Cyberattacchi: il fattore umano e la psicologia del clic
In questo articolo
Phishing e fattore umano: analizziamo la psicologia di un clic
Perché tendiamo a fidarci della mail che ci è appena arrivata? Cosa spinge le persone a fare clic su un link che non conoscono? Perché apriamo un allegato anche se non lo stavamo aspettando?
Nonostante tutti gli investimenti in tecnologie informatiche e di sicurezza, il fattore umano rappresenta ad oggi il principale elemento ad elevata criticità grazie al quale i cyber criminali riescono a mettere in atto tecniche elusive, per far prendere una decisione sbagliata agli utenti e progredire nel loro attacco, attraverso massicce campagne di phishing.
L’Internet Crime Report 2022 dell’FBI ha analizzato i dati di 800.944 crimini informatici segnalati e ha rilevato un forte aumento del numero di attacchi di phishing, passando dai 25.344 incidenti nel 2017 ai 300.497 nel 2022. Questo crimine informatico si conferma anche nel 2022 al primo posto per tipologia di attacco e ha fatto registrare un incremento delle perdite finanziarie pari al 49% in più rispetto all’anno precedente.
Leve psicologiche e phishing
Ci sono diversi elementi e leve psicologiche su cui i criminali informatici lavorano per creare le condizioni favorevoli ad un attacco di phishing, emotività, fiducia, stanchezza, curiosità e paura, sono solo alcuni degli elementi utilizzati. Fingersi autorevoli poi è un’altra tecnica molto diffusa per riuscire a “bucare” il sistema del destinatario. Analizziamo in dettaglio quali sono le tecniche psicologiche utilizzate dagli hacker per costruire i messaggi di phishing e mandare a segno una truffa online.
Fiducia
Un mittente conosciuto, un marchio con il quale abbiamo scambi commerciali: gli esempi sono molto diffusi ed è il motivo per cui e-mail false che sembrano provenire da brand famosi in tutto il mondo, soltanto perché l’aspetto grafico è simile, ad esempio spedizionieri o marketplace, sono molto più frequenti di altre. I malintenzionati sanno che possono dirottare la fiducia riposta negli altri.
Un’altra tecnica utilizzata frequentemente è la compromissione di account di persone conosciute e fidate in azienda, utilizzandoli per i loro scopi malevoli. Il motivo è molto semplice: se si riceve un’e-mail da un collega, le difese si abbassano ed è molto più probabile cliccare sui link contenuti all’interno.
Autorevolezza
Tendiamo a eseguire le istruzioni o gli ordini senza metterli in discussione se provengono da chi crediamo abbia più potere, responsabilità e prestigio, di noi. Questo bias cognitivo ci porta ad annullare temporaneamente le nostre opinioni o a ignorare le conseguenze dell’azione richiesta. L’effetto è che ci atteniamo, soprattutto per paura, alle richieste di una figura percepita come superiore.
Secondo il rapporto di Tessian Research Psychology of Human Error 2022, il 52% delle persone ha fatto clic su un’e-mail di phishing perché sembrava provenire da un alto dirigente dell’azienda.
Stanchezza
È venerdì pomeriggio e dopo una settimana di lavoro le operazioni vengono svolte in automatico, la soglia di attenzione si abbassa e valutare il contesto diventa più difficile.
Il rapporto di Tessian riferisce che nel 2021 la maggior parte degli attacchi di phishing è stata inviata tra le 14:00 e le 18:00, orario post-pranzo durante il quale è più probabile che i dipendenti siano stanchi o distratti.
Inoltre, un attacco sferrato prima del fine settimana offre un ulteriore vantaggio ai cyber criminali: in molte aziende i livelli di vigilanza sono più bassi nel weekend e gli attaccanti hanno più tempo a disposizione per sfruttare le vulnerabilità.
Emozione
I pensieri emotivi sono incredibilmente potenti, agiscono velocemente, sono facili da seguire e spesso forniscono una ricompensa immediata. I pensieri razionali invece richiedono un tempo maggiore e uno sforzo ad impegnarsi, e spesso ci portano a prendere decisioni migliori e più strategiche. Sono meccanismi che i criminali informatici conoscono bene, uno dei loro obiettivo diventa innescare risposte emotive.
In questo modo è più probabile che il destinatario dell’attacco prenda decisioni rapide, non basate su pensieri logici, e aumenti la probabilità che faccia di clic su un link proprio nel momento migliore.
Sei interessato ad una consulenza sulla Cyber Security?
Le altre leve preferite dagli attaccanti?
Avidità, curiosità, dolore e paura: queste emozioni, o un mix di queste emozioni, ci fa reagire quasi istintivamente.
Una tecnica di manipolazione ampiamente utilizzata anche in altri campi, come ad esempio nel marketing, consiste nel creare una situazione a carattere di emergenza e che richieda una risposta rapida.
Se questa tecnica fa leva sulla paura un’altra variante con un forte appeal gioca sull’avidità, come il vantaggio di essere tra i primi: “Solo le prime dieci persone riceveranno un premio”. La sensazione di perdere un’occasione unica può farci registrare su un form, acquistare su un sito o accettare una proposta senza indugiare troppo.
