Il fattore umano nel Phishing: una questione di consapevolezza

Luigi Gallo, Alessandro Maiello, Lorenzo Rizzati

Il phishing sfrutta il fattore umano come principale vettore di attacco, mettendo in evidenza le vulnerabilità psicologiche degli individui di fronte alle sofisticate strategie dei cybercriminali. Questo articolo esplora come la manipolazione psicologica, l’ingegneria sociale e le tecniche di convincimento sono impiegate efficacemente nel phishing per indurre le vittime a compiere azioni dannose. L’articolo evidenzia come la comprensione del fattore umano sia cruciale nella lotta contro il phishing, proponendo strategie integrate che combinano tecnologia avanzata e psicologia comportamentale. È così che la sicurezza informatica, dall’essere un argomento puramente tecnico/tecnologico, diviene anche materia umanistica.

Scarica il PDF

Fattore umano nel Phishin...

2796 KB

Da diversi decenni i servizi ICT vengono progettati seguendo il principio della Security-by-Design, rendendo i sistemi informatici molto più robusti agli attacchi rispetto al passato. Nello scenario moderno, il Phishing emerge dunque come uno tra i principali vettori di attacco per il cybercrime in quanto il progresso delle tecnologie ha irrobustito i sistemi, ma non i loro utilizzatori. Gli attacchi di Phishing vengono realizzati attraverso e-mail malevole, le quali si basano su protocolli di gestione (i.e. SMTP) ideati ben prima che la sicurezza fosse parte integrante delle fasi di progettazione dei sistemi. Banalmente, il destinatario di una e-mail non può sempre autenticare con certezza il mittente. Questo difetto delle comunicazioni, tramite posta elettronica, genera opportunità enormi per i criminali informatici, i quali possono impersonare chi vogliono in un messaggio e insistere su quello che viene definito come “l’anello debole della catena”, ovvero il fattore umano.

Protezione e rilevazione degli attacchi di phishing

Anatomia di un attacco di phishing
La costruzione di una campagna di phishing da parte dei cyber criminali si articola attraverso fasi ben definite, sfruttando tecniche sempre più sofisticate e kit di phishing avanzati. Inizialmente, l’attaccante seleziona il bersaglio, che può variare da individui a grandi organizzazioni, identificando le vulnerabilità attraverso tecniche di social engineering o raccolta di informazioni pubblicamente disponibili. Successivamente, si procede alla creazione del materiale di phishing, fase in cui entrano in gioco i kit di phishing: software complessi che permettono di generare in modo automatico e-mail ingannevoli, pagine web falsificate che imitano siti legittimi e altri elementi ingannevoli con un alto grado di personalizzazione e realismo. Questi kit (che appartengono a quello che viene definito come modello di Phishing- As-a-Service o semplicemente PaaS) sono progettati per essere facilmente utilizzabili anche da malintenzionati senza profonde competenze tecniche, rendendo così l’attacco accessibile a un’ampia gamma di criminali informatici. La fase di distribuzione segue, con l’invio massivo delle e-mail truffa ai destinatari selezionati, spesso utilizzando server e indirizzi IP compromessi per eludere i filtri anti-spam e mascherare la vera origine dell’attacco. Il successo di un attacco di phishing dipende fortemente dalla capacità di convincere la vittima a compiere un’azione specifica, come inserire dati sensibili in una pagina web falsificata, cliccare su un link malevolo o su un allegato. Una volta che l’utente cade nella trappola, i cyber criminali raccolgono le informazioni acquisite per condurre frodi telematiche, accesso non autorizzato a sistemi protetti o altri atti illeciti. Gli attacchi di phishing non sono semplici iniziative isolate, ma il frutto di un’industria del cybercrimine strutturata, con una vasta gamma di attori coinvolti [1]. Questo ecosistema include organizzatori che coordinano le campagne, sviluppatori di toolkit di phishing avanzati, forniti come servizio (Fig.1) per l’anonimato e individui che gestiscono le operazioni finanziarie illecite. Questi stakeholder collaborano in mercati neri e forum clandestini, scambiandosi strumenti e servizi con l’obiettivo di ottimizzare l’efficacia e il rendimento degli attacchi.

