Phishing: quell’irrefrenabile impulso umano a cliccare senza pensare

click-phishing-sitp

Alzi la mano chi non ha mai avuto un incontro ravvicinato con una mail sospetta. O chi non ha mai conosciuto nessuno caduto nella trappola del phishing. Eppure, nonostante la conoscenza ormai diffusa, il furto di informazioni sensibili continua a crescere in maniera esponenziale e gli attacchi Ransomware continuano a colpire organizzazioni di qualunque dimensione, con un’alta percentuale di successo. Tanto che secondo un recente rapporto dell’FBI, il phishing e le sue varianti, come il Vishing, lo Smishing e il Pharming,  rappresentano di gran lunga uno dei crimini informatici più diffusi e di maggiore successo.

Ma cos’è che rende questo tipo di truffa così insidioso? Sicuramente la continua evoluzione delle tecniche di cyber crime ma, soprattutto, quell’irrefrenabile impulso umano a rispondere immediatamente a uno stimolo e ad agire senza prima “contare fino a 10”.  Un comportamento che, in generale, non è mai foriero di azioni virtuose ma che davanti a un monitor e a una tastiera può avere serie conseguenze. Insomma per cliccare su un link o un allegato ci vuole un attimo, ma per sistemare i danni che da quest’azione possono derivare può volerci molto tempo e molto denaro.

Tutto questo i criminali informatici lo sanno bene e, da raffinati conoscitori della mente umana, sono consapevoli che la chiave del loro successo sta proprio nella capacità di manipolare una persona convincendola a compiere una specifica azione. Inoltre, a dispetto dei luoghi comuni, a cadere nella trappola non sono solo gli utenti inesperti ma anche quelli con maggiore esperienza, proprio perché si muovono e agiscono con più disinvoltura e ripetitività.

Nel 2020 sono state inviate e ricevute giornalmente 306,4 milioni di mail. Aprire una mail e fare clic su un collegamento è per molti un’abitudine consolidata e un gesto quasi meccanico. Ma proprio qui sta la trappola in cui cadono in tanti nonché il successo degli attacchi di phishing.

Le 5 trappole del phishing: impariamo a riconoscerle

Gli attacchi di phishing sono quindi pensati per indurre le persone ad agire prima che pensino troppo. Per fare ciò, gli hacker utilizzano alcuni trucchi molto efficaci. Impariamo a riconoscerli.

  • La fonte attendibile – una tecnica è quella di far sentire al sicuro il destinatario della mail. Le campagne di phishing utilizzano molto spesso come mittente false identità e brand famosi. La Microsoft è risultata ripetutamente al primo posto come uno dei brand da falsificare preferiti dai criminali cyber. In cima alla lista anche Netflix e PayPal.
  • L’irresistibile click – il 79% delle persone afferma di poter riconoscere una mail di phishing, anche se in realtà la percentuale di chi clicca su un link in una mail sospetta è ancora altissimo. Una delle ragioni del click impulsivo è probabilmente legato all’abitudine ad utilizzare applicazioni semplici e intuitive. Fare click è diventata quasi una risposta pavloviana quando una mail contiene un collegamento.
  • Le azioni semplici – la mancanza di riflessione prima di compiere un’azione è spesso correlata anche alla semplicità del compito da eseguire e alla sua ripetitività. Questo porta a effettuare molti click senza pensare troppo alle possibili conseguenze. Se poi l’attività da compiere è correlata al lavoro, è ancora più probabile che venga effettuato il click, facendo partire l’attacco phishing. Non è un caso che le attività ripetitive e riconosciute, come la reimpostazione della password siano tra quelle preferite dagli hacker.
  • L’urgenza – spesso le mail di phishing contengono una sorta di condizionamento per indurre le persone al click automatico. Infatti vengono spesso correlate a una scadenza temporale o alla necessità di svolgere una determinata azione come, ad esempio, il pagamento di una bolletta. Alcune campagne di phishing, quelle che colpiscono uno specifico individuo (spear phishing), si basano proprio sulla pressione emotiva che un CEO, ad esempio, può generare se invia una mail all’ufficio contabilità con la richiesta urgente di trasferire denaro su un conto bancario. L’account del CEO è, ovviamente, già finito nelle mani di un criminale cyber e l’ufficio contabile non può non fare bella figura.
  • Il sovraccarico di lavoro – uno studio sugli ospedali presi di mira dalle campagne di phishing è arrivato alla conclusione che il personale sovraccaricato di lavoro è quello con le maggiori probabilità di fare click su un link di phishing. Se non si ha tempo per pensare è più probabile che la risposta avvenga in maniera automatica.

“Basta un semplice click”, si legge frequentemente sul web. Peccato che quel click può essere un’arma puntata contro noi stessi o contro l’azienda nella quale lavoriamo. Interrompere l’automatismo del click è fondamentale per contrastare le tecniche cyber e il successo del phishing.

Acquisire la consapevolezza necessaria per muoversi in rete con maggiore sicurezza è possibile solo con un corretto addestramento e una giusta formazione che facciano acquisire una postura digitale a prova di hacker.