Fattore umano | Blog Wadsl

Fattore umano

La percezione che tutti, privati e aziende, siano costantemente a rischio di cyberattacchi è ormai un concetto a cui siamo più che abituati.

Una frase che viene spesso citata dagli esperti è che l’essere umano costituisca l’anello più debole nella sicurezza informatica.

Ciò significa che le usuali misure di protezione, come dispositivi firewall, software antivirus, antispam, e così via, possano rivelarsi del tutto inefficaci se a questo non viene aggiunta un’adeguata formazione del personale.

Illustriamo questo concetto con esempi concreti.

Statisticamente, uno dei vettori d’attacco più efficaci è la posta elettronica.

Non ci si riferisce qui ai classici messaggi di spam, che sono tanto noiosi quanto innocui.

Esistono diverse varianti, per così dire, dello spam. Una di queste è definita spare phishing.

Spare phishing

Il phishing “semplice” consiste nel forgiare messaggi di posta elettronica che sembrano del tutto autentici, ma che in realtà nascondono una minaccia per l’utente finale.

Probabilmente ci sarà capitato di ricevere finti messaggi provenienti dalla nostra banca (o da una banca a noi del tutto ignara…!), da Poste Italiane, da Amazon, e così via. Il contenuto di queste email è studiato per fa sì che chi riceve il messaggio si senta esortato a compiere un’azione, come ad esempio saldare una fattura o controllare il tracking di un ordine che non è stato ancora ricevuto, tipicamente cliccando su un link.  Ed è proprio qui che si cade in trappola: il sito che si andrà ad aprire potrebbe condurre a vari effetti indesiderati, come il furto delle proprie credenziali di accesso o l’installazione di software malevoli.

Se questo non sembra abbastanza, una minaccia più evoluta è costituita dallo spare phishing. In questo caso l’attaccante non è interessato a colpire una massa di utenti. Il suo obiettivo è ben preciso: può trattarsi di un singolo individuo o di un’azienda specifica.

Studio della vittima

E’ richiesto un certo studio della vittima, al fine di creare un contenuto che si riveli il più possibile credibile.

Questo può significare addirittura creare una rete di contatti intorno alla vittima, ad esempio su un social network, per far sembrare meno sospetto l’approccio dell’attaccante.

Non si tratta di una strategia puramente informatica: c’è una consistente dose di psicologia dietro lo spare phishing.

Da un punto di vista neurocognitivo, il cervello degli esseri umani ha, per così dire, due modalità di funzionamento.

Una modalità istintiva, adatta a rispondere in tempi rapidi agli eventi, quali potrebbero essere sensazioni di urgenza, e una modalità più analitica, che invece presuppone un’attenzione maggiore alla realtà che ci si presenta.

Stato mentale confortevole

L’assunto di base è che gli esseri umani, in contesti di pericolo o incertezza, sono portati ad assumere un atteggiamento analitico, sospettoso, nei confronti della realtà.

Per contro, in situazioni che ci appaiono abitudinarie, siamo portati ad avere un’attenzione minore. Siamo per così dire rilassati, e agiamo in automatico.

Ed è proprio su questo che si basa l’efficacia delle tecniche di spare phishing: porre la vittima in un stato mentale confortevole.

Un’email scritta in una lingua diversa dalla nostra, o con toni allarmanti, farebbe scattare una chiara reazione di sospetto, ed è decisamente bassa la probabilità che un utente mediamente esperto cada nella trappola.

Ma un messaggio proveniente da un nostro collega, o da un presunto staff tecnico della nostra azienda che ci informa della necessità di cambiare la nostra password in quanto scaduta, risulterebbe sicuramente più attendibile.

L’importanza del fattore umano

Le organizzazioni strutturate e coscienziose sanno che è indispensabile dedicare un budget alla sicurezza della propria infrastruttura.

Purtroppo,  non è sufficiente rispondere a questa esigenza semplicemente acquistando licenze e prodotti software. E’ necessario che il personale sia preparato a riconoscere un evento sospetto.

Tutti devono sentirsi responsabilizzati in quanto operatori di sicurezza all’interno del proprio team.

E’ necessario, insomma, investire anche su un’altra fondamentale risorsa: gli esseri umani.

fattore_umano