Poiché le tecniche di phishing continuano a evolversi, diventando sempre più sofisticate e ingannevoli agli occhi delle persone, la necessità di una comprensione multidimensionale dell’interazione umana con le e-mail diventa sempre più evidente. In questo senso, gli studi che indagano sugli aspet­ti ergonomici e dei fattori umani rivestono un ruolo fondamentale, concentrandosi per definizione sulla comprensione del comportamento umano durante l’esecuzione di azioni suscettibili di errore, come aprire un collegamento malevolo presente all’interno di una e-mail. Gli approcci tradizionali allo studio del phishing dal punto di vista delle vittime hanno spesso fatto affi­damento su sondaggi, auto-segnalazioni e analisi post hoc, fornendo preziose intuizioni sulla fenomenologia dell’attacco, ma non catturando pienamente le dina­miche in tempo reale dell’interazione degli utenti con le e-mail, che potrebbero invece essere utili a spiegare perché, molto spesso nonostante il training, le perso­ne continuino a fallire nel riconoscimento, cadendo nell’inganno. A questo proposito, recenti studi nell’ambito della cybersecurity e dell’ergonomia stanno sfruttando l’a­nalisi del comportamento oculare delle persone, abili­tata dall’utilizzo di dispositivi di eye-tracking. Nella Fig.A è possibile osservare un esempio di eye-tracker indossabile (Tobii Pro Glasses 2), costituito da un paio di occhiali equipaggiato con due telecamere ad infrarossi rivolte verso gli occhi della persona moni­torata atte a catturarne il riflesso corneale ed una tele­camera rivolta verso l’esterno atta a catturare la scena visualizzata, in questo caso uno schermo su cui sono presentati diversi esempi di e-mail di phishing.

Il comportamento oculare delle persone è indicativo dell’attenzione che esse rivolgono ad una scena osser­vata: la conoscenza della sequenza dettagliata delle aree osservate consente di identificare le zone su cui il soggetto si sofferma di più, e dunque quali sono gli og­getti di sforzi di concentrazione o capaci di catalizzare interesse o ispezioni ripetute. La Fig.B è un esempio del genere di informazioni che è possibile ottenere con gli studi basati su eye-tracking. 

Essa riporta tramite heatmap la distribuzione aggrega­ta dell’attenzione visiva nell’ispezione di una e-mail di phishing da parte di un gruppo di 15 esperti di cyber­security e di un gruppo di 13 non esperti: è evidente come gli esperti si concentrino sull’analisi dell’intesta­zione della e-mail, mentre i non esperti applicano un comportamento di ispezione più dispersivo. Esaminando la relazione tra le performance nel ricono­scimento di diversi tipi di phishing, gli attributi persona­li dell'individuo (i.e. dati demografici, livello di istruzio­ne, livelli di affaticamento), e le informazioni raccolte tramite eye-tracking (i.e. la sequenza di osservazione delle aree di interesse e il tempo dedicato a ciascuna), è possibile ampliare notevolmente la comprensione delle modalità con cui le persone sono suscettibili al phishing. Questo apre la strada a strategie di prevenzione più efficaci, migliorando i programmi di formazione degli utenti e sviluppando interfacce di e-mail client intui­tive in grado di favorire percorsi di ispezione virtuosi e contrastare tentativi di phishing sempre più complessi.

alessio.botta@unina.it
roberta.presta@unisob.na.it

F. Pietrantonio et al., “Investigating Gaze Behavior in Phishing Email Identification”, 2023 7th Network Traffic Measurement and Analysis Conference (TMA), Naples, Italy, 2023, pp. 1-4