Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 22 Maggio 2021 10:00
Secondo un nuovo rapporto di Security Advisor, i criminali informatici stanno realizzando attacchi di ingegneria sociale personalizzati che sfruttano i pregiudizi cognitivi, utilizzando l’apprendimento automatico per sferrare attacchi contro i singoli dipendenti delle aziende.
Il bias cognitivo si riferisce a scorciatoie mentali che gli esseri umani inconsciamente prendono quando elaborano e interpretano le informazioni prima di prendere decisioni.
Il bias è un tentativo di semplificare l’elaborazione delle informazioni per accelerare il processo decisionale e può essere efficacemente sfruttato negli attacchi di phishing, ha detto a VentureBeat il CEO di SecurityAdvisor Sai Venkataraman.
I criminali informatici manipolano i pensieri e le azioni di un destinatario per convincere quella persona a impegnarsi in comportamenti rischiosi, come fare clic su un collegamento su cui normalmente non farebbero clic o inserire informazioni sensibili su un sito Web.
I team di sicurezza aziendale di solito si affidano a programmi per aumentare la consapevolezza e per addestrare i dipendenti a riconoscere gli attacchi in modo che non vengano ingannati.
Tuttavia, i tradizionali programmi di sensibilizzazione di sicurezza raramente prendono in considerazione il ruolo che i pregiudizi cognitivi giocano in queste situazioni, né in genere considerano i ruoli delle persone o il comportamento passato delle stesse.
I concetti di formazione non erano fedeli e i dati mostravano che il 5% degli utenti rappresentava il 90% degli incidenti di sicurezza, ha detto Venkataraman.
SecurityAdvisor non è l’unico a dire che la formazione tradizionale sulla consapevolezza della sicurezza e le simulazioni di phishing hanno una capacità limitata nel proteggere le organizzazioni.
Un recente studio del Cyentia Institute ha rilevato che la formazione sulla sicurezza ha portato a percentuali di clic in simulazione di phishing leggermente inferiori tra gli utenti, ma non ha avuto effetti significativi a livello organizzativo o negli attacchi informatici.
Il rapporto, commissionato da Elevate Security, ha esaminato malware, phishing, posta elettronica e altri dati sugli attacchi e hanno scoperto che l’aumento delle simulazioni e della formazione può essere controproducente e portare le persone a fare clic su collegamenti dannosi più spesso rispetto a persone con poca o nessuna formazione.
Secondo l’analisi di Cyentia, solo l’11% degli utenti con una sola sessione di formazione ha fatto clic su un collegamento di phishing, ma il 14% degli utenti con cinque sessioni di formazione ha fatto clic sul collegamento.
Il phishing funziona perché le persone filtrano ciò che vedono attraverso le loro esperienze e preferenze e queste influenzano le scelte che fanno.
I pregiudizi cognitivi assumono molte forme, ma la ricerca di SecurityAdvisor ha identificato cinque scenari che possono essere sintetizzati in :
Questo scenario si riferisce all’individuo che ha un’impressione positiva di una persona, di un marchio o di un prodotto. E’ il tipo più comunemente utilizzato dai criminali informatici e compare nel 29% degli attacchi di phishing. In questo tipo di attacco, un criminale informatico finge di essere un’entità affidabile per ottenere l’accesso. I criminali informatici che prendono di mira i dirigenti di una università, ad esempio, possono inviare falsi inviti per parlare a conferenza, ad altre università o organizzazioni rispettabili da loro ritenute tali.
Lo sconto irresistibile, o l’inclinazione ad avere un vantaggio economico che dia risultati immediati piuttosto che un equivalente a lungo termine, è apparso nel 28% degli attacchi di phishing analizzati da SecurityAdvisor. Questo può assumere, per esempio, la forma di fare clic su un collegamento per ottenere 100 euro di sconto su un MacBook Air. Gli spammer hanno utilizzato a lungo questa tattica per attirare le vittime con promesse di accordi gratuiti o esclusivi.
L’effetto curiosità riveste un ruolo importante, con il 17% degli attacchi di phishing. In questo tipo di attacco, i malintenzionati potrebbero suscitare interesse verso il target riportando l’attenzione di una catastrofe naturale in corso, un particolare evento, informazioni su persone dello spettacolo e tutto quello che potrebbe generare una suscettibilità da parte della persona oggetto di phishing.
Ad esempio, lo sfruttamento e la tendenza nel ricordare eventi recenti, come l’utilizzo di informazioni sulle vaccinazioni COVID-19, ad esempio nel nome dell’oggetto della mail di phishing, è un metodo molto utilizzato.
Questo scenario si basa sulla disponibilità delle persone a rimettersi alle opinioni di una figura autorevole. Un utente malintenzionato che utilizza pregiudizi di autorità può impersonare un senior manager o persino l’amministratore delegato di una azienda inducendo il target a “fidarsi” della mail e avviare una azione malevola.
Ci sono anche differenze specifiche di settore. Le persone nel settore sanitario avevano maggiori probabilità di vedere truffe che si impiegavano nel pregiudizio dell’autorità, effetto eventi recenti, mentre i dipendenti della vendita al dettaglio hanno maggiori probabilità di essere presi di mira dall’effetto alone, dalla curiosità e dallo sconto iperbolico.
Fonte
https://venturebeat.com/2021/05/12/phishing-attacks-exploit-cognitive-biases-research-finds/amp/
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneÈ stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
