Perché le persone cliccano su link pericolosi? È una domanda che ci si pone da quando esistono i link.
Pensiamo ai criminali informatici come se fossero seduti in cantina, complottando per prendere il controllo della tecnologia, superando il firewall, ma in realtà il problema è tutto umano. La tecnologia è abbastanza efficace nel resistere agli attacchi, e per questo gli attaccanti prendono di mira il punto più vulnerabile: l’utente. Secondo analisi Proofpoint il 94% dei cyber attacchi inizia via e-mail e oltre il 99% richiede un’interazione umana per attivarli e abilitarli.
Invece di analizzare esempi di e-mail di phishing relative a patrimoni oltreoceano, cancellazioni dell’account Netflix e spedizioni in ritardo, dovremmo guardare più in profondità, alla scienza e alla psicologia di questi attacchi per capire perché, nonostante tutti gli investimenti su formazione e consapevolezza, siano ancora efficaci.
Indice degli argomenti
Le motivazioni degli attaccanti
Per capire come i cyber criminali cercano di raggiungere il loro obiettivo, è utile prima analizzare come vengono sfruttate le persone. Ci sono tre modi principali in cui gli attaccanti cercano di ottenere un vantaggio dall’utente: facendogli eseguire il loro codice, incoraggiandolo a consegnare le credenziali o semplicemente convincendolo al trasferimento diretto di denaro o dati.
Come vengono sfruttate le persone.
C’è una recente tendenza a rendere gli attacchi più complessi, nel tentativo di mettere distanza tra l’e-mail iniziale e il malware, per cercare di aggirarne il rilevamento, ma questi attacchi hanno ancora bisogno di interazione umana. L’utente è la chiave per cui la stragrande maggioranza dei cyber attacchi avrà successo o fallirà. L’obiettivo è la persona.
Come gli attaccanti convincono le persone a cliccare
I cyber criminali desiderano che il personale dimentichi la formazione ricevuta sulla consapevolezza della sicurezza e prenda una decisione sbagliata che permetterà di progredire nel loro attacco – per eseguire un codice, consegnare le credenziali, o pagare una fattura fraudolenta.
Ci sono tre elementi su cui fanno leva per creare questa condizione: emozione, fiducia e stanchezza. Analizziamoli partendo dal fondo.
Stanchezza
Chiedete a qualsiasi Chief Information Security Officer (CISO): un’alta percentuale di cyberattacchi si verifica il venerdì pomeriggio. Questo perché qualsiasi violazione di successo darà agli attaccanti l’intero fine settimana per sfruttare il loro accesso, mentre l’azienda colpita avrà probabilmente un livello di vigilanza inferiore.
È anche vero, però, che gli utenti sono più propensi a fare una scelta sbagliata quando sono affaticati, e quale momento migliore per prenderli di mira se non la fine del venerdì, dopo una dura settimana di lavoro. Perché? Perché quando il cervello è stanco, delega quelle che sembrano scelte semplici a funzioni cerebrali più basse e automatizzate. È il motivo per cui si riesce ancora a guidare l’auto fino a casa alla fine di una giornata frenetica.
Dopo aver letto milioni di e-mail, la vostra amigdala, conosciuta anche come “cervello rettiliano”, può entrare in gioco a questo punto e gestire la vostra reazione; ad esempio – arriva l’e-mail, contiene un allegato, lo apro per vedere il messaggio, boom! Il problema è che l’amigdala non è efficace nel valutare il contesto – fondamentale per identificare un’e-mail pericolosa – e fornisce una reazione “in tempo reale” e non un supporto analitico.
Un altro aspetto della stanchezza è l’effetto “sopraffazione”. Se l’attaccante sa che la sua azione farà scattare un allarme – perché non innescare inizialmente diecimila falsi allarmi, fino a quando il bersaglio verrà sopraffatto e desensibilizzato, e poi condurre il vero attacco.
Fiducia
La seconda leva è la fiducia. Di fronte a una serie di scelte, la fiducia è un’altra scorciatoia usata dal nostro cervello per prendere decisioni rapide. Se vediamo un’associazione a un determinato marchio o persona di cui ci fidiamo, la comunicazione acquisisce più credibilità e la soglia richiesta per farci cliccare o interagire si abbassa.
