Vai al contenuto principale

Come creare una campagna di simulazione di QR Phishing

  • Aggiornato

Questo articolo spiega come eseguire un esercizio di simulazione di QR Phishing in formato fisico con SMARTFENSE: creare la campagna con uno scenario che includa un QR, stampare il materiale e rivedere le statistiche nell'Audit della campagna.

Cos'è una campagna di simulazione di QR Phishing?

Le campagne di QR Phishing consentono di misurare il comportamento degli utenti di fronte a un codice QR malevolo collocato fisicamente nell'organizzazione (ad esempio, su una bacheca, in un ascensore o in caffetteria). Il flusso si appoggia su una campagna di Phishing o Ransomware che utilizza uno scenario con QR: il QR viene stampato e collocato nel luogo desiderato e, quando viene scansionato, reindirizza l'utente alla landing page dello scenario.

Considerazioni importanti

  • Durata massima: 4 giorni, come le altre campagne di simulazione.
  • Rischio per l'utente assegnato: l'utente a cui viene assegnata la campagna genererà azioni di rischio e avrà uno Scoring alto. Per evitare questo impatto può:
    • Contrassegnare la campagna come Campagna di prova, in modo che non resti alcun record di audit associato all'utente.
    • Oppure, una volta terminata la campagna, disattivare l'utente.
  • Rimozione del materiale fisico: rimuova il QR stampato al termine della campagna per evitare reindirizzamenti a un errore 404.

Creare la campagna

  1. Definisca lo scenario che utilizzerà: Phishing o Ransomware, e decida se includerà un Momento Educativo.
  2. Dal menu principale, acceda a Campagne > Calendario.
  3. Prema il pulsante Nuova campagna e selezioni Phishing o Ransomware secondo lo scenario desiderato.
  4. Prema il pulsante Altre opzioni, vada su Utenti e selezioni un singolo utente.
  5. Selezioni lo scenario con QR che desidera utilizzare.
  6. Configuri le date di inizio e scadenza rispettando la durata massima di 4 giorni.
  7. Definisca se aggiungerà un Momento Educativo e l'azione che lo attiverà (ad esempio, inserire dati nella landing page).
  8. Completi il resto dei dati della campagna e prema il pulsante Salva.
  9. Una volta avviata la campagna, apra l'email dello scenario, stampi il QR e lo collochi nel luogo desiderato.
  10. Al termine della campagna, rimuova il QR dal luogo selezionato.

Rivedere le statistiche della campagna

La scansione del QR può portare l'utente alla landing page dove potrà inserire dati. Se lo fa, può essere mostrato un Momento Educativo e, opzionalmente, una domanda finale di validazione.

Per rivedere i risultati:

  1. Acceda all'Audit della campagna.
  2. Vada alla scheda Utenti assegnati alla campagna.
  3. Faccia clic sullo username dell'utente assegnato per accedere al dettaglio e visualizzare:
    • Quante volte è stato scansionato il QR, registrato come Clic sul link.
    • Se ha inserito dati nella landing page.
    • Se ha visualizzato il Momento Educativo e, se è presente la domanda di validazione, se è stata risposta correttamente.

Limitazioni e note sulla privacy

Non è possibile identificare con precisione chi ha scansionato un QR Phishing fisico: la scansione non rivela l'identità dell'utente. Si misura solo il comportamento generale delle persone che trovano un QR fisico nell'organizzazione.

La landing page di destinazione non memorizza credenziali. Per questo motivo, non esiste un collegamento diretto tra la scansione e una persona specifica.

💡 Buone pratiche

  • Contrassegni la campagna come Campagna di prova quando ha bisogno di evitare impatto sullo Scoring e sui record di audit dell'utente assegnato.
  • Documenti la data, l'ora e la posizione in cui ha collocato ciascun QR per analizzare i risultati con maggiore contesto nell'Audit.
  • Rimuova il materiale fisico al termine della campagna per evitare accessi successivi ed errori 404.
  • Utilizzi un design verosimile (logo, messaggio breve e call to action) per simulare un caso realistico senza generare confusione operativa.

Correlato a

Articoli correlati