Vai al contenuto principale

Come creare una campagna di simulazione di Smishing

  • Aggiornato

Questo articolo spiega come pianificare una campagna di simulazione di Smishing in SMARTFENSE, dettagliando ciascun campo di configurazione disponibile e gli indicatori raccolti dalla campagna.

Cos'è una campagna di simulazione di Smishing?

Le campagne di simulazione di Smishing consistono in SMS che cercano di ingannare l'utente con l'obiettivo di fargli rivelare informazioni riservate. Questi SMS includono link che reindirizzano a una pagina con un modulo che tenta di catturare tali informazioni.

Consentono di misurare il comportamento reale degli utenti di fronte a un attacco controllato tramite messaggistica mobile e, in caso di rilevamento di un comportamento non sicuro, attivare un Momento Educativo per sensibilizzare l'utente al momento giusto.

Creare la campagna

  1. Dal menu principale, acceda a Campagne > Calendario.
  2. Prema il pulsante Nuova campagna.
  3. Selezioni Smishing.

Configurazione della campagna

In sostanza, le campagne di simulazione di Smishing richiedono i seguenti dati per essere pianificate:

  • Gruppi
  • Scenario
  • Data di inizio
  • Data di scadenza

SMARTFENSE rileva automaticamente il fuso orario del dispositivo dell'amministratore al momento della pianificazione. Le date e gli orari configurati saranno definiti nel fuso orario del dispositivo da cui sta creando la campagna.

Gruppi

Per impostazione predefinita, SMARTFENSE consente di selezionare Gruppi come destinatari di una campagna. Le altre opzioni possono essere visualizzate facendo clic sul pulsante Altre opzioni nella parte inferiore della schermata.

La piattaforma richiede di selezionare almeno un destinatario per pianificare una campagna.

Scenario

Definisce il tema della campagna di simulazione di Smishing. È possibile selezionare più di uno scenario.

Se sceglie più di uno scenario, al momento dell'invio della campagna ogni utente riceverà uno scenario specifico selezionato in modo casuale tra quelli scelti. Ciò significa che, anche se vengono selezionati più scenari, ogni utente parteciperà solo a uno. Non è possibile inviare più scenari allo stesso utente in un'unica campagna.

Data di inizio

Data in cui la campagna inizia a inviare gli SMS di simulazione e a raccogliere statistiche di interazione.

A partire dalla Data di inizio, potrà modificare solo la Data di scadenza della campagna mentre questa è in corso. Questa azione può essere eseguita dal Calendario o dall'Elenco campagne. Per farlo, individui la campagna che desidera modificare e acceda a Vedi dettaglio campagna > Informazioni e azioni.

Data di scadenza

Data in cui la campagna smette di raccogliere statistiche.

La durata massima di una campagna di simulazione di Smishing è di 4 giorni. Questo permette di simulare attacchi più aderenti alla realtà e ottenere risultati simili a quelli di campagne realizzate da criminali informatici.

Altre opzioni

I seguenti campi vengono visualizzati facendo clic sul pulsante Altre opzioni, situato nella parte inferiore della schermata.

Modalità

Definisce come gli utenti vengono assegnati alla campagna. Esistono due opzioni:

  • Assegnazione iniziale unica e data di scadenza specifica: tutti gli utenti destinatari vengono assegnati al raggiungimento della Data di inizio. Le modifiche apportate ai raggruppamenti dopo tale data non vengono considerate.
  • Assegnazione ricorrente e durata relativa: la campagna verifica periodicamente quali utenti soddisfano le condizioni di destinatario e li assegna automaticamente. La data di scadenza di ogni utente viene calcolata in base alla Durata in giorni definita, a partire dal momento in cui viene assegnato.

Gestione degli utenti nelle campagne di Assegnazione ricorrente e durata relativa:

  • Gli utenti aggiunti a un raggruppamento destinatario dopo la data di inizio vengono assegnati automaticamente, ma il giorno successivo alla modifica e nello stesso orario della data di inizio (non è immediato).
  • Gli utenti rimossi dal raggruppamento dopo essere stati assegnati restano assegnati alla campagna.

Numero di telefono

Per inviare i messaggi di Smishing viene utilizzato il numero di telefono configurato nel profilo dell'utente. Si assicuri che il numero sia salvato nel formato corretto, includendo il prefisso internazionale.

Per impostazione predefinita si raccomanda che il prefisso internazionale venga aggiunto senza il segno + né doppi zeri all'inizio. Ad esempio, un destinatario valido potrebbe essere il numero 34541498675, dove:

  • 34 è il prefisso internazionale.
  • 54 è il prefisso.
  • 1498675 è il numero di telefono.

