Gli attacchi di phishing si basano sulla manipolazione del comportamento umano tanto quanto sulla tecnologia. Questa affermazione racchiude il motivo per cui è così difficile prevenire le campagne di phishing che portano a ransomware, credenziali rubate e altri attacchi informatici.

Negli anni ’70 esisteva una campagna per la guida in stato di ebbrezza con lo slogan “Pensa, prima di bere, prima di guidare”. Si trattava di una campagna efficace, che ha contribuito a ridurre gli incidenti di guida legati all’alcol nel Regno Unito. Far sì che le persone “pensino” prima di agire non è così facile come sembra. Infatti, le campagne di phishing si basano sul fatto che le persone non pensano e non reagiscono in modo impulsivo a un’e-mail. Il phishing è una cosa seria e un recente rapporto ha rilevato che il 95% dei responsabili IT ritiene che i dati siano a rischio attraverso il canale delle e-mail.  

Quindi, come può un’azienda media sperare di avere lo stesso successo della campagna di guida in stato di ebbrezza degli anni ’70 quando si tratta di contrastare gli assi nella manica di un criminale informatico?

Attacchi di phishing e comportamento umano

Questa difficoltà nella prevenzione si riflette nel successo degli attacchi di phishing: Nel 2019, prima della pandemia, le statistiche sul phishing erano spaventose: la compagnia assicurativa Beazley ha rilevato un aumento del 105% degli attacchi ransomware nel primo trimestre del 2019. Ma nel 2020 gli attacchi di phishing sono andati fuori scala. L’FBI ha pubblicato un rapporto che mostra come il phishing sia di gran lunga il crimine più diffuso tra quelli segnalati alla sua sezione reclami, IC3. Una delle forze trainanti del successo del phishing negli ultimi 12 mesi è stata la pandemia di Covid-19, che ha offerto ai phisher numerose opportunità per sfruttare il comportamento umano: lo dimostra l’incredibile aumento del 30.000% delle minacce basate su Covid-19 nel 2020; la maggior parte di questi attacchi ha utilizzato siti web dannosi ed e-mail di phishing.

Il phishing (e le sue varianti, Vishing/Smishing/Pharming) è un vettore di attacco molto diffuso perché la tecnica funziona. Funziona perché sfrutta il naturale comportamento umano per compiere un’azione che avvantaggia il criminale informatico dietro l’attacco. Riuscire a manipolare una persona legittima per farle compiere un’azione illegittima è il tratto distintivo della truffa, anche prima dell’avvento delle moderne tecnologie. Ma la tecnologia può ingannare anche gli utenti più esperti, poiché i modelli di utilizzo della tecnologia diventano “codificati” man mano che si acquisisce familiarità con un sistema.  

L’e-mail, ad esempio, è una tecnologia quotidiana che usiamo continuamente. Nel 2020 sono state inviate e ricevute 306,4 milioni di e-mail al giorno. Aprire un’e-mail e cliccare su un link è quasi una seconda natura, un comportamento istintivo per un’attività regolare. È su questa ripetitività, e sulla mancanza di riflessione necessaria all’azione, che si concentra il phisher.

5 Caratteristiche tipiche del phishing

Gli attacchi di phishing vogliono catturare le persone prima che ci pensino troppo. Per farlo, le campagne devono garantire il rispetto di determinati criteri e l’ottimizzazione delle circostanze:

