Convincere qualcuno a fare clic su un link dannoso in un’email e a inserire informazioni private come una password è l’abilità più importante nei toolkit di molti hacker.
di Patrick Howell O’Neill
Il phishing è la forma più comune di attacco informatico e continua ad espandersi. La ragione per cui è così efficace, secondo le ricerche condotte da Google e dall’Università della Florida, è che sfrutta il modo in cui funziona il cervello umano.
Le persone non riescono a rilevare l’inganno, a causa di elementi come l’intelligenza emotiva, la motivazione cognitiva, l’umore, gli ormoni e persino la personalità della vittima.
“Siamo tutti esposti al phishing perché questo tipo di truffa agisce sul modo in cui il nostro cervello prende le decisioni”, ha spiegato Daniela Oliveira, professore associato presso l’Università della Florida, alla Black Hat Conference sulla sicurezza informatica tenuta a Las Vegas il 7 agosto 2019.
I problemi iniziano con la consapevolezza: il 45 per cento degli utenti di Internet non sa nemmeno cosa sia il phishing, secondo Oliveira e il ricercatore di Google Elie Bursztein.
Anche lo stato d’animo gioca un suo ruolo. Chi si sente felice o rilassato ha meno probabilità di scoprire l’inganno. Il cortisolo, un ormone dello stress, aumenta la vigilanza e rende più probabile rendersi conto di quanto sta accadendo.
La serotonina e la dopamina, ormoni associati a sentimenti positivi, possono portare a comportamenti rischiosi e imprevedibili che rendono le persone più vulnerabili.
I truffatori possono essere eccezionalmente bravi a elaborare messaggi volti a convincere una persona a fare clic. L’autorità è tra le armi più comuni ed efficaci, per esempio un’e-mail che afferma di provenire dal CEO dell’azienda e chiede a un dipendente di fornire alcune informazioni facendo clic su un collegamento.
Altri strumenti includono una possibilità di guadagno, per esempio un’opportunità di rimborso da Amazon.
Alcune delle e-mail di phishing più sfruttate sono quelle che giocano sulle emozioni. Dopo gli incendi devastanti e da record della California nel 2018, Google ha visto un’ondata immediata di email che chiedevano soldi per aiutare le vittime.
Gli aspetti emotivi, come le promesse di destinare le donazioni alle persone rimaste senza casa, hanno compromesso la capacità dei destinatari di concentrarsi sul contenuto e sugli indizi che potevano aiutare a scoprire l’inganno.
Innescando questa risposta emotiva, gli hacker hanno indotto le persone ad abbassare le difese. Ciò non significa che l’unica difesa contro il phishing sia quella di essere perennemente stressati o diffidenti.
La strada più semplice è abilitare l’autenticazione a due fattori per ciascuno degli accessi importanti (e-mail, servizi bancari online, social media, siti di shopping).
Se abilitato, il sistema chiede qualcosa in aggiunta a una password quando si accede, come un codice inviato al telefono dell’utente tramite messaggio di testo, un codice da un’app di autenticazione o una chiave di sicurezza fisica su una chiavetta USB (il metodo più sicuro di tutti, secondo una recente ricerca).
In questo modo, se si è fornita inavvertitamente la password a un hacker, chi ha ordito la truffa non sarà in grado di violare l’account. L’anno scorso, Google ha affermato che meno del 10 per cento dei suoi utenti aveva l’autenticazione a due fattori abilitata sui propri account.
(rp)
