Abbiamo la classica immagine dei cybercriminali, impegnati a superare il firewall di un’azienda. In realtà il loro obiettivo sono sempre più spesso le persone. La tecnologia è abbastanza efficace nel resistere agli attacchi, le persone lo sono molto meno. Secondo analisi Proofpoint il 94% dei cyberattacchi inizia via e-mail, e oltre il 99% richiede un’interazione umana per attivarli e abilitarli.
Dovremmo guardare più in profondità, alla scienza e alla psicologia di questi attacchi per capire perché, nonostante tutti gli investimenti su formazione e consapevolezza, siano ancora efficaci. Ci sono tre modi principali in cui gli attaccanti cercano di ottenere un vantaggio dall’utente: facendogli eseguire il loro codice, incoraggiandolo a consegnare le credenziali, o semplicemente convincendolo al trasferimento diretto di denaro o dati.
Come? Facendo leva su emozione, fiducia e stanchezza. Analizziamoli uno per uno.
1 – Stanchezza
Chiedete a qualsiasi Chief Information Security Officer (CISO): un’alta percentuale di cyberattacchi si verifica il venerdì pomeriggio. Questo perché qualsiasi violazione di successo darà agli attaccanti l’intero fine settimana per sfruttare l’accesso, ma anche perché gli utenti sono più propensi a fare una scelta sbagliata quando sono affaticati. Quando il cervello è stanco, delega quelle che sembrano scelte semplici a funzioni cerebrali più basse e automatizzate. C’è poi l’effetto ‘sopraffazione’. Se l’attaccante sa che la sua azione farà scattare un allarme – perché non innescare inizialmente diecimila falsi allarmi, fino a quando il bersaglio verrà sopraffatto e desensibilizzato, e poi condurre il vero attacco.
2 – Fiducia
La seconda leva è la fiducia. Di fronte a una serie di scelte, la fiducia è un’altra scorciatoia usata dal nostro cervello per prendere decisioni rapide. Se vediamo un’associazione a un determinato marchio o persona di cui ci fidiamo, la comunicazione acquisisce più credibilità e la soglia richiesta per farci cliccare o interagire si abbassa.
La stessa fiducia viene sfruttata anche per posizionare il malware. Una ricerca Proofpoint mostra che gli utenti sono quattro volte più propensi a cliccare sui link pericolosi se conducono a Microsoft SharePoint, e dieci volte più propensi se puntano a Microsoft OneDrive. Questo conferma che gli aggressori sanno che le persone controllano la destinazione dei link per determinare se aprirli, e sono in grado di incoraggiare quel clic mettendo il loro malware in una posizione percepita come “affidabile”.
Infine, l’aspetto più importante…
3 – Emozione
I pensieri emotivi sono incredibilmente potenti, veloci ad agire, facili da seguire e spesso forniscono una ricompensa immediata. I pensieri razionali richiedono tempo e sforzo per impegnarsi, e spesso ci portano a prendere decisioni migliori e più strategiche.
I criminali informatici lo sanno bene, quindi si prefiggono attivamente di innescare risposte emotive. In questo modo l’obiettivo prenderà decisioni rapide, bypassando i pensieri razionali, e aumentando così la probabilità di cliccare su un link nel momento migliore.
Concludendo…
È importante ricordare che il crimine informatico è un crimine a tutti gli effetti, con persone che derubano altre persone. Concentrandosi sugli individui come linea principale di difesa si può proteggere meglio l’azienda.
Ogni utente ha il potere, può scegliere di non lasciare che l’attaccante manipoli le sue emozioni e abusi della sua fiducia – ma solo se sa cosa monitorare. Essere prudenti, consapevoli e riflessivi mentre leggono le e-mail, cercando i trigger emotivi e avendo una mentalità ‘fidati, ma verifica’, può andare molto lontano nell’aiutare a prevenire quei clic indesiderati.