  1. Fonte attendibile: Un modo per eliminare il processo di pensiero è quello di far sentire il destinatario dell’email al sicuro. Le campagne di phishing sono tipicamente mascherate da marchi famosi. In un’analisi dei marchi utilizzati dai phisher, Microsoft risulta essere uno dei marchi preferiti dai phisher. Tra gli altri marchi parodiati ci sono Netflix e PayPal.
  2. Il fascino del click: Sebbene il 79% delle persone dichiari di essere in grado di riconoscere un’e-mail di phishing, quasi la metà continuerà a cliccare su un link contenuto in un’e-mail sospetta. Le ragioni di questo comportamento sono probabilmente da ricercare nell’addestramento implicito che tutti noi abbiamo ricevuto all’uso di contenuti pronti per internet. Cliccare è quasi una risposta pavloviana quando un’e-mail contiene un link. I designer dell’esperienza utente (UX) hanno utilizzato questo tipo di condizionamento per aiutare le persone a utilizzare la tecnologia in modo più semplice; i criminali informatici utilizzano la stessa manipolazione psicologica per indurci a cliccare su un link di phishing per avviare la fase successiva del phish.
  3. Guida in base al compito: Mantenere l’email focalizzata su un compito semplice aiuta a rimuovere il processo di pensiero. I compiti ripetitivi e riconosciuti, come la reimpostazione della password, sono i preferiti dai phisher. In questo modo è possibile fare quel “clic” così importante senza pensare troppo alle possibili conseguenze. Se il compito è legato al lavoro, è più probabile che il click venga fatto e che l’evento di phishing abbia inizio.
  4. L’urgenza: Spesso le e-mail di phishing contengono una sorta di motivazione che spinge a cliccare automaticamente. Questi fattori sono spesso la minaccia di una disciplina o la preoccupazione per un’azione, come il pagamento di una bolletta. Alcune campagne di phishing sono altamente mirate (Spear phishing). Queste campagne spesso impersonano un amministratore delegato; il finto amministratore delegato invia poi un’e-mail all’ufficio contabilità con la richiesta urgente di trasferire denaro su un conto bancario. Il conto è, ovviamente, di proprietà del truffatore.   
  5. Sovraccarico di lavoro: Uno studio sugli ospedali presi di mira dalle campagne di phishing ha concluso che il personale sovraccarico di lavoro è più propenso a cliccare su un link di phishing. Se non hai tempo per pensare, ti verrà spontaneo rispondere automaticamente.

Una nota sugli attacchi di spear phishing. Questo tipo di phishing richiede un livello di ricognizione più profondo per inviare al bersaglio email di phishing più convincenti. Questo livello di dettaglio rende le email di spear phishing ancora più difficili da individuare per i dipendenti. Di conseguenza, gli attacchi di email di spear phishing sono aumentati del 667% durante la pandemia di Covid-19.

Come fare in modo che un dipendente clicchi su un link di phishing

I criminali informatici sono abili nel creare le condizioni per il successo di una campagna di phishing. Utilizzano tutti i trucchi per indurre l’utente a cliccare, come ad esempio marchi di fiducia spoofati, per rendere l’utente una facile esca. Un esempio di ciò è stato uno stratagemma di phishing di Office 365 nel 2020. Aveva tutti gli elementi per manipolare gli utenti e indurli a cliccare prima di pensare:

  • Sono state inviate ai dipendenti delle e-mail contraffatte che sembravano Microsoft Office 365. 
  • L’e-mail aveva il titolo “Formazione COVID-19 per i dipendenti: Un certificato per gli ambienti di lavoro salubri“. I dipendenti sono stati incoraggiati ad attivare l’e-mail per motivi di lavoro.
  • Ai destinatari dell’email è stato chiesto di cliccare su un link che li ha portati a una pagina di login di Office 365 di fantasia: la pagina sembrava identica a quella di Office 365 reale.
  • All’utente veniva richiesto di inserire le proprie credenziali di Office 365 per accedere e ricevere il certificato. Se lo faceva, quelle credenziali venivano rubate e poi utilizzate per accedere al vero portale di Office 365.

Come impedire a un dipendente di cliccare su un link di phishing

Prevenire un comportamento hard-coded richiede una formazione specialistica di sensibilizzazione. I tecnologi hanno progettato i sistemi per essere facili da usare e per rendere il clic un’azione semplice, ma questa risposta automatica al clic deve essere interrotta per evitare il successo del phishing. Fornendo un test di phishing controllato e ben congegnato, un’organizzazione può contribuire a modificare il comportamento da cui dipendono i criminali informatici. I test di phishing simulati creano un ambiente sicuro per addestrare gli utenti sui sottili modi in cui i phisher manipolano il loro comportamento, in modo che possano stare attenti a questi trucchi. Nell’ambito di un più ampio programma di sensibilizzazione alla sicurezza, la simulazione di phishing è efficace nel prevenire il successo del phishing che porta al furto di credenziali, all’esposizione dei dati e all’infezione da ransomware.  

La guida definitiva al phishing