Gli esempi sono molto diffusi ed è il motivo per cui e-mail false che sembrano provenire da DHL e Amazon sono molto più frequenti di altre consegne o negozi online ed è anche il motivo per cui ai malintenzionati piace dirottare la fiducia riposta negli altri – compromettendo gli account di persone conosciute e fidate in azienda, utilizzandoli per i loro scopi malevoli. Se si riceve un’e-mail da un collega, è molto più probabile cliccare sul link che se arrivasse da uno sconosciuto esterno.
La stessa fiducia viene sfruttata anche per posizionare il malware. Una ricerca Proofpoint mostra che gli utenti sono quattro volte più propensi a cliccare sui link pericolosi se conducono a Microsoft SharePoint, e dieci volte più propensi se puntano a Microsoft OneDrive.
Questo conferma che gli aggressori sanno che le persone controllano la destinazione dei link per determinare se aprirli, e sono in grado di incoraggiare quel clic mettendo il loro malware in una posizione percepita come “affidabile”.
Emozione
Tutti sappiamo che non dovremmo mangiare quel biscotto in più, saltare l’esercizio fisico o fumare quella sigaretta, eppure così spesso facciamo esattamente questo. Perché? La nostra testa è in lotta costante tra due opzioni concorrenti.
Nel libro “Thinking Fast and Slow”, Daniel Kahneman descrive due sistemi separati di pensiero – il primo, il processo emotivo e intuitivo, e il secondo, più lento della logica razionale.
I pensieri emotivi sono incredibilmente potenti, sono veloci ad agire, facili da seguire e spesso forniscono una ricompensa immediata (sto pensando di nuovo a quel biscotto). I pensieri razionali richiedono tempo e sforzo per impegnarsi, e spesso ci portano a prendere decisioni migliori e più strategiche (dite addio al biscotto).
I criminali informatici lo sanno bene, quindi si prefiggono attivamente di innescare risposte emotive. In questo modo l’obiettivo prenderà decisioni rapide, bypassando i pensieri razionali, e aumentando così la probabilità di cliccare su un link nel momento migliore.
La stragrande maggioranza di queste risposte emotive è destinata a essere “veloce”, alcuni esempi sono elencati di seguito. Dichiarano che “il tuo pacco sta per essere restituito al deposito”, “il tuo account Netflix sta per essere sospeso”, o “le tue spese sono state respinte” per innescare quella rapida risposta emotiva, in cui il cervello razionale non è invitato a contribuire. Questo è il motivo per cui la gente clicca.
Vengono utilizzate anche tecniche più lente per far leva sulle emozioni, ma in misura molto minore, poiché richiedono molto più sforzo e investimento di tempo. Questi tipi di attacchi sono comunemente visti come “truffe romantiche” e attacchi di sextortion.
Come preparare il personale ad affrontare un attacco
Come abbiamo visto, gli aggressori mirano specificamente alle emozioni per saltare il ragionamento più elevato, che è la parte del vostro cervello tipicamente usata per pensare alle cose.
Ricordiamo che le aree inferiori e meno razionali della mente prendono il sopravvento quando la mente logica è stanca o distratta. Quindi, parliamone con il nostro team. Facciamo loro riconoscere che se stanno leggendo un’e-mail che suscita una risposta emotiva, dovrebbero essere immediatamente diffidenti e, più forte è la spinta, più attenti e riflessivi dovrebbero essere. Rendiamoli consapevoli che è un comportamento probabilmente molto più difficile quando sono stanchi o sopraffatti, quindi di stare all’erta in quei momenti.
Spingiamo anche per creare un modello basato su “fidatevi, ma verificate attraverso un altro canale” ogni volta che un membro dello staff rileva un qualsiasi segnale di sospetto su una comunicazione.
Conclusione
È importante ricordare che il crimine informatico è un crimine a tutti gli effetti, con persone che derubano altre persone. Concentrandosi sulle persone come linea principale di difesa – ricordando che gli aggressori mirano all’essere umano e non alla tecnologia – si può proteggere meglio l’azienda.
Ogni utente ha il potere: può scegliere di non lasciare che l’attaccante manipoli le sue emozioni e abusi della sua fiducia – ma solo se sa cosa monitorare.
Essere prudenti, consapevoli e riflessivi mentre leggiamo le e-mail, cercando i trigger emotivi e avendo una mentalità “fidati, ma verifica”, può andare molto lontano nell’aiutare a prevenire quei clic indesiderati.