I criminali informatici sfruttano le vulnerabilità psicologiche delle vittime derivanti da una fiducia eccessiva negli altri, immoderata superficialità o particolari situazioni di stanchezza. È quanto emerge da una recente indagine condotta dalla divisione di Cyber Profiling di Innovery, multinazionale italiana esperta di cybersecurity, che evidenzia come questa tipologia di attacchi informatici, che sfruttano lo stato emotivo delle vittime, aumentino di oltre il 90% in occasione di grandi manifestazioni o particolari ricorrenze, quali il Black Friday, le feste natalizie o i mondiali di Calcio in Qatar come in questo periodo.
Questi contesti sono dei veri catalizzatori di attacchi che i malintenzionati sfruttano per sferrare offensive ben strutturate (dal ransomware al phishing), allo scopo di adescare quante più vittime possibili che sono alla ricerca dell’occasione, dell’offerta o della promozione del momento.
La conoscenza da parte dei criminali di strategie persuasive, che fanno leva su alcune vulnerabilità della psicologia, contribuisce a far abbassare le difese dei malcapitati e a far sì che gli attacchi vadano maggiormente a segno. Gli attacchi sono progettati infatti allo scopo di stimolare particolari aree del cervello per indurre le vittime ad assumere comportamenti automatizzati e meno controllati, portandoli a compiere, quasi inconsciamente, l’azione richiesta.
Per ingannare maggiormente la fiducia del prossimo gli attaccanti sfruttano contesti di rilevante attualità, come accaduto durante il periodo dei vaccini Covid, con la realizzazione di centinaia di siti web e QR Code malevoli, che i criminali utilizzavano per sottrarre informazioni sensibili delle vittime.
La medesima cosa sta accadendo nelle ultime settimane: gli attacchi phishing che si sono moltiplicati nei paesi del Medio Oriente a ridosso dei mondiali di calcio in Qatar ne sono la prova. Molte sono state le segnalazioni di pagine web fittizie che ricalcano perfettamente quelle ufficiali dei Mondiali, create appositamente per impadronirsi dei dati e delle credenziali dei tifosi ignari, attraverso interfacce che appaiono credibili.
Promozioni, offerte, campagne a premi diffuse via mail, sms, app e siti web sono gli strumenti principali attraverso cui i cyber criminali arrivano alle vittime facendo leva sulla loro parte emotiva (stimolando sensazioni negative o positive) e sensoriale, le quali, convinte dell’autenticità del contenuto ricevuto, abbassano la guardia e cascano nella trappola.
In particolare, social media e app di messaggistica istantanea costituiscono il territorio di caccia preferito, non a caso oltre l’80% degli attacchi di phishing è stato condotto su WhatsApp. Inoltre, come anticipato precedentemente, un altro strumento sfruttato dai cyber criminali negli ultimi anni per veicolare contenuti malevoli è il QR Code, il cui utilizzo è aumentato notevolmente a seguito della pandemia, dal momento che risulta complesso definirne la liceità senza un’analisi di contesto. Secondo dati recenti un italiano su due utilizza il QR Code senza alcun timore, non preoccupandosi del reale pericolo che vi si cela dietro.
La familiarità con queste app di messagistica, con i social network e più in generale con tutto ciò che può essere ricondotto all’utilizzo dei cellulari, induce le persone a condividere informazioni sensibili come dati anagrafici e coordinate bancarie, senza preoccuparsi delle conseguenze.
Con l’arrivo delle festività natalizie e il conseguente aumento dello shopping online, le minacce legate ad attacchi ransomware e di ingegneria sociale proseguiranno almeno fino a gennaio 2023. Gli esperti di Innovery suggeriscono di mantenere alta l’attenzione, la consapevolezza è sempre la prima barriera di difesa. Piccoli accorgimenti come controllare link anziché cliccare in maniera compulsiva, gli indirizzi mittenti prima di rispondere alle e-mail nonché accedere a servizi esclusivamente attraverso piattaforme ufficiali, possono fare la differenza.
“L’inganno e la distrazione sono le due armi più potenti nelle mani degli hacker. La maggior parte degli attacchi che analizziamo ogni giorno sono costruiti per sfruttare lo stato emotivo delle vittime, e fare in modo che le loro difese si abbassino. Questi stratagemmi vogliono andare a sollecitare comportamenti automatici e primordiali tipici del cervello rettiliano (la parte del nostro cervello legato a una serie di attività irrazionali e istintive) e a inibire la “neo corteccia” (sfera razionale del cervello con cui compiamo scelte più ragionate e consapevoli) – Spiega Angelo Alabiso Cyber Security Analyst di Innovery – In occasione di eventi di grande risonanza, come appunto i mondiali di calcio in Qatar o il Black Friday, la nostra attenzione si abbassa, lasciando spazio ad automatismi, come cliccare su un link senza pensare, ed è più facile essere vittime di truffa. La mancanza di attenzione unita ad una attuale conoscenza non diffusa dei rischi del mondo informatico è una delle principali cause dell’ancora elevato numero di attacchi che vanno a buon fine. Capire e conoscere come funziona la psiche dei criminali ci può aiutare a ridurre l’efficacia dei loro attacchi e salvaguardare imprese e cittadini.”