Il phishing continua a essere il principale vettore di attacchi informatici. Scopriamo il ruolo fondamentale delle emozioni nei successi degli hacker.

Nonostante il phishing sia un fenomeno noto da anni, per cui veniamo messi in guardia quotidianamente, resta ancora oggi l’arma vincente dei criminali informatici. Come si spiega?

 

Perché continuiamo a essere vittime di phishing?

In primo luogo, dobbiamo essere realisti e ammettere che non c’è nessuna tecnologia perfetta in grado di filtrare tutte le mail di phishing. I sistemi antispam sono basati su signature, in grado di bloccare le minacce più note, ma all’arrivo di una mail di phishing 0-day molto probabilmente il sistema fallirà. Le email truffaldine sono sempre nuove, sempre diverse e in evoluzione.

In secondo luogo, gli hacker cercano di colpire il punto più vulnerabile per accedere: non le tecnologie, ma le persone. Infatti, oltre il 99% delle minacce richiede l’interazione umana per attivarsi.

Per riuscire in questo intento, i criminali hanno affinato le loro tecniche: oggi preferiscono colpire una vittima specifica in azienda, piuttosto che colpire nel mucchio. Attaccano con tecniche sempre più evolute di social engineering, spesso attraverso email di spear phishing, mirando alle vulnerabilità del singolo.

Sfruttando le nostre emozioni, gli hacker ci spingono ad agire d’istinto, senza attivare la parte più razionale e logica del nostro cervello. In base a principi di psicologia e sociologia, creano dei meccanismi per ingannare il modo in cui il nostro cervello prende le decisioni.

Questo significa che tutti possiamo essere vittime di phishing.

 

Cervello primitivo VS Cervello razionale

Facciamo un passo indietro: cosa ci spinge a cliccare su quel link malevolo?

Il nostro cervello prende migliaia di decisioni ogni minuto, la maggior parte in modo inconscio. Per far fronte all’enorme quantità di decisioni da processare, rapidamente, senza spendere troppe energie, il cervello usa delle scorciatoie: ecco che si attiva il cervello antico, con un processo di pensiero veloce e intuitivo. Se devo scegliere dove sedermi su un mezzo di trasporto pubblico, per esempio, utilizzerò questo processo decisionale. Contrapposto al cervello antico c’è il nostro cervello razionale, più lento, ma anche più logico e riflessivo, che attiviamo per prendere decisioni più complesse, come nella scelta di un fornitore.

Quando si aziona il cervello primitivo, istintivo e irrazionale, è più probabile commettere errori e cadere vittima di attacchi di phishing.

I criminali informatici ci costringono a prendere decisioni facendo affidamento sul cervello antico. Ed ecco che clicchiamo.

Quindi, cosa fare per proteggersi dal phishing?  

Le 5 principali emozioni che gli hacker sfruttano per colpirci

Il primo passo per proteggerci dal phishing è essere consapevoli delle nostre vulnerabilità.

È utile imparare a conoscere le dinamiche psicologiche e le emozioni, che gli hacker sfruttano e, che ci spingono ad agire in modo avventato.

  • PAURA: Colpire il nostro istinto di preservazione e sopravvivenza è una tattica molto efficace. Minacciare con possibili conseguenze negative, come il blocco di un account oppure un’azione legale in seguito a un reclamo, è molto comune e genera spesso una risposta immediata.

Es. “Il tuo computer è stato infettato e bloccato. Clicca qui.”

  • CURIOSITÀ: I malintenzionati approfittano del bisogno di sapere, intrinseco in ognuno di noi, promettendo qualcosa di entusiasmante o proibito. Anche se il messaggio ci sembra strano e la prima reazione è “Cosa sta dicendo?! Incredibile?! Davvero??”, è molto facile cadere nella trappola per controllare di persona di cosa si sta parlando.

Es. “Il tuo account è entrato nella classifica dei peggiori account. Guarda qui.”

  • IRRITAZIONE: Nella quotidianità ci sono innumerevoli piccolezze che possono infastidirci: ricevere l’ennesimo messaggio promozionale, la richiesta di dettagli mancanti o di un problema per una pratica che ci riguarda (“Di nuovo? Lo sapevo che l’ufficio ics non sa lavorare!”), e molti altri. E spesso, d’istinto, clicchiamo subito per liberarci dall’impiccio e risolvere la situazione.

Es. “Per disiscriverti, clicca qui.”

  • AVIDITÀ: Un messaggio che ci offre o promette denaro cliccando su un link o rispondendo ad alcune domande di solito è malevolo. Se sembra troppo bello per essere vero, probabilmente lo è.

Es. “Hai vinto un buono sconto del 50%”

  • DESIDERIO DI AIUTARE: Non solo emozioni negative: anche il nostro naturale istinto ad aiutare chi è in difficoltà, viene sfruttato per rubare dati. Purtroppo, questa tipologia di campagne viene spesso attivata in occasione di tragedie.

