Il perché del successo del phishing e delle e-mail fraudolente

Un noto effetto psicologico spiega il successo del phishing.

I cybercriminali hanno usato a lungo la psicologia come strumento d’inganno. Ma possiamo anche utilizzare i fenomeni psicologici per spiegare perché alcuni metodi dei cybercriminali funzionano e per contribuire a definire la giusta strategia di protezione. Molti psicologi analizzano le tecniche di attacco e le ragioni della loro efficacia. Oggi esaminiamo un’ipotesi che tenta di spiegare perché, nonostante la potenza delle tecnologie antiphishing, le trappole via posta elettronica continuano a mietere vittime e a causare danni significativi. E, cosa più importante, vedremo cosa fare al riguardo.

Le misure antispam e antiphishing sono componenti chiave della sicurezza online di ogni azienda. Durante le indagini sugli incidenti di sicurezza informatica, i nostri esperti in cybersicurezza generalmente scoprono che il problema parte da un’e-mail, indipendentemente dal fatto che si tratti di un messaggio inviato a destinatari in massa o di un attacco mirato. Oggigiorno, i filtri della posta elettronica possono identificare le tipiche e-mail di phishing con un alto grado di sicurezza, ma a volte i cybercriminali riescono ancora a farla franca (ad esempio, hackerando la casella di posta di un partner) e a consegnare il messaggio a una vittima “umana”, che è sempre l’anello più debole. E quanto più efficaci sono i filtri, maggiori sono le possibilità che il messaggio inganni l’utente.

L’esperimento

L’esistenza di una correlazione diretta tra la frequenza delle e-mail dannose e la loro identificazione da parte degli utenti è stata ipotizzata da due ricercatori statunitensi,  Ben D. Sawyer del Massachusetts Institute of Technology e Peter A. Hancock della University of Central Florida. Hanno basato la loro teoria sull “effetto di prevalenza“, molto noto in psicologia, secondo il quale essenzialmente una persona ha più probabilità di farsi sfugigire (o di non rilevare) un segnale meno comune rispetto a un segnale che si verifica con maggiore frequenza.

I ricercatori hanno deciso di testarlo all’atto pratico conducendo un esperimento in cui ai partecipanti sono state inviate delle e-mail, alcune delle quali contenevano allegati dannosi. La percentuale di e-mail dannose variava per ogni partecipante: per alcuni, solo l’1% conteneva un malware nell’allegato, per altri il 5% o il 20%. Il risultato ha confermato l’ipotesi,, ovvero quanto meno si verifica una minaccia, più è difficile per le persone individuarla. Inoltre, la dipendenza non è nemmeno lineare, ma più vicina alla logaritmica.

Va notato che per l’esperimento delle e-mail dannose è stato impiegato un campione piuttosto ristretto (33 soggetti) e tutti i partecipanti erano studenti, quindi sarebbe prematuro accettare ciecamente questa conclusione. In ogni caso, in psicologia l’effetto di prevalenza è una teoria dimostrata, quindi perché non dovrebbe applicarsi alle e-mail di phishing? Sawyer e Hancock promettono di affinare la loro ipotesi sottoponendola a test più approfonditi.

I ricercatori hanno suggerito una possibile spiegazione del fenomeno che implica una crescente fiducia nella sicurezza del sistema. In sostanza, suggeriscono che le tecnologie antiphishing proteggono gli utenti dalle minacce delle e-mail dannose ma contemporaneamente li rendono meno vigili. Tra l’altro, i ricercatori postulano anche che i criminali informatici potrebbero essere a conoscenza dell’effetto e quindi inviare deliberatamente malware con minore frequenza.

Conclusioni pratiche

Come potete immaginare, non siamo a favore di abbandonare i sistemi di sicurezza automatizzati. Tuttavia, se l’ipotesi di Sawyer e Hancock è corretta, è possibile che gli utenti possano trovare occasionalmente un’e-mail di phishing. Non autentica, naturalmente.

Kaspersky Automated Security Awareness Platform, la nostra soluzione di sicurezza per la formazione sulla sicurezza informatica rivolta a dipendenti di aziende di tutte le dimensioni, consente di verificare periodicamente l’efficienza con cui vengano acquisite le competenze per evitare e-mail dannose. Come parte di questa verifica, ricevono e-mail di phishing simulate e devono rispondere correttamente. Questo esercizio aiuterà a mantenere vigili i dipendenti, affinché non dimentichino com’è fatta una e-mail di phishing.

Anche se alla fine la teoria non venisse confermata, queste e-mail non faranno male a nessuno. O per lo meno, il responsabile della formazione saprà chi sono gli anelli più deboli.

Consigli