Redazione RHC : 22 Maggio 2021 10:00
Secondo un nuovo rapporto di Security Advisor, i criminali informatici stanno realizzando attacchi di ingegneria sociale personalizzati che sfruttano i pregiudizi cognitivi, utilizzando l’apprendimento automatico per sferrare attacchi contro i singoli dipendenti delle aziende.
Il bias cognitivo si riferisce a scorciatoie mentali che gli esseri umani inconsciamente prendono quando elaborano e interpretano le informazioni prima di prendere decisioni.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il bias è un tentativo di semplificare l’elaborazione delle informazioni per accelerare il processo decisionale e può essere efficacemente sfruttato negli attacchi di phishing, ha detto a VentureBeat il CEO di SecurityAdvisor Sai Venkataraman.
I criminali informatici manipolano i pensieri e le azioni di un destinatario per convincere quella persona a impegnarsi in comportamenti rischiosi, come fare clic su un collegamento su cui normalmente non farebbero clic o inserire informazioni sensibili su un sito Web.
I team di sicurezza aziendale di solito si affidano a programmi per aumentare la consapevolezza e per addestrare i dipendenti a riconoscere gli attacchi in modo che non vengano ingannati.
Tuttavia, i tradizionali programmi di sensibilizzazione di sicurezza raramente prendono in considerazione il ruolo che i pregiudizi cognitivi giocano in queste situazioni, né in genere considerano i ruoli delle persone o il comportamento passato delle stesse.
I concetti di formazione non erano fedeli e i dati mostravano che il 5% degli utenti rappresentava il 90% degli incidenti di sicurezza, ha detto Venkataraman.
SecurityAdvisor non è l’unico a dire che la formazione tradizionale sulla consapevolezza della sicurezza e le simulazioni di phishing hanno una capacità limitata nel proteggere le organizzazioni.
Un recente studio del Cyentia Institute ha rilevato che la formazione sulla sicurezza ha portato a percentuali di clic in simulazione di phishing leggermente inferiori tra gli utenti, ma non ha avuto effetti significativi a livello organizzativo o negli attacchi informatici.
Il rapporto, commissionato da Elevate Security, ha esaminato malware, phishing, posta elettronica e altri dati sugli attacchi e hanno scoperto che l’aumento delle simulazioni e della formazione può essere controproducente e portare le persone a fare clic su collegamenti dannosi più spesso rispetto a persone con poca o nessuna formazione.
Secondo l’analisi di Cyentia, solo l’11% degli utenti con una sola sessione di formazione ha fatto clic su un collegamento di phishing, ma il 14% degli utenti con cinque sessioni di formazione ha fatto clic sul collegamento.
Il phishing funziona perché le persone filtrano ciò che vedono attraverso le loro esperienze e preferenze e queste influenzano le scelte che fanno.
I pregiudizi cognitivi assumono molte forme, ma la ricerca di SecurityAdvisor ha identificato cinque scenari che possono essere sintetizzati in :
Questo scenario si riferisce all’individuo che ha un’impressione positiva di una persona, di un marchio o di un prodotto. E’ il tipo più comunemente utilizzato dai criminali informatici e compare nel 29% degli attacchi di phishing. In questo tipo di attacco, un criminale informatico finge di essere un’entità affidabile per ottenere l’accesso. I criminali informatici che prendono di mira i dirigenti di una università, ad esempio, possono inviare falsi inviti per parlare a conferenza, ad altre università o organizzazioni rispettabili da loro ritenute tali.
Lo sconto irresistibile, o l’inclinazione ad avere un vantaggio economico che dia risultati immediati piuttosto che un equivalente a lungo termine, è apparso nel 28% degli attacchi di phishing analizzati da SecurityAdvisor. Questo può assumere, per esempio, la forma di fare clic su un collegamento per ottenere 100 euro di sconto su un MacBook Air. Gli spammer hanno utilizzato a lungo questa tattica per attirare le vittime con promesse di accordi gratuiti o esclusivi.
L’effetto curiosità riveste un ruolo importante, con il 17% degli attacchi di phishing. In questo tipo di attacco, i malintenzionati potrebbero suscitare interesse verso il target riportando l’attenzione di una catastrofe naturale in corso, un particolare evento, informazioni su persone dello spettacolo e tutto quello che potrebbe generare una suscettibilità da parte della persona oggetto di phishing.
Ad esempio, lo sfruttamento e la tendenza nel ricordare eventi recenti, come l’utilizzo di informazioni sulle vaccinazioni COVID-19, ad esempio nel nome dell’oggetto della mail di phishing, è un metodo molto utilizzato.
Questo scenario si basa sulla disponibilità delle persone a rimettersi alle opinioni di una figura autorevole. Un utente malintenzionato che utilizza pregiudizi di autorità può impersonare un senior manager o persino l’amministratore delegato di una azienda inducendo il target a “fidarsi” della mail e avviare una azione malevola.
Ci sono anche differenze specifiche di settore. Le persone nel settore sanitario avevano maggiori probabilità di vedere truffe che si impiegavano nel pregiudizio dell’autorità, effetto eventi recenti, mentre i dipendenti della vendita al dettaglio hanno maggiori probabilità di essere presi di mira dall’effetto alone, dalla curiosità e dallo sconto iperbolico.
Fonte
https://venturebeat.com/2021/05/12/phishing-attacks-exploit-cognitive-biases-research-finds/amp/
RedazioneUna violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...