Se ci sono problemi con la consegna, può provare le seguenti varianti:

  • Sostituire il prefisso internazionale con +34.
  • Sostituire il prefisso internazionale con 0034.
  • Aggiungere un punto dopo il prefisso internazionale: +34.541498675.

Importazione di utenti

I processi di importazione consentono di caricare il numero di telefono dell'utente.

  • Per le importazioni tramite file CSV o API, il telefono è un campo che deve essere compilato nel formato corretto.
  • Per l'importazione da Microsoft Entra ID, il telefono viene ottenuto dal campo mobilePhone. Se è null, viene cercato il primo numero disponibile nell'elenco businessPhones.
  • Per l'importazione da Google, viene utilizzato l'elenco di telefoni del campo phones. Se ce n'è uno contrassegnato come primary, viene preso quello; in caso contrario, viene utilizzato il primo dell'elenco.

Se l'utente finale o l'amministratore hanno impostato manualmente un telefono, questo non viene sovrascritto con i dati dell'importazione. L'utente può impostare un telefono dal proprio profilo, oppure un amministratore può modificarlo dalla tabella Utenti.

Destinatari

In questa sezione possono essere selezionati diversi tipi di raggruppamenti come destinatari della campagna: Gruppi, Aree funzionali, Livelli gerarchici, Gruppi intelligenti e Utenti individuali.

Può combinare i raggruppamenti selezionati in due modi:

  • Assegnare agli utenti che appartengono ad almeno un raggruppamento di ciascun tipo.
  • Assegnare agli utenti che appartengono a uno qualsiasi dei raggruppamenti selezionati.

Gli utenti devono appartenere ad almeno un raggruppamento di ciascun tipo

Saranno assegnati alla campagna gli utenti che soddisfano ciascuno dei seguenti punti:

  • Far parte di almeno uno dei Gruppi selezionati.
  • Inoltre, far parte di almeno una delle Aree funzionali selezionate.
  • Inoltre, far parte di almeno uno dei Livelli gerarchici selezionati.
  • E infine, far parte di almeno uno dei Gruppi intelligenti selezionati.

Gli utenti devono appartenere a uno qualsiasi dei raggruppamenti selezionati

Saranno assegnati alla campagna gli utenti che soddisfano uno qualsiasi dei seguenti punti:

  • Far parte di almeno uno dei Gruppi selezionati.
  • Oppure, far parte di almeno una delle Aree funzionali selezionate.
  • Oppure, far parte di almeno uno dei Livelli gerarchici selezionati.
  • Oppure, far parte di almeno uno dei Gruppi intelligenti selezionati.

Pianificazione

Oltre alla scelta della data di inizio e di scadenza, le campagne di simulazione di Smishing consentono di selezionare il tipo di invio:

  • Invio normale: gli SMS vengono inviati a tutti gli utenti destinatari al raggiungimento della data e ora di inizio della campagna.
  • Invio casuale: gli SMS vengono inviati in momenti diversi della giornata a ciascun utente. L'invio viene effettuato nella prima metà dell'intervallo tra la data di inizio e la data di scadenza, tra le 09:00 e le 18:00.

Gli utenti assegnati riceveranno l'SMS durante i giorni di invio. La campagna rimane attiva e raccoglie statistiche fino al giorno selezionato come data di scadenza.

L'invio casuale non può essere utilizzato affinché ogni utente riceva uno scenario casuale. La casualità si riferisce solo al giorno e all'ora di invio.

Dati della campagna

  • Nome: identifica la campagna all'interno della piattaforma.
  • Descrizione: viene mostrata sul calendario quando si posiziona il cursore sulla campagna.
  • Campagna di prova: se attiva questa opzione, la campagna viene eseguita senza influire sui report né generare record nell'audit di utenti o campagne.

Azioni derivate

Consente di aggiungere un Momento Educativo alla campagna di simulazione di Smishing. I Momenti Educativi vengono utilizzati per sensibilizzare l'utente nell'istante in cui compie un comportamento non sicuro all'interno della simulazione.

Per configurarlo deve definire:

  • Argomento del Momento Educativo.
  • Azione dell'utente che attiva il suo invio:
    • Fare clic sul link di Smishing ricevuto via SMS.
    • Inserire dati nella pagina di Smishing.
  • Modalità di consegna:
    • Istantaneamente al verificarsi dell'azione nel browser web.
    • Istantaneamente al verificarsi dell'azione nel browser web e inviarlo anche via email nello stesso momento.
    • Selezionare una data successiva alla scadenza della campagna per inviare via email tutti i Momenti Educativi corrispondenti.