Figura 1: Esempio di pannello di sottoscrizione ad un servizio di Phishing-as-a-Service (PaaS). Nello specifico viene mostrato il pannello degli abbonamenti mensili al software malevolo LabHost

Clicca qui per ingrandire l'immagine

L’ecosistema degli attacchi di phishing

Le soluzioni adottate per prevenire gli incidenti di sicurezza causati dal phishing e dal comportamento improprio degli utenti sono le seguenti:

filtri antispam: quando arriva un’e-mail, vengono applicate diverse logiche per individuare a monte un’e-mail indesiderata, prima di consegnarla al destinatario. Questo avviene tradizionalmente con approcci di blocklisting, basati sugli indirizzi IP di origine e sul comportamento a livello di rete delle e-mail (intestazioni SMTP). Tuttavia, logiche di rilevamento più innovative si basano anche sul contenuto delle e-mail, utilizzando classificatori pre-addestrati con tecnologie di machine learning o semplici euristiche. Purtroppo, molto spesso i criminali riescono ad eludere le logiche dei filtri antispam;
filtri web: agli utenti viene impedita la navigazione in siti web noti per essere dannosi. In questo modo, anche se un utente clicca su un link dannoso contenuto in un’e-mail, la navigazione viene bloccata. Purtroppo, i sistemi di reputazione dei domini e degli URL devono essere continuamente aggiornati e molto spesso i criminali creano nuovi siti web (sconosciuti) appositamente per effettuare attacchi di phishing. Altre branche della sicurezza informatica si occupano di questi aspetti e della condivisione tempestiva di queste informazioni (i.e. Cyber Threat Intelligence);
software antivirus: gli allegati vengono pre-scansionati dal software antivirus e classificati come dannosi o meno evitando che quelli malevoli vengano eseguiti dagli utenti. Come per i filtri Web, è importante mantenere aggiornati i database delle firme o disporre di logiche intelligenti di rilevamento del malware. Purtroppo, il malware utilizza spesso tecniche di offuscamento che impediscono al software antivirus di rilevarlo.

Data la non completa copertura di sicurezza dei sistemi sopra descritti e la crescente attenzione degli aggressori verso il fattore umano, i metodi di difesa volti a migliorare la postura di sicurezza dell’utente diventano molto importanti.
I più utilizzati sono:

policy di sicurezza: regole “semplici” per un uso corretto degli strumenti di comunicazione via e-mail. Gli utenti sono invitati a non diffondere troppo il proprio indirizzo di posta elettronica, a non utilizzarlo per scopi non lavorativi (ad esempio, iscrivendosi a servizi o siti web che potrebbero essere soggetti a data breach) e a non diffondere informazioni relative al lavoro su canali pubblici. Per quanto possibile, anche le informazioni personali in rete dovrebbero essere ridotte, poiché sappiamo che vengono utilizzate per tecniche di social engineering. Spesso vengono suggeriti controlli di sicurezza rafforzati anche per le e-mail provenienti dall’esterno del perimetro aziendale (ma anche le e-mail interne devono essere controllate a causa del lateral phishing);
formazione e addestramento: i dipartimenti di sicurezza delle aziende (o di terze parti) spesso conducono regolari campagne di formazione e addestramento per sensibilizzare gli utenti sul phishing. Il modo in cui questi corsi sono progettati è cruciale per la loro efficacia ed è ancora oggetto di studi scientifici. In caso di formazione inefficace, potrebbero addirittura essere controproducenti.

Il fattore umano: l’anello debole della catena

Come abbiamo visto, le tecniche di difesa tradizionali, seppur sofisticate, non riescono a proteggere completamente le vittime dagli attacchi di phishing. Per questo motivo l’attenzione, inizialmente rivolta allo sviluppo di difese tecniche contro il phishing, si è gradualmente spostata verso la comprensione degli elementi psicologici che contribuiscono al successo di tali attacchi. In letteratura vari studi hanno analizzato l’importanza dei principi di persuasione utilizzati dai phisher per sfruttare le vulnerabilità cognitive, e la correlazione tra queste vulnerabilità e l’efficacia del phishing. Secondo alcuni studi [2][3] i cinque grandi tratti (Big Five) della personalità, vale a dire apertura mentale, coscienziosità, estroversione, empatia e stabilità emotiva, sono legati alla suscettibilità al phishing, e fattori come le conoscenze informatiche e la consapevolezza delle pratiche web sicure (HTTPS, certificati), consentono all’individuo di identificare più facilmente i tentativi di phishing. Tali conoscenze non forniscono mai una difesa perfetta dal phishing poiché noi tutti abbiamo delle vulnerabilità che potrebbero essere sfruttate, specie in un momento di distrazione, per sferrare un attacco di phishing efficace. Risulta chiaro che l’elaborazione cognitiva delle e-mail da parte degli utenti influenza in modo significativo la loro suscettibilità agli attacchi di phishing e che le vulnerabilità umane sono spesso l’anello più debole della sicurezza informatica. Recentemente l’Intelligence Advanced Research Projects Agency (IARPA) degli Stati Uniti d’America ha lanciato ReSCIND, un programma che sfrutta la psicologia dei criminali informatici per contrastare gli attacchi. Si propone di integrare misure di sicurezza con la cyber-psicologia, creando nuove tecnologie di difesa informatica. Il programma mira a identificare le vulnerabilità cognitive degli aggressori, sviluppare difese basate sulla psicologia informatica e fornire algoritmi per adattare le decisioni in base al comportamento osservato. Quest’approccio innovativo punta a una difesa più efficace e di avanguardia, ponendo al centro il fattore umano come principale punto debole in operazioni di attacco e di difesa.

