dovrebbe esserci un modo per rimuovere automaticamente gli account obsoleti". - G2
8. Safetitan
Creare una campagna phishing in Safetitan è semplice. È possibile impostare campagne continue per simulazioni che non finiscono mai. Proprio come altre soluzioni, le sessioni di formazione vengono attivate in base all'interazione degli utenti con le e-mail phishing inviate.
Pro
- Configurazione semplice
- Utilizzate i modelli di email phishing e i contenuti formativi.
- Ogni mese viene inviato un rapporto automatico
Contro
- Nessuna prova gratuita
- Il pannello di amministrazione potrebbe essere migliorato
Recensione
"L'approccio automatizzato di SafeTitan alla formazione del modello dei dipendenti in base a comportamenti specifici è una caratteristica efficace. Ciò significa che non devo impostare da solo la formazione generale security awareness per tutto il team." - G2
9. Cyber Guru
Cyber Guru è una piattaforma con sede in Italia che offre sia un programma di formazione che simulazioni sul sito phishing . Ecco come l'hanno organizzata:
- Formazione di sensibilizzazione: un programma basato sull'e-learning
- Formazione sui canali: una serie di video
- Phishing formazione: formazione adattativa antiphishing (comprese le simulazioni)
Se un utente "fallisce" una simulazione, deve svolgere una sessione di microformazione. Questa sessione è specificamente adattata all'e-mail phishing su cui hanno appena fatto clic. Molti esperti lo sconsigliano, perché questa forma di formazione può essere facilmente percepita come una punizione.
Pro
- Piattaforma completa con formazione e simulazioni
- Include contenuti video (anche se questi video sono un po' troppo lunghi, alcune organizzazioni li preferiscono).
Contro
- Non è disponibile una prova gratuita
- Le sessioni di addestramento dopo aver fallito una simulazione su phishing possono sembrare una punizione.
- La piattaforma non utilizza la gamification per motivare gli utenti
Recensione
"Abbiamo provato solo la funzione phishing ; esperienza di formazione sul posto di lavoro senza che gli utenti debbano seguire corsi, semplice da implementare e facile da capire. I risultati sono visibili nel tempo, ma c'è bisogno di incentivi da parte dell'azienda". - Gartner
10. Phishingbox
Phishingbox può anche non avere una prova gratuita, ma non ha comunque paura di mostrare la sua piattaforma. Nel video qui sopra, potete farvi un'idea chiara di ciò che potete fare con la loro piattaforma.
Per impostare una simulazione in Phishingbox, è possibile scegliere tra un'ampia gamma di modelli phishing presenti nella loro libreria. Le e-mail contengono alcune variabili, in modo da essere personalizzate per ogni singolo utente.
Phishingbox offre un ampio margine di personalizzazione. Ad esempio, è possibile decidere quali azioni della pagina di destinazione vengono tracciate (compilazione dei dati, clic su un pulsante di accesso e così via).
Quando l'utente "fallisce" una simulazione di phishing , viene inviato a una sessione di formazione. Anche in questo caso, si tratta di una pratica spesso sconsigliata dai pedagogisti, perché può essere percepita come una punizione.
Pro
- Ampia libreria di modelli
- Molto spazio per la personalizzazione delle campagne
Contro
- L'interfaccia utente sembra un po' obsoleta
- Le sessioni di allenamento dopo aver "fallito" una simulazione possono sembrare una punizione
Recensione
"L'esperienza del prodotto è semplice e più che sufficiente per le PMI. Si può dire quello che si vuole sull'efficacia delle campagne Phishing , ma in molti casi sono necessarie per l'assicurazione informatica e simili. L'interfaccia utente può essere un po' confusa, in particolare per quanto riguarda la pianificazione delle campagne, ma è sicuramente praticabile e mi aspetto che continui a migliorare con la maturazione del prodotto". - G2
11. uPhish (by usecure)
usecure è una nota piattaforma di formazione security awareness con un prodotto speciale per phishing: uPhish. Con uPhish, è possibile impostare simulazioni di phishing e monitorare quando le persone hanno aperto un'e-mail, visitato il link all'interno e quando i loro dati sono stati compromessi. È inoltre possibile monitorare se l'utente segnala l'incidente, ottenendo così una panoramica completa delle vulnerabilità attuali.
L'interfaccia utente di uPhish è pulita e facile da usare. È possibile scegliere tra un'ampia gamma di modelli di phishing , tra cui landing page, allegati e una combinazione dei due.