FOMO e Social Proof
La FOMO – Fear of Missing Out – è un’esperienza che tutte le persone hanno provato almeno una volta nella vita, anche saltuariamente, in cui la persona sperimenta emozioni negative al pensiero di non partecipare a esperienze piacevoli e gratificanti, soprattutto se supportata da una riprova sociale.
Tendiamo infatti a considerare più adeguata un’azione quando la fanno anche gli altri: quando le persone si trovano in dubbio o non sanno che scelta compiere cercano pareri e opinioni altrui per capire come comportarsi. Grandi manifestazioni o particolari ricorrenze, come gli acquisti durante il Black Friday o un gioco a premi durante il mondiale di calcio vengono sfruttate dagli attaccanti per indurre la vittima a fidarsi del contesto in cui viene proposta la truffa.
Un esempio recente proviene dalle attività di sorveglianza del Project Stadia dell’Interpol in occasione della Coppa del Mondo 2022 in Qatar, che hanno rilevato oltre 170 domini spacciati per proprietà online ufficiali della Coppa del Mondo, molti dei quali si sono rivelati siti web di phishing destinati a rubare i dati delle vittime.
Le persone come linea principale di difesa
È difficile ammettere di aver sbagliato e diventa ancora più complicato farlo dopo aver agito per fiducia ed essere stati ingannati. Un dipendente potrebbe essere restio a segnalare un incidente di phishing pur essendo consapevole che mettere al corrente l’azienda nel più breve tempo delineerebbe lo scenario migliore.
Avere dipendenti vittime di tentativi di phishing e non ricevere segnalazioni immediate è il modo in cui un evento informatico può trasformarsi in un incidente informatico su larga scala. Le aziende dovrebbero invece creare una cultura in cui la sicurezza informatica sia una responsabilità condivisa e promuovere un dialogo aperto al fine di aumentare la conoscenza e la consapevolezza sui rischi derivanti dalle minacce informatiche.
Sempre secondo Tessian, il 43% delle persone intervistate ha dichiarato di aver commesso un errore sul lavoro che ha avuto ripercussioni sulla sicurezza, mentre quasi la metà delle persone che lavorano in un settore tecnologico, il 47%, ha dichiarato di aver cliccato su un’e-mail di phishing al lavoro.
La maggior parte delle violazioni dei dati si verifica a causa di un errore umano e gli hacker, che ne sono ben consapevoli, sanno esattamente come manipolare le persone per portarle a commettere errori. Ecco perché il phishing ha tanto successo e oggi rappresenta il principale e più importante veicolo di minacce cyber.
Ambiente di lavoro: smart working e distrazioni
L’impatto dello smart working sullo stato psicologico delle persone è oggetto di studi recenti ma si può già affermare che nella maggior parte dei casi rende dipendenti e collaboratori maggiormente vulnerabili alle truffe, in quanto lavorano in un ambiente, casa propria, del quale hanno un’istintiva fiducia. Appunto questa fiducia potrebbe indurli a sottovalutare distrattamente le mail di phishing.
Il lavoro a distanza può portare a un mix pericoloso di stanchezza da videochiamata, mentalità “sempre attiva” e responsabilità domestiche come prendersi cura dei bambini. Il 57% degli intervistati da Tessian ha affermato di sentirsi più distratto quando lavora da casa.
Perché è un problema dal punto di vista della sicurezza informatica? La distrazione può compromettere le nostre capacità decisionali. Il 47% dei dipendenti intervistati ha infatti riportato la distrazione come motivo principale per essere caduti in una truffa di phishing.
Mentre molte persone tendono a essere più attente in un ufficio fisico, all’interno delle mura domestiche sono inclini a rilassarsi e ad abbassare la guardia, anche se stanno lavorando. Una condizione che gli hacker conoscono molto bene.
Stato di allerta e preoccupazione costante
Sarebbe estenuante per chiunque mantenere sempre alta la guardia: le truffe informatiche sono in continuo aumento ma preoccuparsi costantemente non risolverebbe il problema.
Una combinazione di consapevolezza e attenzione, oltre all’adozione di un corretto atteggiamento online possono fare una grande differenza: una volta comprese sia le tattiche che un hacker potrebbe usare sia i fattori psicologici a cui prestare attenzione come lo stress, le emozioni e le distrazioni, sarà più facile individuare una tentata truffa via e-mail.
Comprendere le motivazioni psicologiche del perché le persone cadano vittime di attacchi hacker, può aiutare le aziende a trovare modi per identificare le truffe online, formare il personale ed evitarle facilmente.
Scopri BeeCyber, Business Unit Infor specializzata in sicurezza informatica
BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.
Sei interessato ad una consulenza sulla Cyber Security e a capire come difenderti dal phishing?
Partecipa al nostro survey e scegli i contenuti più utili per difenderti dagli attacchi cyber
Stiamo creando i contenuti per i prossimi articoli: conoscere le tematiche di maggior interesse per IT Manager, CISO, CTO e CEO ci consentirà di affrontare argomenti utili per le figure che si occupano di cyber security in azienda. Compila subito il nostro survey.