Vulnerabilità cognitive e principi di persuasione
Data l’importanza del fattore psicologico, le e-mail di phishing vengono spesso costruite includendo i cosiddetti attacchi cognitivi: porzioni di frasi utilizzate per esercitare un determinato principio di persuasione sulla vittima. I principi della persuasione sono stati introdotti per la prima volta da Robert Cialdini ne “The psychology of persuasion” nel 1984 e si riferiscono a trucchi psicologici appositamente ideati per sfruttare specifiche vulnerabilità cognitive della vittima quali:

Autorità: tendenza a obbedire a persone in posizione autorevoli, spinta dalla possibilità di incorrere in una punizione se non ci si attiene alle richieste dei superiori;
Simpatia: Tendenza a dire “sì” alle richieste delle persone che l’individuo conosce e che gli piacciono;
Scarsità: tendenza ad assegnare maggior valore a oggetti e opportunità quando la loro disponibilità è limitata, per paura di sprecare l’opportunità o di pentirsene successivamente;
Coerenza: tendenza a comportarsi in modo coerente con le decisioni e i comportamenti passati;
Riprova sociale: propensione a etichettare un comportamento come corretto in base al fatto che altri lo mettono in atto;
Reciprocità: desiderio di ricambiare gli altri quando si riceve un favore.

L’efficacia di questi attacchi cognitivi è fortemente influenzata dal posizionamento all’interno dell’e-mail e dall’utilizzo dei “metodi di notifica”. Questi rappresentano un insieme di pratiche che possono essere adoperate per migliorare l’efficacia dell’attacco. Secondo alcuni studi [4], determinati metodi di notifica sono più adatti a veicolare specifici attacchi cognitivi, secondo il seguente schema:

Informazioni di contatto - Autorità;
Personalizzazione - Simpatia;
Oggetto - Scarsità;
Oggetto - Coerenza.

Per degli esempi di applicazione dei principi di persuasione e la descrizione dei metodi di notifica, si rimanda alla Fig.2.

Figura 2: Esempi di applicazione dei principi di persuasione e metodi di notifica

Clicca qui per ingrandire l'immagine

Esperimenti su larga scala [5] dimostrano l’efficacia degli attacchi personalizzati basati su vettori psicologici, evidenziando la necessità di una formazione continua e dinamica sulla consapevolezza del phishing per mantenere un alto livello di vigilanza tra i potenziali bersagli. Nella sezione successiva illustriamo il nostro lavoro in progetti di ricerca e innovazione sul tema del fattore umano nel phishing, ampiamente trattato dalla comunità scientifica e di security come uno dei principali vettori d’infezione usato dal cybercrime.

Progetti di innovazione in TIM
TIM è impegnata in diversi progetti di ricerca e sviluppo di soluzioni efficaci da applicare in contesti enterprise in difesa degli attacchi di Phishing. Crediamo che l’approccio vincente sia un framework collaborativo basato su utenti consapevoli, che forniscono una “immunità di gregge”, e strumenti intelligenti di prioritizzazione delle lavorazioni degli analisti di sicurezza [6]. Dall’inizio del 2018 abbiamo sviluppato questa idea, raccogliendo la posta elettronica di spam e supportando l’etichettatura di quelle effettivamente pericolose come critiche, attraverso il monitoraggio continuo degli analisti. Utilizzando questo set di dati etichettato, abbiamo dimostrato che le tecnologie di Machine Learning possono classificare efficacemente le e-mail come critiche, evidenziando le minacce, aghi in un pagliaio di e-mail indesiderate ed innocue. Grazie ai risultati ottenuti e alle lezioni apprese, abbiamo riprogettato il processo di gestione delle minacce via e-mail attorno a questo approccio collaborativo. Si basa ora su utenti esperti e consapevoli che segnalano e-mail sospette, un sistema automatico di raccolta e analisi dei dati, e analisti di sicurezza che indagano in profondità secondo i suggerimenti del sistema (Fig.3).