Il Momento Educativo avrà una domanda finale di validazione e un feedback successivo alla risposta dell'utente. Entrambi hanno componenti modificabili da Configurazione > Simulazioni > Momenti educativi.

Avanzato

Invio campionario

Se attiva questa opzione, l'SMS di simulazione viene inviato solo a un campione del totale dei destinatari. Deve inserire la dimensione del campione come percentuale. Gli utenti inclusi vengono scelti in modo casuale dal totale dei destinatari.

URL di Smishing

Definisce l'URL utilizzato negli SMS di simulazione di Smishing.

  • Utilizza URL di SMARTFENSE (opzione predefinita): il link viene formato con il sottodominio della piattaforma e un dominio selezionato in modo casuale da un elenco di domini di SMARTFENSE destinati a ospitare trappole di Smishing simulato.
  • Utilizza URL personalizzato: consente di selezionare un Hostname personalizzato, gestito in Configurazione > Organizzazione > Hostname, e scegliere esplicitamente un dominio dall'elenco dei domini disponibili.

Se seleziona l'opzione Dominio casuale, la piattaforma sceglierà un dominio in modo casuale per tutti i link della campagna. Questo dominio sarà lo stesso per tutti gli utenti destinatari. Se desidera utilizzare un dominio personalizzato, contatti l'assistenza tecnica dal Centro di assistenza.

Inserimento password

Definisce il comportamento del modulo di login nella landing page della simulazione.

  • Consentire all'utente di inserire la propria password (opzione predefinita): viene registrato solo se sono stati inseriti o meno dati nel modulo. I dati inseriti non vengono salvati, analizzati né manipolati in alcun momento.
  • Impedire all'utente di inserire la propria password: il campo password viene disabilitato. L'utente può inserire un solo carattere nel campo nome utente. Quando lo fa, il modulo viene inviato automaticamente e viene registrata la statistica Dati inseriti.

Nella landing page, i campi che si riferiscono al nome utente e alla password devono avere rispettivamente l'attributo name="user" e name="password", affinché la piattaforma catturi correttamente l'azione dell'utente.

Inviami un test

Prima di pianificare la campagna, può ricevere un test sul suo numero configurato premendo il pulsante Inviami un test. Il test tiene conto dei seguenti parametri configurati:

  • Scenario: il test viene inviato con lo scenario configurato.
  • Inserimento password: il modulo consentirà o meno l'inserimento della password come configurato.
  • Momento Educativo: verrà applicata la configurazione definita.

Altri parametri come URL di Smishing non hanno effetto sul pulsante Inviami un test. Il loro effetto può essere visto solo in una campagna pianificata.

Invii SMS disponibili

Per utilizzare la funzionalità di Smishing è necessario disporre di Invii SMS. Ogni SMS inviato consuma un invio.

Può consultare il numero di invii disponibili in:

  • Nella nota informativa che appare quando seleziona Destinatari, mostra a quanti utenti raggiungerà la campagna e quanti invii di SMS rimangono disponibili.
  • Dashboard > Generale, nel riquadro Informazioni di contratto, accanto alla data di fine validità e ai componenti contrattati.

Indicatori raccolti dalla campagna

Una volta avviata, la campagna registra i seguenti indicatori:

  • Inviati: l'SMS è stato inviato all'utente.
  • Consegnati: l'SMS è stato consegnato all'utente.
  • Clic sul link: l'utente ha fatto clic su un link all'interno dell'SMS di simulazione di Smishing.
  • Dati inseriti: l'utente ha inserito dati nel modulo della landing page della simulazione di Smishing.
  • Momenti educativi inviati via email: l'utente ha compiuto un'azione che ha attivato l'invio del Momento Educativo via email.
  • Momenti educativi aperti: l'utente ha visualizzato il Momento Educativo nella sua email o istantaneamente nel suo browser.
  • Momenti educativi risposti correttamente: l'utente ha risposto correttamente alla domanda del Momento Educativo utilizzata per validarne la lettura.
  • Momenti educativi risposti in modo errato: l'utente ha risposto in modo errato alla domanda del Momento Educativo utilizzata per validarne la lettura.