Pro
- Ampia libreria di modelli
- Piattaforma facile da usare
- Interfaccia utente pulita
Contro
- Non è disponibile una prova gratuita
- Il processo di personalizzazione può richiedere molto tempo.
Recensione
"La piattaforma è molto semplice da usare e facile da navigare. Anche i tempi di caricamento sono stati rapidi. Gli esercizi di formazione di livello inferiore sono a volte troppo bassi e si potrebbero includere più informazioni". - G2
12. Wizer
Wizer è una piattaforma che offre simulazioni "intelligenti phishing". Dispone di una libreria di modelli organizzati in base alle date del calendario. Durante le festività, si vedranno modelli relativi alle festività, mentre alla fine di gennaio si vedrà un modello "Tasse di fine anno". In questo modo è più facile trovare i modelli che sono rilevanti per la vostra organizzazione in questo momento.
È possibile decidere facilmente a chi inviare i messaggi di posta phishing :
- Tutti gli utenti
- Dipartimenti
- O utenti specifici
Wizer ha un'interfaccia di bell'aspetto ed è facile da gestire per gli amministratori.
Pro
- È facile trovare i modelli rilevanti di phishing
- Facile da mantenere per gli amministratori
Contro
- Nessuna prova gratuita
- I video dei contenuti formativi possono essere un po' prolissi.
Recensione
"Wizer è molto più facile da configurare e gestire rispetto alla nostra precedente piattaforma. I corsi di formazione sono video di dimensioni ridotte che coprono bene l'argomento senza dilungarsi. Il nostro precedente fornitore di formazione offriva più strumenti e report, ma questo rendeva anche la console di amministrazione più ingombra e difficile da navigare." - G2
13. Barracuda
Barracuda è nota per essere un prodotto per la sicurezza delle e-mail, che impedisce a un gran numero di e-mail di phishing di raggiungere la vostra casella di posta. Tuttavia, ha anche creato un prodotto security awareness per completarlo.
Con questo prodotto è possibile simulare le minacce via e-mail, analizzare il comportamento degli utenti e scegliere tra un'ampia gamma di contenuti formativi per consentire agli utenti di riconoscere phishing da lontano.
Pro
- Un'opzione interessante se siete alla ricerca di una soluzione tecnica di blocco phishing
- Ampia varietà di modelli phishing
Contro
- La creazione di moduli di formazione può richiedere molto tempo.
- Alcuni utenti affermano che non è così facile da usare
Recensione
"Ritengo che nell'ambiente odierno la protezione di phishing e dello spam sia più critica di qualsiasi protezione degli endpoint. Gli utenti sono l'anello più debole di cyber security e della protezione per qualsiasi organizzazione. Barracuda SAT svolge il ruolo di formazione e sensibilizzazione degli utenti finali su cosa cercare. Può essere difficile da gestire e, senza il consenso dell'esecutivo per imporre la conformità, può essere una perdita di tempo. Esistono altri prodotti più facili da usare e da gestire". - G2
14. Lupo artico
Arctic Wolf è simile a Barracuda, in quanto offre un'ampia piattaforma di sicurezza. Security awareness non è il loro obiettivo principale, ma lo offrono come prodotto.
Il prodotto security awareness , chiamato "Managed Security Awareness", combina una piattaforma di formazione e un simulatore phishing .
La piattaforma di formazione offre brevi micro-lezioni che non richiedono molto tempo ai dipendenti. Ogni mese vengono aggiunti nuovi contenuti alla piattaforma, tra cui la cosiddetta "formazione a risposta rapida" sulle minacce emergenti.
Se un utente "fallisce" una delle simulazioni di phishing , viene inviato a una sessione di microformazione. Qui imparano l'importanza di segnalare un'e-mail phishing la volta successiva. Come abbiamo detto in precedenza, questa tattica è favorita da alcuni, ma osteggiata da molti pedagogisti perché sembra una punizione.
Pro
- Una soluzione combinata di formazione e simulazione phishing
- Interessante se siete alla ricerca di una soluzione di sicurezza all-in-one
Contro
- Nessuna prova gratuita
- Nessun prezzo trasparente sul sito web
Recensione
"Il sito security awareness è breve, diretto, ma efficace. I corsi di formazione hanno portato a discussioni sui contenuti e sull'attinenza con la nostra organizzazione, oltre che su alcune delle parti più divertenti. Tutte le formazioni con il rappresentante e quella sulla fatica dell'MFA sono state le preferite dai fan". - Gartner
15. Pescato
Phished(tanto di cappello per l'intelligente scelta del nome del brand) offre anche una combinazione di formazione e simulazioni su phishing .