Figura 3: Ecosistema di difesa

Clicca qui per ingrandire l'immagine

In sintesi, come risultato delle nostre proposte, l’approccio alla difesa collaborativa si basa non solo sulla collaborazione tra utenti, che segnalano e-mail sospette anche per la difesa degli altri, ma anche sulla collaborazione tra uomo e macchina. Infatti, grazie allo sforzo congiunto di dipendenti e analisti di sicurezza, un motore di apprendimento automatico viene alimentato con campioni segnalati dagli utenti ed etichettati dagli analisti. La macchina viene quindi addestrata su quali sono le principali caratteristiche delle e-mail pericolose, classificando le nuove sospette per gli analisti e fornendo anche importanti informazioni su dove gli utenti devono migliorare per evitare di essere vittime di attacchi di phishing. A regime, le due fasi diventano concorrenti, formando un circolo virtuoso di difesa e prevenzione (Fig.4).

Figura 4: Framework collaborativo uomo-macchina

Clicca qui per ingrandire l'immagine

L’aspetto umano e personale è ormai al centro delle ricerche di una soluzione efficace agli attacchi di Phishing. In collaborazione con le Università, crediamo che per risolvere il problema del phishing bisogna comprendere profondamente il fenomeno umano e cognitivo. Per questo motivo, abbiamo avviato una campagna di test su larga scala per collezionare preziose informazioni sul comportamento delle persone quando leggono le e-mail [7].
Partecipa anche tu:
https://spamley.comics.unina.it/.

Conclusioni

Chiunque non sufficientemente formato o semplicemente ingaggiato nel momento sbagliato, può essere indotto ad effettuare azioni che possono compromettere la sicurezza enterprise e vanificare gli sforzi tecnologici atti ad irrobustirla. È così che la sicurezza informatica, dall’essere un argomento puramente tecnico/tecnologico, si combina con la psicologia, creando una nuova branca della cybersecurity chiamata “cyberpsychology” sempre più vicina alle materie umanistiche. Attraverso questa nuova disciplina, si tenta di contrastare il crimine informatico che da sempre fa leva sulle debolezze umane per raggiungere i propri scopi. È tempo di armarci con la conoscenza, trasformando ogni utente in un guardiano digitale. Solo attraverso un impegno collettivo, che fonde tecnologia e sensibilizzazione umana, possiamo aspirare a un domani sicuro nel cyberspazio.

Bibliografia

Gianluca Stringhini, Oliver Hohlfeld, Christopher Kruegel, and Giovanni Vigna. The harvester, the botmaster, and the spammer: On the relations between the different actors in the spam landscape. In Proceedings of the 9th ACM Symposium on Information, Computer and Communications Security, ASIA CCS ’14, pages 353–364, New York, NY, USA, 2014. Association for Computing Machinery
James L Parrish Jr, Janet L Bailey, and James F Courtney. A personality based model for determining susceptibility to phishing attacks. Little Rock: University of Arkansas, pages 285–296, 2009
Rachna Dhamija, J Doug Tygar, and Marti Hearst. Why phishing works. In Proceedings of the SIGCHI conference on Human Factors in computing systems, pages 581–590, 2006
Pavlo Burda, Tzouliano Chotza, Luca Allodi, and Nicola Zannone. Testing the effectiveness of tailored phishing techniques in industry and academia: a field experiment. In Proceedings of the 15th International Conference on Availability, Reliability and Security, pages 1–10, 2020
Florian Quinkert, Martin Degeling, and Thorsten Holz. Spotlight on phishing: A longitudinal study on phishing awareness trainings. In International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment, pages 341–360. Springer, 2021
Luigi Gallo, Alessandro Maiello, Alessio Botta, Giorgio Ventre, 2 Years in the anti-phishing group of a large company, Computers & Security, Volume 105, 2021, 102259, ISSN 0167-4048, https://doi.org/10.1016/j.cose.2021.102259
Luigi Gallo, Danilo Gentile, Saverio Ruggiero, Alessio Botta, Giorgio Ventre, The human factor in phishing: Collecting and analyzing user behavior when reading emails, Computers & Security, Volume 139, 2024, 103671, ISSN 0167-4048, https://doi.org/10.1016/j.cose.2023.103671

Acronimi

HTTPS Hypertext Transfer Protocol Secure

IARPA Intelligence Advanced Research Projects Agency

PaaS Phishing-As-a-Service PaaS

SMTP Simple Mail Transfer Protocol