Se è vero che la maggioranza delle potenziali vittime di un attacco Phishing clicca su link ingannevoli significa che qualcosa non funziona nel modo in cui oggi si interagisce con la tecnologia. E' un modo dettato dall'assenza di pause riflessive utili a concentrare un minimo di attenzione sugli aspetti essenziali della comunicazione, in particolare quelli legati alla verifica di chi sia l'interlocutore e a comprendere le motivazioni di un messaggio e a capire (leggere con attenzione) i suoi contenuti.
A determinare il successo di un attacco Phishing, più di altri fattori, l'elemento umano si rivela sempre fondamentale. Lo è nella forma di comportamenti, legati a stili di vita diventati mobili e tecnologici, dettati dai tempi e dalle modalità di interazione tipiche dei media sociali e dei social network. Le modalità che causano tanti problemi alla comunicazione frammentata e veloce di Twitter o Facebook sono le stesse che inducono il 60% delle persone a cliccare link malevoli arrivati via email o i due terzi degli utenti a cedere senza preoccupazione le proprie credenziali prima ancora di avere verificato con cura attendibilità e sicurezza della fonte o del mittente.
I dati sono stati raccolti durante un'indagine condotta da Cefriel usando un test (SDVA, Social driven vulnerability assestment) per verificare come le persone reagiscono di fronte a un potenziale attacco di Phishing.
L'indagine evidenzia ancora una volta che tutti sono diventati potenziali target perchè tutti in possesso di terminali tecnologici che possono diventare target di un attacco. Indica quanto si sia diventati deboli di fronte alla tecnologia e di quanto si sia complici involontari dei cybercriminali nel portare a termine i loro attacchi.
La debolezza deriva principalmente dall'affidamento cieco e acritico al mezzo tecnologico che si manifesta in varie forme e che, nel caso di attacchi phishing, si traduce anche in danno. Fidandosi troppo del mezzo tecnologico e delle sue funzionalità si finisce per non porsi alcune semplici domande prima di agire. Anche senza risposte certe, le domande hanno il merito di ceare momenti di pausa e di riflessione (la maggior parte degli attacchi ha successo per scelte d'impulso fatte dall'utente nel giro di pochi minuti) e di favorire scelte e decisioni più razionali o di suggerire, nel caso in cui non si siano trovate risposte capaci di eliminare dubbi e incertezze, di non fare nulla.
Se i dati rilevati da Cefriel sono veritieri a un hacker bastano tre email per portarsi a casa un click su un link malevolo, quattro per catturare le credenziali di accesso della potenziale vittima.
Il test usato per verificare la vulnerabilità ad attacchi phishing prevede la disseminazione di varie esche, più o meno contestualizzate e personalizzate sull'utente di una casella di posta o sul suo ambiente di lavoro. Come ha dimostrato il caso recente del dirigente di Confindustria indotta a versare mezzo milione di euro attraverso un attacco di phishing, nessun ambiente è da considerarsi sicuro e nessuna tipologia di utente è da ritenersi inattaccabile. Tanti motivi in più per dotarsi di soluzioni intelligenti capaci di mettere al sicuro dispositivi personali ma soprattutto sistemi informativi aziendali. Questi strumenti non riusciranno a debellare il phishing ma lo rallenteranno e, unitamente ad adeguati programmi iniziative mirate di formazione dell'utente, potranno ridurne gli effetti negativi e i danni economici.