Il phishing è sempre più difficile da individuare e gli utenti non lo sanno

Lo studio Dojo in breve

Il 53% di 2.000 lavoratori – ovvero 1.060 persone – non è stato in grado di riconoscere email di phishing nonostante si dicesse certo di saperle riconoscere.

Nel dettaglio, i dati salienti affermano che:

• Il 90% dei dirigenti coinvolti nello studio si è detto sicuro di sapere riconoscere un contenuto di phishing ma il 68% ha fallito il test
• Il 47% dei lavoratori non ha notato anomalie in una falsa email di Google Alert
• Il 57% si è lasciato ingannare da un falso invito
• Il 48% non ha riconosciuto email contenenti ULR palesemente falsi

I dati offrono altri due spunti interessanti che meritano visibilità: i manager tendono a cadere meno nelle trappole rispetto ai dipendenti subordinati e, cosa ancora più importante, le truffe architettate mediante tecniche di Intelligenza artificiale sono quelle che i lavoratori riescono a individuare con maggiore difficoltà, riuscendo a trarre in inganno il 64% dei dipendenti e il 66% dei dirigenti. Praticamente due persone su tre.

Come sta cambiando il phishing

Le Intelligenze artificiali (AI) stanno rivoluzionando l’ emisfero delle minacce, phishing incluso, permettendo ai criminal hacker di creare email e siti fasulli praticamente identici a quelli originali. Inoltre, unendo tecniche di social engineering, è possibile creare messaggi tagliati su misura per la vittima, rendendola così compartecipe inconsapevole delle attività del cyber crimine.

Un esempio è la ciclicità con cui viene sfruttato dai criminali il nome di Amazon durante gli eventi Prime day o, ancora, i tanti siti fasulli che si insinuano nei meandri del Black Friday.

I Deepfake sono un altro punto debole, così come dimostra lo sventato incidente occorso alla Ferrari nel 2024.

Nel frattempo, parlando dell’Italia, gli attacchi alle organizzazioni pubbliche e private sono in aumento, facendo dello Stivale una meta privilegiata da gruppi di criminal hacker che agiscono anche per conto di Stati canaglia.

Da Dunning-Kruger a Socrate

L’effetto Dunning-Kruger è, ridotto all’essenziale, è un bias cognitivo che spinge chi è poco preparato a sentirsi molto competente e, viceversa, a indurre chi è competente a sottovalutarsi.

Nello specifico, persone che si dicono certe di potere riconoscere un’email di phishing falliscono nell’individuarle.

A latere, il sempiterno Paradosso socratico, quel “so di non sapere” che è strettamente imparentato con la conoscenza vera, fatta di approfondimenti e di aggiornamenti continui. Il contrario è ciò che distingue il campione esaminato da Dojo, fatto di persone che “non sanno neppure di non sapere”.

L’anello debole è lasciato solo?

Si dice che l’uomo è l’anello debole della catena della cybersecurity e si tratta di un semi-paradosso. È evidente che le debolezze dell’uomo vengono sfruttate dai cyber criminali, ragione in più per la quale le organizzazioni dovrebbero allestire architetture di difesa più resilienti e impartire a dipendenti e collaboratori una formazione continua.

Jen Easterly, a capo della Cybersecurity and Infrastructure Security Agency americana (CISA), invita a non puntare il dito contro gli utilizzatori finali e chiede che facciano mea culpa tanto gli sviluppatori di software quanto gli amministratori di sistema.

La cyber security è una forma mentis

Con il supporto di Salvatore Lombardo, funzionario ICT e membro Clusit, tiriamo delle conclusioni facendo tesoro del rapporto curato da Dojom, iniziando dalla necessità che l’operatore umano abbia maggiore contezza delle minacce e dei rischi reali.

“Il dato secondo cui il 53% dei lavoratori britannici si ritiene in grado di riconoscere un’email di phishing, salvo poi dimostrare il contrario, racconta una verità ormai ben nota agli addetti ai lavori: la percezione delle proprie competenze non coincide sempre con le competenze reali.

E spesso, questa discrepanza è dovuta ad una formazione datata. Nel corso degli anni, le campagne di phishing si sono fatte più sofisticate. Oggi le email fraudolente sono più curate nella forma, personalizzate nei contenuti e capaci di sfruttare elementi contestuali (come eventi aziendali, richieste dirigenziali o simulazioni di tool interni).

Mentre in passato, un messaggio di phishing era spesso pieno di errori grammaticali e poco verosimile, oggi le campagne di phishing sono credibili, e in alcuni casi persino indistinguibili da comunicazioni legittime. È quindi plausibile che molti lavoratori siano stati istruiti anni fa, quando la minaccia era meno raffinata.

La formazione sulla sicurezza deve invece essere continua, aggiornata e interattiva. Non bastano corsi annuali generici, servono simulazioni realistiche e aggiornamenti frequenti sui nuovi vettori d’attacco. In sintesi, la sicurezza non può essere un evento isolato nel calendario aziendale. Deve essere un processo formativo permanente”, spiega Salvatore Lombardo.

Se l’utente deve cambiare paradigma, altrettanto devono fare le imprese. La cultura Zero Trust deve diffondersi in ogni rango e in ogni ruolo all’interno di qualsiasi organizzazione. La cultura del sospetto deve diventare necessaria.

“Il paradigma dello Zero Trust, nato come architettura di rete, è oggi un principio culturale che deve permeare ogni livello dell’organizzazione, incluso quello umano.

Infondere nei dipendenti una ‘cultura del dubbio’ significa incoraggiarli a non dare mai nulla per scontato: un’email apparentemente legittima, una richiesta via Google Calendar, una chat Teams da parte di un presunto collega possono nascondere un attacco. Questo non vuol dire coltivare la paranoia, ma promuovere la verifica attiva.

La cultura del sospetto non deve essere più solo una prerogativa da specialisti IT, ma un requisito aziendale, esattamente come il rispetto di qualsiasi altra policy interna. In un contesto in cui l’ingegneria sociale è spesso più efficace delle vulnerabilità tecniche, il comportamento umano resta sempre la prima linea di difesa”, conclude l’esperto.