Es. “Credo che il tuo collega abbia perso i suoi documenti. Inviami il suo numero.”

 

Leve di persuasione

Perché il lunedì è la giornata in cui vengono inviate più email di phishing? Perché in Europa tra mezzogiorno e le prime ore dopo pranzo siamo più propensi a cadere vittime di questi attacchi? (Report Proofpoint – Il fattore umano 2019)

Oltre a formulare un messaggio che prema i giusti tasti emotivi, gli hacker lavorano anche su dettagli come l’orario dell’invio, il mittente, etc. per rendere più efficace il messaggio di phishing.

I cyber criminali cercano di trovarci in un momento di disattenzione: il lunedì mentre controlliamo la posta arretrata oppure durante la pausa pranzo in cui siamo più rilassati e magari non facciamo caso a degli errori (come “www.paypai.com” “www.gmall.com” invece che i corretti PayPal o Gmail).

Per costruire questi dettagli in modo credibile, sfruttano delle leve di persuasione, che cercano di ingannare anche il nostro cervello razionale. Due delle leve più efficaci sono:

  • AUTORITÀ: Se il mittente è conosciuto e autorevole, il CEO o un nostro responsabile in azienda oppure un ente pubblico, il messaggio diventa automaticamente più credibile e ci spinge ad agire.
  • URGENZA/SCARSITÀ: Inserire una scadenza a breve termine o una disponibilità limitata, ci spinge allo stesso modo ad attivarci subito. Questa leva è utilizzata per confondere il ricevente.

 

Come gli hacker sfruttano le emozioni: alcuni esempi

La particolare situazione di emergenza legata al Coronavirus che stiamo vivendo in questi giorni ci fornisce la conferma che gli hacker sfruttano le tragedie per trarne vantaggio. Sono innumerevoli gli esempi di phishing e truffe informatiche emerse in quest’ultimo periodo.

Qui elenchiamo alcuni esempi degli attacchi in circolazione in Italia evidenziando l’emozione e/o leva utilizzata:

  • Precauzioni contro il Coronavirus della Dott.ssa Marchetti: il messaggio sembra provenire da una dottoressa dell’OMS – Organizzazione Mondiale della Sanità (autorità) e invia informazioni su come proteggersi dal contagio (curiosità e paura) che spingono ad aprire l’allegato;
  • Accredito domanda Covid dall’INPS (autorità): in questa truffa via sms o smishing, si invia una richiesta di aggiornamento dati (irritazione) affinché la domanda del bonus vada a buon fine: difficile non cliccare sul link;
  • Falsi buoni spesa dei supermercati: in questo momento ricevere un buono da 250€ per la spesa farebbe gola a molti (avidità);
  • False campagne di raccolta fondi per gli ospedali: nei momenti di emergenza, siamo portati ad essere più buoni e altruisti (desiderio di aiutare) e i cyber criminali lo sanno bene: in questo periodo sono almeno 3 le false campagne già individuate in favore di strutture sanitarie. 

Rendi i tuoi collaboratori più forti e consapevoli contro il phishing.

Scopri Matika Intelligent Awareness.

Intelligent Awareness: maggior consapevolezza delle proprie lacune

Il secondo passo per proteggere i nostri dati da clic pericolosi è dotarsi di strumenti che contribuiscano a renderci più consapevoli delle nostre lacune.

Lo strumento più efficace è intraprendere un percorso di security awareness aziendale.

Matika Intelligent Awareness è il percorso di formazione sulla Security con un approccio personalizzato, sviluppato assieme a un team di psicologi. Oltre alla teoria, ogni collaboratore potrà acquisire consapevolezza attraverso degli attacchi di phishing simulati progettati sulle sue attitudini e lacune, attivando le emozioni per cui risulta più sensibile.

Non si tratta di una mera formazione teorica anti-phishing: nel percorso il collaboratore avrà modo di sperimentare sul campo le competenze acquisite, ma soprattutto di rendersi conto delle sue vulnerabilità.

Solo così, nel momento in cui riceveremo dei messaggi inaspettati con richieste di informazioni importanti (via email, sms, messaggi sui social, ma anche chiamate), saremo in grado di attivare il cervello razionale e meccanismi di verifica. Potremo fermarci e chiederci:

  • Il dominio da cui è stata inviata la richiesta esiste/è corretto?
  • Chi è il mittente del messaggio?
  • Con quale altro mezzo di comunicazione posso verificare la bontà della richiesta?

Se saremo soddisfatti delle risposte, ci sentiremo sicuri nell’aprire il link. 

Impara a riconoscere le minacce attraverso attacchi simulati di phishing.

Scopri Matika Intelligent Awareness.

Share This