Cyber Guru Phishing consente di rilevare e registrare le segnalazioni effettuate dagli utenti (Cyber Defenders) che identificano correttamente un attacco simulato e lo inoltrano al dipartimento preposto.
Perché queste segnalazioni vengano riconosciute e valorizzate dalla piattaforma, è fondamentale configurare correttamente il flusso di inoltro, in modo da tracciare i cosiddetti "Attacchi Segnalati".
Una segnalazione non viene registrata se l'utente clicca prima sul link dell'email e solo successivamente effettua la segnalazione.
Se la tua organizzazione utilizza Google Workspace o Microsoft 365, ti invitiamo a consultare le sezioni dedicate per una configurazione specifica e ottimizzata del flusso di segnalazione.
Guida alla configurazione della segnalazione MICROSOFT 365
Guida alla configurazione della segnalazione GOOGLE WORKSPACE
In tutti gli altri casi, questa guida illustra le linee guida generali per l'instradamento delle segnalazioni verso Cyber Guru, da utilizzare come riferimento per configurare correttamente i sistemi aziendali.
È fondamentale che il flusso di segnalazione sia filtrato in modo da inviare a Cyber Guru esclusivamente i messaggi di phishing simulati generati ed inviati dalla piattaforma direttamente all'utente, escludendo altri messaggi non rilevanti o phishing reale. I messaggi non provenienti da Cyber Guru possono essere bloccati o reindirizzati al SOC/CERT del cliente per un'analisi approfondita in termini di sicurezza informatica.
Condizioni per inoltrare la segnalazione a Cyber Guru
Affinché una segnalazione venga registrata nella Piattaforma Cyber Guru, devono essere soddisfatte le seguenti condizioni
- Deve essere inviata una email per ciascuna segnalazione di ogni utente all'indirizzo: defenders@cyberguru.report
- L'e-mail oggetto della segnalazione può essere inoltrata direttamente nel corpo del messaggio (messaggio in-body) o inviata come allegato.
- La segnalazione, indipendentemente dalla modalità scelta (in-body o allegato), deve contenere almeno la parte "?rid=" seguita dall'identificativo RID, un codice alfanumerico unico per ogni campagna, utente e cliente.
Esempi di segnalazioni correttamente registrate
Di seguito sono elencati alcuni scenari a titolo di esempio, in cui il sistema registra correttamente le segnalazioni ricevute:
- L'utente inoltra l'e-mail di phishing al SOC/CERT che poi la inoltra a defenders@cyberguru.report
- L'utente inoltra l'e-mail di phishing a un sistema di ticketing e da lì viene inoltrata successivamente a defenders@cyberguru.report
Esempi di segnalazioni NON valide
Di seguito sono elencati alcuni esempi in cui il sistema non registra correttamente le segnalazioni ricevute:
- Viene inviata una lista di indirizzi email
- Viene inviata una lista di nomi utente
- Viene inviata una lista di rid
- Viene inviato un indirizzo email
- Viene inviato un nome utente
- Viene inviato un codice RID senza particella "?rid="
- Vengono inviate un insieme di email di più utenti
Procedura per l'instradamento automatico delle email segnalate
Ogni email inviata dalla piattaforma è identificabile attraverso i seguenti elementi:
-
Firma DKIM sul dominio di simulazione utilizzato per la campagna — verificare che la firma DKIM risulti valida (
dkim=pass) e che il dominio firmante (d=) corrisponda a un dominio di simulazione Cyber Guru autorizzato. Disponibile al momento della consegna. - Indirizzo IP di origine — Salvo diversi accordi: 85.235.135.191. Verificabile al momento della consegna.
-
Parametro
?rid=nelle URL — identificativo univoco per campagna, utente e cliente. Presente nel corpo del messaggio, disponibile anche dopo l'inoltro.
Instradamento della segnalazione
Alla consegna (delivery time): se il sistema di posta lo consente, configurare una regola di flusso di posta che verifichi la firma DKIM per un dominio di simulazione Cyber Guru autorizzato e applichi un contrassegno al messaggio, utilizzabile successivamente per il routing della segnalazione.
Alla segnalazione (reporting time): per il routing automatico, verificare che:
- il dominio del link appartenga a un dominio di simulazione Cyber Guru atteso
- il link contenga il parametro
?rid= - il valore RID sia nel formato generato dalla piattaforma
I messaggi che soddisfano questi criteri devono essere inoltrati a defenders@cyberguru.report. Tutti gli altri messaggi segnalati devono essere gestiti secondo le procedure di sicurezza dell'organizzazione (SOC/CERT).