Secondo un nuovo rapporto di Security Advisor, i criminali informatici stanno realizzando attacchi di ingegneria sociale personalizzati che sfruttano i pregiudizi cognitivi, utilizzando l’apprendimento automatico per sferrare attacchi contro i singoli dipendenti delle aziende.
Il bias cognitivo si riferisce a scorciatoie mentali che gli esseri umani inconsciamente prendono quando elaborano e interpretano le informazioni prima di prendere decisioni.
Il bias è un tentativo di semplificare l’elaborazione delle informazioni per accelerare il processo decisionale e può essere efficacemente sfruttato negli attacchi di phishing, ha detto a VentureBeat il CEO di SecurityAdvisor Sai Venkataraman.
I criminali informatici manipolano i pensieri e le azioni di un destinatario per convincere quella persona a impegnarsi in comportamenti rischiosi, come fare clic su un collegamento su cui normalmente non farebbero clic o inserire informazioni sensibili su un sito Web.
I team di sicurezza aziendale di solito si affidano a programmi per aumentare la consapevolezza e per addestrare i dipendenti a riconoscere gli attacchi in modo che non vengano ingannati.
Tuttavia, i tradizionali programmi di sensibilizzazione di sicurezza raramente prendono in considerazione il ruolo che i pregiudizi cognitivi giocano in queste situazioni, né in genere considerano i ruoli delle persone o il comportamento passato delle stesse.
I concetti di formazione non erano fedeli e i dati mostravano che il 5% degli utenti rappresentava il 90% degli incidenti di sicurezza, ha detto Venkataraman.
SecurityAdvisor non è l’unico a dire che la formazione tradizionale sulla consapevolezza della sicurezza e le simulazioni di phishing hanno una capacità limitata nel proteggere le organizzazioni.
Un recente studio del Cyentia Institute ha rilevato che la formazione sulla sicurezza ha portato a percentuali di clic in simulazione di phishing leggermente inferiori tra gli utenti, ma non ha avuto effetti significativi a livello organizzativo o negli attacchi informatici.
Il rapporto, commissionato da Elevate Security, ha esaminato malware, phishing, posta elettronica e altri dati sugli attacchi e hanno scoperto che l’aumento delle simulazioni e della formazione può essere controproducente e portare le persone a fare clic su collegamenti dannosi più spesso rispetto a persone con poca o nessuna formazione.
Secondo l’analisi di Cyentia, solo l’11% degli utenti con una sola sessione di formazione ha fatto clic su un collegamento di phishing, ma il 14% degli utenti con cinque sessioni di formazione ha fatto clic sul collegamento.
Il phishing funziona perché le persone filtrano ciò che vedono attraverso le loro esperienze e preferenze e queste influenzano le scelte che fanno.
I pregiudizi cognitivi assumono molte forme, ma la ricerca di SecurityAdvisor ha identificato cinque scenari che possono essere sintetizzati in :
Questo scenario si riferisce all’individuo che ha un’impressione positiva di una persona, di un marchio o di un prodotto. E’ il tipo più comunemente utilizzato dai criminali informatici e compare nel 29% degli attacchi di phishing. In questo tipo di attacco, un criminale informatico finge di essere un’entità affidabile per ottenere l’accesso. I criminali informatici che prendono di mira i dirigenti di una università, ad esempio, possono inviare falsi inviti per parlare a conferenza, ad altre università o organizzazioni rispettabili da loro ritenute tali.
Lo sconto irresistibile, o l’inclinazione ad avere un vantaggio economico che dia risultati immediati piuttosto che un equivalente a lungo termine, è apparso nel 28% degli attacchi di phishing analizzati da SecurityAdvisor. Questo può assumere, per esempio, la forma di fare clic su un collegamento per ottenere 100 euro di sconto su un MacBook Air. Gli spammer hanno utilizzato a lungo questa tattica per attirare le vittime con promesse di accordi gratuiti o esclusivi.
L’effetto curiosità riveste un ruolo importante, con il 17% degli attacchi di phishing. In questo tipo di attacco, i malintenzionati potrebbero suscitare interesse verso il target riportando l’attenzione di una catastrofe naturale in corso, un particolare evento, informazioni su persone dello spettacolo e tutto quello che potrebbe generare una suscettibilità da parte della persona oggetto di phishing.
Ad esempio, lo sfruttamento e la tendenza nel ricordare eventi recenti, come l’utilizzo di informazioni sulle vaccinazioni COVID-19, ad esempio nel nome dell’oggetto della mail di phishing, è un metodo molto utilizzato.
Questo scenario si basa sulla disponibilità delle persone a rimettersi alle opinioni di una figura autorevole. Un utente malintenzionato che utilizza pregiudizi di autorità può impersonare un senior manager o persino l’amministratore delegato di una azienda inducendo il target a “fidarsi” della mail e avviare una azione malevola.
Ci sono anche differenze specifiche di settore. Le persone nel settore sanitario avevano maggiori probabilità di vedere truffe che si impiegavano nel pregiudizio dell’autorità, effetto eventi recenti, mentre i dipendenti della vendita al dettaglio hanno maggiori probabilità di essere presi di mira dall’effetto alone, dalla curiosità e dallo sconto iperbolico.
Fonte
https://venturebeat.com/2021/05/12/phishing-attacks-exploit-cognitive-biases-research-finds/amp/
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Innovazione
Cyberpolitica
Cultura
Vulnerabilità