Con Phished, potete automatizzare l'intero processo di invio delle simulazioni di phishing , liberando il vostro team IT di un po' di tempo. I contenuti sono personalizzati in base alla sede dell'organizzazione, al contesto aziendale e agli eventi attuali. È anche possibile personalizzare i contenuti per i singoli individui, per assicurarsi che vengano testati nel modo più sensato. È difficile dire quanto sia buono il livello di automazione. Non è disponibile una prova gratuita del prodotto.
Pro
- Campagne completamente automatizzate phishing
- Campagne personalizzate per singoli individui
Contro
- Nessun prezzo trasparente sul sito web
- Nessuna prova gratuita
Recensione
"Phished permette di impostare e gestire senza sforzo la simulazione di phishing email. Il cruscotto di controllo è documentato in modo molto limitato. La dashboard è ampia, ma la logica delle sue strutture non è sempre chiara (scommetto che lo è per gli sviluppatori)." - G2
16. Proofpoint
Il prodotto security awareness di Proofpoint si concentra principalmente sull'identificazione di individui ad alto rischio nelle organizzazioni. A tal fine valuta i ruoli, le vulnerabilità, il rischio di attacco e i privilegi aziendali.
Misurano il rischio umano in base ai seguenti aspetti:
- Scelte comportamentali
- Contesto di minaccia
- Ruoli e privilegi aziendali
- Competenze e attitudini culturali
- Phishing/Simulazioni USB/SMS basate su attacchi reali
La piattaforma non viene fornita con una prova gratuita e i prezzi non sono comunicati in modo trasparente sul sito web. Per vedere di persona il prodotto in azione, è necessario contattare il reparto vendite.
Pro
- Mostra il rischio umano a livello individuale
- Offre anche simulazioni di SMS (smishing)
Contro
- Principalmente incentrato sulle organizzazioni aziendali
- Nessun prezzo trasparente
- Nessuna prova gratuita
Recensione
"Dal punto di vista dell'amministratore, è progettato per "spuntare una casella" per la conformità, piuttosto che per educare effettivamente la base di utenti. Il prodotto è goffo e scarsamente integrato nel resto della piattaforma/servizi di Proofpoint". - G2
17. Sicurezza Fortra Terranova
Fortra Terranova offre una gamma molto ampia di soluzioni di sicurezza. Ciò significa che security awareness (e le simulazioni di phishing ) non è necessariamente il loro obiettivo, ma lo offrono come prodotto.
Offrono un mix di contenuti gamificati per rendere l'esperienza formativa coinvolgente, mescolando al contempo "simulazioni del mondo reale phishing ", il che deve significare che i modelli sono destinati a essere molto convincenti.
Pro
- Potrebbe essere interessante per le organizzazioni che cercano un prodotto "tutto in uno".
- Offre simulazioni di formazione e phishing
- Prova gratuita
Contro
- Nessun prezzo trasparente
- Non ci si concentra solo su security awareness
Recensione
"Utilizzo soprattutto la funzionalità di simulazione e ne sono abbastanza soddisfatto. Mi piace il modo in cui una simulazione viene costruita utilizzando un approccio graduale visualizzato con schede. Aiuta a capire esattamente cosa resta da completare. L'interfaccia è facile da usare. Non mi piace che non ci sia un modo semplice per copiare e riutilizzare un modello esistente che ho costruito. In pratica devo copiare e incollare i modelli di e-mail e di feedback, il che non è necessario. C'è anche una sorta di bug relativo alle impostazioni delle e-mail e alla possibilità di testare l'invio di e-mail. Non è chiaro come funzioni esattamente la funzionalità di test". - G2
Conclusione
Sul mercato è disponibile un'ampia gamma di strumenti software per la simulazione di attacchi di phishing. Consultando l'elenco riportato sopra, potrai capire quale soluzione si adatta meglio alla tua organizzazione.
Per un simulatore di phishing che mira a modificare in modo duraturo il comportamento dei dipendenti, prendete in considerazione l'utilizzo di Guardey.
Per saperne di più su Guardey, consultate una demo
Discutete delle vostre sfide e vedete Guardey in azione.
Pianificare una demo