Il veleno della curiosità e l’antidoto della cyber hygiene: una ricetta da ingegneri sociali

La curiosità, vecchia canaglia. Quella che da tempo fa cliccare link o aprire allegati in modo decisamente improvvido. Dopotutto è una di quelle leve che i cybercriminali conoscono bene e non si fanno problemi ad inserire all’interno delle campagne di phishing. E funziona maledettamente bene, soprattutto quando le reti da pesca sono gettate su una larga scala di destinatari. Dopotutto, finché un metodo funziona perché cambiarlo?

Certo, nel tempo tutto sta nel progettare la giusta esca attraverso le tecniche di ingegneria sociale. Ma quel che conta è preparare un bel bait che attiri l’attenzione, solletichi un interesse e induca all’azione di aprire un link o un allegato. Azione che, una volta compiuta da parte della vittima, può essere ostacolata solo dall’intervento di un buon antimalware e una buona dose di fortuna. Ma questo ultimo ingrediente è troppo raro per poterci contare, mentre quello della curiosità è fin troppo ben distribuito.

Ecco che diventa importante essere sempre consapevoli di quale straordinario innesco sia la nostra curiosità. Anche perché è il presupposto fondamentale per poter adottare in autonomia una seri di comportamenti sicuri. Quello, nonché la consapevolezza delle conseguenze delle nostre azioni. Anche quella più apparentemente banale, come può essere un singolo clic.

Non solo mail, ma anche SMS e QR code.

Non pensiamo che tutti i rischi di quell’invitante clicchino siano da contenere solo alla dimensione dell’e-mail: esistono gli SMS, oppure i QR-code. Questi ultimi vengono in genere stranamente sottovalutati per il proprio potenziale offensivo, nonostante, di fatto, consistano in dei link proposti attraverso il mosaico del codice a barre. Ma questa minore percezione di pericolo, dovuta alla miscela letale di poca conoscenza del mezzo e un falso senso di sicurezza indotto dall’abitudine di vederli oramai impiegati nel quotidiano, rende questo tipo di attacchi molto efficaci.

Il QR-ishing, ovverosia il phishing svolto tramite QR code, è stato segnalato negli ultimi tempi come fenomeno in ascesa, molto probabilmente per la normalizzazione dell’impiego di questo strumento non solo nei ristoranti per il menù, ma anche in campagne pubblicitarie o su cartelli informativi. Insomma: c’è una correlazione diretta fra il crescente impiego di uno strumento e il suo impiego da parte dei cybercriminali come vettore d’attacco. E in questo caso, non c’è nulla di più invitante e che possa destare curiosità di un bel codice QR piazzato nel punto giusto. Un’esca che al momento non suscita troppe preoccupazioni e non fa fare troppe domande. Si inquadra, et voilà: il link, o l’allegato, è servito!

Per quanto riguarda gli SMS, invece, per quanto facciano molto old school, le campagne di smishing devono il proprio successo ad un certo grado di insostenibile – lato sicurezza – leggerezza nell’impiego dello smartphone. Un messaggio di testo può ben contenere un link che rimanda ad un file o un sito malevolo, ma anche qui tutto si gioca sulla mancata percezione del rischio da parte di chi utilizza il mezzo.

Insomma, il comune denominatore? Per le vittime, quella miscela letale di incoscienza e inconsapevolezza, mentre per gli attaccanti, la capacità di suscitare quel tanto di curiosità che basta per ignorare le più elementari cautele.

L’importanza dell’igiene digitale.

L’igiene digitale, ovverosia quel novero di comportamenti e abitudini da adottare quotidianamente per proteggere la propria sicurezza digitale, rappresenta un antidoto efficace per resistere a quell’impeto altrimenti irrefrenabile di curiosità. Rafforzando – anzi: fondando – le difese dei singoli sia come individui e cittadini digitali, sia come operatori all’interno di un’organizzazione.

Attenzione ad un dettaglio: essere consapevoli dei rischi e adottare comportamenti sicuri non rende immuni da frodi online, ma ne aumenta il costo per gli attaccanti. Questi dovranno di conseguenza aumentare il proprio impegno per ingegnerizzare attacchi migliori, rinunciando a compiere tutto questo solo nel momento in cui il bottino atteso non è sufficientemente appetibile e remunerativo.

Dettaglio non di poco conto, che andrebbe scritto a lettere cubitali nel foglietto illustrativo dell’antidoto segnalando l’effetto collaterale di sovrastimare la propria sicurezza.

Cosa che comporta conseguenze paragonabili a quelle derivanti dal non averne cura.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore