Lo spear phishing e la sua psicologia

24 Gen 2019

Quando parliamo di vulnerabilità, normalmente facciamo riferimento a errori di programmazione o a punti deboli nei sistemi. Tuttavia, ci sono altre vulnerabilità che risiedono nella mente della potenziale vittima.

Non si tratta di poca conoscenza o di poca attenzione alle regole basiche della cybersecurity, abbiamo più o meno chiaro il modo in cui affrontare questo genere di situazioni. A volte, invece, il cervello dell’utente funziona in un modo un po’ diverso rispetto a come vorrebbero i guru della sicurezza IT, soprattutto quando si lasciano trarre in inganno dalle tecniche di ingegneria sociale.

L’ingegneria sociale si avvale della sociologia e della psicologia per elaborare delle tecniche, grazie alle quali si crea un ambiente che porta a un risultato predeterminato. I cybercriminali fanno leva sulle paure delle persone, sulle loro emozioni e sui riflessi per ottenere accesso a informazioni da utilizzare per i propri scopi. E questa sorta di “scienza” viene ampiamente applicata nella maggior parte degli attacchi mirati moderni.

Gli scammer giocano con i sentimenti di:

  • Curiosità;
  • Pietà;
  • Paura;
  • Cupidigia

Usare il termine vulnerabilità in questo senso non è corretto, in quanto si tratta semplicemente di emozioni umane del tutto naturali. Forse sarebbe meglio propendere per l’espressione “canali di influenza”, che i cybercriminali sfruttano per raggirare le vittime in modo tale che il loro cervello prenda decisioni in automatico, senza passare attraverso un ragionamento critico. E per raggiungere questo punto, i cybercriminali hanno diversi trucchi da sfruttare.

Rispetto per l’autorità

Si tratta di uno dei cosiddetti bias cognitivi, modelli sistematici di deviazione del comportamento, della percezione e del pensiero ed è radicato nella tendenza a obbedire senza discutere a coloro che hanno un certo grado di esperienza o di potere, mettendo da parte la capacità di giudizio personale riguardo l’efficacia o la necessità di compiere quella determinata azione.

Entrando nel campo pratico, un esempio di questo tipo potrebbe essere un’e-mail di phishing che sembra provenire dal vostro capo. Ovviamente se in questa e-mail vi viene chiesto di riprendervi mentre state facendo twerking e di mandarlo poi a dieci amici, ci pensereste due volte. Ma se il vostro supervisore vi chiede di leggere dei documenti riguardo un nuovo progetto, sarete molto più ben disposti ad aprire l’allegato.

Poco tempo a disposizione

Una delle tecniche di manipolazione psicologica più utilizzate consiste nel creare una sensazione di urgenza. Quando si prende una decisione razionale e informata, di solito è bene analizzare in dettaglio le informazioni più importanti a disposizione e, per fare ciò, bisogna prendersi del tempo. E gli scammer privano le proprie vittime del tempo.

Queste persone manipolatrici non fanno altro che generare timore (con frasi del tipo “Abbiamo registrato un tentativo di accesso al tuo account. Se sei stato tu, clicca immediatamente qui”), oppure puntano sul desiderio di risparmiare o di fare soldi facili (“I primi 10 che cliccheranno su questo link otterranno questo sconto, affrettati”). E quando ci si rende conto che il tempo scorre, è più facile soccombere all’istinto, prendendo una decisione dettata dalle emozioni.

Tutti i messaggi che enfatizzano il proprio carattere di urgenza o importanza rientrano in questa categoria. Le parole più importanti sulle quali puntano i cybercriminali sono spesso evidenziate in rosso, il colore della paura, per aumentare l’effetto che vogliono provocare.

Automatismi

In psicologia, per automatismi si intendono quelle azioni prese senza il coinvolgimento diretto della coscienza né della volontà. Gli automatismi possono essere di tipo primario (innati, non pensati) o secondari (a cui non si pensa più perché sono passati per il filtro della consapevolezza). Inoltre, gli automatismi vengono classificati in motori, mentali e di linguaggio.

I cybercriminali vogliono far scattare gli automatismi inviando messaggi che possono provocare una risposta automatica nei destinatari, ad esempio “Invio dell’e-mail non riuscito, clicca qui per riprovare a inviarlo”, oppure seccanti newsletter con un mega tasto che invita a annullare l’iscrizione o false notifiche di fantomatici nuovi commenti sui social network. In questi casi la reazione è dettata da automatismi mentali e motori.

Rivelazioni inaspettate

Si tratta di un altro tipo di manipolazione molto comune: sfrutta l’idea che un’onesta ammissione di colpa venga percepita come meno grave se scoperta in maniera indipendente.

Facciamo un esempio, un messaggio del tipo: “Ci rincresce informarla che siamo stati oggetto di una fuga di dati, in concreto di password. Per verificare se lei risulta tra gli interessati, clicchi qui”.

Cosa si può fare?

Le distorsioni della percezione, che purtroppo giocano a favore dei cybercriminali, sono biologiche; sono comparse nel corso dell’evoluzione del nostro cervello per poter adattarci al mondo risparmiando tempo ed energie. In gran parte, le distorsioni emergono per via di una mancanza di capacità di riflessione critica, e molti adattamenti non sono più idonei per le realtà moderne. Ma niente paura, possiamo contrastare le manipolazioni conoscendo un po’ meglio la psiche umana e seguendo pochi, semplici consigli:

  1. Di regola, leggete sempre con occhi critico i messaggi che arrivano da un superiore. Perché il vostro capo vi sta chiedendo di aprire un documento protetto da una password e vi manda la password nella stessa e-mail? Perché un manager con accesso al conto vi chiede di effettuare un bonifico a un nuovo partner? Perché vi assegnano un compito via e-mail che normalmente non vi spetta invece di avvisarvi per telefono come al solito? Se c’è qualcosa che non vi torna, cercate di ottenere chiarimenti mediante un altro canale di comunicazione;
  1. Quando ricevete un messaggio che richiede un’azione urgente, meglio non fare nulla nell’immediato. Cercate di mantenere i nervi saldi, anche se il contenuto del messaggio vi preoccupa. Verificate il mittente, il dominio e il link prima di cliccare su qualsiasi contenuto del messaggio. E se avete ancora dubbi, contattate il dipartimento IT della vostra azienda;
  1. Se pensate di avere la tendenza a rispondere in automatico a certi tipi di messaggi, cercate di analizzare la sequenza di azioni che siete soliti compiere. Questo momento di riflessione vi aiuterà a rendere meno automatizzata la vostra reazione, attivando la consapevolezza delle vostre azioni al momento giusto;
  1. Ricordate i consigli che vi abbiamo dato altre volte che riguardano il phishing, presenti in questi post:
  1. Avvaletevi di soluzioni di sicurezza che dispongano di tecnologie anti-phishing affidabili. In questo modo, la maggior parte dei tentativi dei cybercriminali di entrare nella rete aziendale, non saranno altro che un buco nell’acqua.