Redazione RHC : 22 Maggio 2021 10:00
Secondo un nuovo rapporto di Security Advisor, i criminali informatici stanno realizzando attacchi di ingegneria sociale personalizzati che sfruttano i pregiudizi cognitivi, utilizzando l’apprendimento automatico per sferrare attacchi contro i singoli dipendenti delle aziende.
Il bias cognitivo si riferisce a scorciatoie mentali che gli esseri umani inconsciamente prendono quando elaborano e interpretano le informazioni prima di prendere decisioni.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il bias è un tentativo di semplificare l’elaborazione delle informazioni per accelerare il processo decisionale e può essere efficacemente sfruttato negli attacchi di phishing, ha detto a VentureBeat il CEO di SecurityAdvisor Sai Venkataraman.
I criminali informatici manipolano i pensieri e le azioni di un destinatario per convincere quella persona a impegnarsi in comportamenti rischiosi, come fare clic su un collegamento su cui normalmente non farebbero clic o inserire informazioni sensibili su un sito Web.
I team di sicurezza aziendale di solito si affidano a programmi per aumentare la consapevolezza e per addestrare i dipendenti a riconoscere gli attacchi in modo che non vengano ingannati.
Tuttavia, i tradizionali programmi di sensibilizzazione di sicurezza raramente prendono in considerazione il ruolo che i pregiudizi cognitivi giocano in queste situazioni, né in genere considerano i ruoli delle persone o il comportamento passato delle stesse.
I concetti di formazione non erano fedeli e i dati mostravano che il 5% degli utenti rappresentava il 90% degli incidenti di sicurezza, ha detto Venkataraman.
SecurityAdvisor non è l’unico a dire che la formazione tradizionale sulla consapevolezza della sicurezza e le simulazioni di phishing hanno una capacità limitata nel proteggere le organizzazioni.
Un recente studio del Cyentia Institute ha rilevato che la formazione sulla sicurezza ha portato a percentuali di clic in simulazione di phishing leggermente inferiori tra gli utenti, ma non ha avuto effetti significativi a livello organizzativo o negli attacchi informatici.
Il rapporto, commissionato da Elevate Security, ha esaminato malware, phishing, posta elettronica e altri dati sugli attacchi e hanno scoperto che l’aumento delle simulazioni e della formazione può essere controproducente e portare le persone a fare clic su collegamenti dannosi più spesso rispetto a persone con poca o nessuna formazione.
Secondo l’analisi di Cyentia, solo l’11% degli utenti con una sola sessione di formazione ha fatto clic su un collegamento di phishing, ma il 14% degli utenti con cinque sessioni di formazione ha fatto clic sul collegamento.
Il phishing funziona perché le persone filtrano ciò che vedono attraverso le loro esperienze e preferenze e queste influenzano le scelte che fanno.
I pregiudizi cognitivi assumono molte forme, ma la ricerca di SecurityAdvisor ha identificato cinque scenari che possono essere sintetizzati in :
Questo scenario si riferisce all’individuo che ha un’impressione positiva di una persona, di un marchio o di un prodotto. E’ il tipo più comunemente utilizzato dai criminali informatici e compare nel 29% degli attacchi di phishing. In questo tipo di attacco, un criminale informatico finge di essere un’entità affidabile per ottenere l’accesso. I criminali informatici che prendono di mira i dirigenti di una università, ad esempio, possono inviare falsi inviti per parlare a conferenza, ad altre università o organizzazioni rispettabili da loro ritenute tali.
Lo sconto irresistibile, o l’inclinazione ad avere un vantaggio economico che dia risultati immediati piuttosto che un equivalente a lungo termine, è apparso nel 28% degli attacchi di phishing analizzati da SecurityAdvisor. Questo può assumere, per esempio, la forma di fare clic su un collegamento per ottenere 100 euro di sconto su un MacBook Air. Gli spammer hanno utilizzato a lungo questa tattica per attirare le vittime con promesse di accordi gratuiti o esclusivi.
L’effetto curiosità riveste un ruolo importante, con il 17% degli attacchi di phishing. In questo tipo di attacco, i malintenzionati potrebbero suscitare interesse verso il target riportando l’attenzione di una catastrofe naturale in corso, un particolare evento, informazioni su persone dello spettacolo e tutto quello che potrebbe generare una suscettibilità da parte della persona oggetto di phishing.
Ad esempio, lo sfruttamento e la tendenza nel ricordare eventi recenti, come l’utilizzo di informazioni sulle vaccinazioni COVID-19, ad esempio nel nome dell’oggetto della mail di phishing, è un metodo molto utilizzato.
Questo scenario si basa sulla disponibilità delle persone a rimettersi alle opinioni di una figura autorevole. Un utente malintenzionato che utilizza pregiudizi di autorità può impersonare un senior manager o persino l’amministratore delegato di una azienda inducendo il target a “fidarsi” della mail e avviare una azione malevola.
Ci sono anche differenze specifiche di settore. Le persone nel settore sanitario avevano maggiori probabilità di vedere truffe che si impiegavano nel pregiudizio dell’autorità, effetto eventi recenti, mentre i dipendenti della vendita al dettaglio hanno maggiori probabilità di essere presi di mira dall’effetto alone, dalla curiosità e dallo sconto iperbolico.
Fonte
https://venturebeat.com/2021/05/12/phishing-attacks-exploit-cognitive-biases-research-finds/amp/
RedazioneIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