Stati degli SMS

Nell'Audit della campagna, all'interno di Dettaglio campagna, ogni SMS può avere i seguenti stati:

  • In attesa di conferma di consegna: l'SMS è stato inviato all'operatore e si attende la conferma di consegna riuscita.
  • Consegnato: l'SMS è stato consegnato al destinatario.
  • Nuovo tentativo di consegna: l'operatore tenterà di consegnarlo nuovamente fino alla scadenza della campagna.
  • Scaduto: l'operatore non è riuscito a consegnare il messaggio e la campagna è scaduta.
  • Errore di consegna: l'SMS non è stato consegnato al destinatario.

Motivi di errore di consegna

  • Unknown subscriber: il numero del destinatario non è associato a una linea attiva.
  • Insufficient balance: il costo dell'invio è superiore al credito disponibile sull'account.
  • Generic delivery failure: l'operatore non ha fornito ulteriori informazioni sull'errore.
  • Unavailable subscriber: la linea del destinatario non è disponibile in questo momento.
  • Received network error: la rete del destinatario presenta un problema che impedisce la consegna dell'SMS.
  • Opted out: il destinatario ha revocato il consenso a ricevere SMS dalla linea mittente.
  • Carrier rejected: l'operatore del destinatario blocca il messaggio. Può essere dovuto alla mancanza di registrazione della campagna (in alcuni paesi è obbligatorio registrare campagne SMS) o a contenuti vietati o illegali secondo le normative del paese.
  • Capacity limit reached: l'operatore blocca la ricezione per limiti di quantità di SMS in un periodo o per politiche del paese (ad esempio, invii consentiti solo in orari specifici).

Problemi noti

Di seguito sono elencati i problemi più frequenti quando si lavora con campagne che inviano SMS.

Spoofing dell'identità

In alcuni paesi non è possibile inviare SMS effettuando spoofing dell'identità. In casi specifici, questo tipo di SMS viene consegnato solo se il numero del mittente utilizza un prefisso internazionale diverso da quello del destinatario. In quelle situazioni, il mittente può essere sostituito con un numero generico (ad esempio, 1234).

Inoltre, l'invio di un SMS con spoofing dell'identità all'interno dello stesso operatore di telefonia mobile e all'interno dello stesso paese potrebbe non funzionare.

Problemi con il mittente dell'SMS

In SMARTFENSE è possibile personalizzare il mittente degli SMS con una stringa alfanumerica fino a 11 caratteri o un numero di telefono. Se il mittente desiderato non viene accettato, provi varianti come:

  • Sostituire il prefisso internazionale con +34.
  • Sostituire il prefisso internazionale con 0034.
  • Aggiungere un punto dopo il prefisso internazionale: +34.541498675.

Se nessuna variante funziona, può utilizzare un mittente vuoto. In tal caso, l'operatore assegnerà un valore di mittente predefinito. Se l'invio funziona correttamente con il mittente predefinito, si raccomanda di utilizzare come mittente una stringa alfanumerica (ad esempio, José Vicente) anziché un numero di telefono.

Problemi con il numero del destinatario

Un messaggio potrebbe non essere consegnato se il numero del destinatario non è salvato nel formato corretto. Si assicuri che il numero degli utenti includa il prefisso internazionale, senza il segno + né doppi zeri all'inizio. Se ci sono problemi di consegna, provi le varianti menzionate nella sezione Numero di telefono.

Problemi con i link

Alcuni operatori bloccano i link presenti negli SMS. In questi casi può provare a eliminare il protocollo (http o https) dall'URL.

💡 Buone pratiche

  • Invii una Campagna di prova per analizzare le statistiche e rilevare possibili problemi di consegna prima di un invio massivo.
  • Verifichi il Numero di telefono nel profilo degli utenti e si assicuri che il prefisso internazionale abbia il formato raccomandato.
  • Definisca una Data di scadenza in linea con l'obiettivo e mantenga la campagna entro il massimo di 4 giorni per ottenere risultati realistici.
  • Utilizzi Invio casuale per simulare comportamenti reali e ridurre l'effetto "passaparola tra utenti" durante la campagna.
  • Combini la simulazione di Smishing con un Momento Educativo per sensibilizzare l'utente nel momento esatto in cui compie un comportamento non sicuro.
  • Utilizzi Inviami un test per validare lo scenario e il comportamento del modulo prima di pianificare la campagna.
  • Riveda gli Invii SMS disponibili in Dashboard > Generale e nella nota informativa quando seleziona Destinatari per evitare guasti per credito insufficiente.
  • Se rileva Errore di consegna o Carrier rejected, regoli il mittente o il formato del numero e consideri le restrizioni del paese o dell'operatore prima di rilanciare la campagna.

Correlato a

Articoli correlati