Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Segreti di spionaggio rivelati: I criminali informatici riciclano il mestiere della spia

    Cosa devono sapere i dipendenti e gli individui per rimanere al sicuro di fronte a questa minaccia in continua crescita.

    by Giulian Garruba

    Key Points

    • I criminali informatici di oggi prendono più spesso spunto dalle tattiche di spionaggio tradizionali, a loro vantaggio.
    • La consapevolezza di queste tattiche e l'apprendimento di come combatterle nel lavoro e nelle routine quotidiane sono fondamentali.
    • Le organizzazioni devono incorporare queste tattiche di spionaggio nella loro formazione di sensibilizzazione alla sicurezza e nelle loro strategie di cybersecurity.
    • Mimecast ha ospitato un webinar in cui si è parlato di questo argomento con Shawnee Delaney, Fondatrice e CEO di Vaillance Group, ed esperta riconosciuta a livello mondiale nella gestione del rischio umano, delle minacce interne e delle indagini di sicurezza.

    Ci sono molte somiglianze tra le tattiche utilizzate dalle spie nelle tradizionali operazioni clandestine in tutto il mondo e quelle utilizzate dagli attori delle minacce di cybersecurity. Entrambi si basano sul reclutamento di persone che, volontariamente o meno, forniscono accesso a informazioni sensibili e protette. Nel caso di una spia tradizionale, l'obiettivo dei governi è quello di raccogliere, analizzare e talvolta influenzare le informazioni importanti per la sicurezza nazionale e gli interessi strategici di un Paese. L'obiettivo di un attore di minacce è quello di ottenere le credenziali e il punto d'appoggio in un'organizzazione per raccogliere informazioni da vendere a scopo di lucro o da utilizzare per commettere reati.

    Secondo Shawnee Delaney, Fondatore e CEO di Vaillance Group, ed esperto riconosciuto a livello mondiale nella gestione dei rischi umani, delle minacce interne e delle indagini di sicurezza, "gli ingegneri sociali e i criminali informatici non stanno inventando nulla di nuovo. In sostanza, stanno riciclando il mestiere di spia". Diamo un'occhiata ad alcune di queste tattiche.

    Maestri della manipolazione

    Gli attori di successo delle minacce alla cybersecurity sono maestri della manipolazione, spesso sfruttando le emozioni umane, in particolare la paura, per raggiungere i loro obiettivi malevoli. Creando messaggi che creano un senso di urgenza o di panico, come falsi avvisi su conti compromessi, bollette non pagate o azioni legali imminenti, spingono le persone ad agire senza pensare.

    Queste tattiche di ingegneria sociale sfruttano il nostro istinto di risolvere rapidamente le minacce percepite, inducendo le vittime a cliccare su link dannosi, a scaricare allegati dannosi o a fornire informazioni sensibili come le credenziali di accesso. La paura è un potente motivatore e i criminali informatici la utilizzano per aggirare il nostro giudizio razionale, rendendo anche le persone più caute vulnerabili ai loro schemi. Riconoscere questi fattori emotivi è fondamentale per rimanere vigili e proteggersi dal cadere nelle loro trappole.

    Pregiudizio dell'autorità

    Le persone possono essere particolarmente vulnerabili alla manipolazione attraverso e-mail e messaggi malevoli provenienti da figure di autorità percepite, a causa di un fenomeno psicologico noto come pregiudizio di autorità. Questo pregiudizio deriva dalla nostra tendenza innata ad assecondare le richieste o le istruzioni di coloro che consideriamo avere potere, competenza o influenza.

    I criminali informatici sfruttano questo aspetto impersonando manager, dirigenti o altre figure autorevoli, creando messaggi che creano un senso di urgenza o di obbligo. Ad esempio, un'e-mail che sembra provenire da un amministratore delegato potrebbe richiedere informazioni sensibili o un'azione immediata, facendo leva sul desiderio del destinatario di compiacere ed evitare di deludere qualcuno in una posizione di potere. La paura di ripercussioni o l'istinto di seguire gli ordini senza fare domande possono prevalere sul pensiero critico, rendendo le persone più inclini a cadere vittime di truffe di phishing o di altre forme di ingegneria sociale. Ciò evidenzia l'importanza di promuovere una cultura dello scetticismo e di formare i dipendenti a verificare le richieste, anche se provenienti da fonti fidate, prima di agire.

    Reciprocità e curiosità

    La reciprocità e la curiosità sono due fattori psicologici spesso sfruttati nelle e-mail dannose per indurre le persone a cliccare su link dannosi. La reciprocità gioca sulla tendenza umana a sentirsi obbligati a restituire un favore; ad esempio, un'e-mail potrebbe offrire un omaggio, uno sconto esclusivo o una risorsa utile in cambio di un clic su un link. Questo crea un senso di indebitamento, spingendo il destinatario ad agire senza considerare appieno i rischi.

    La curiosità, invece, fa leva sul nostro desiderio innato di scoprire l'ignoto. Una riga dell'oggetto abilmente realizzata come "Non crederà a quello che abbiamo scoperto su di lei!" o "Urgente: Fondi non reclamati a suo nome" può suscitare interesse, portando i destinatari a cliccare per soddisfare la loro curiosità. Insieme, queste tattiche creano una potente attrazione psicologica, rendendo anche le persone più prudenti più suscettibili di cadere negli schemi di phishing.

    Sfruttando le nostre emozioni

    Proprio come le spie, i criminali informatici sono diventati molto abili nel fare leva sulle emozioni dei loro obiettivi. Fanno leva sull'avidità creando messaggi allettanti che promettono ricompense finanziarie, vincite alla lotteria o offerte esclusive, spingendo le vittime a cliccare su link dannosi o a condividere informazioni sensibili. Allo stesso modo, sfruttano la nostra natura disponibile fingendosi colleghi fidati, amici o figure autoritarie in difficoltà, creando un senso di urgenza che abbassa le difese e incoraggia un'azione rapida e acritica. Combinando la manipolazione emotiva con l'ingegneria sociale, queste tattiche ingannano efficacemente le persone e aprono la porta ai cyberattacchi.

    Inoltre, i criminali informatici sfruttano l'eccessiva fiducia, la routine e la compiacenza per portare avanti i loro piani. Molti individui credono di essere troppo esperti per cadere nelle truffe, scremano le e-mail durante le routine più impegnative o si affidano troppo alle misure di sicurezza organizzative, il che li rende meno vigili. Imitando modelli familiari, come richieste di lavoro, aggiornamenti di pacchetti o avvisi finanziari, e utilizzando strumenti di intelligenza artificiale per personalizzare i messaggi in base all'attività sui social media e al comportamento online, i criminali informatici creano e-mail molto convincenti. Questi messaggi personalizzati fanno riferimento a dettagli specifici, come acquisti recenti o traguardi professionali, facendoli apparire autentici e aumentando la probabilità di coinvolgimento.

    L'atto di non agire

    Shawnee Delaney offre un ottimo consiglio alle persone che potrebbero trovarsi a subire tattiche di spionaggio da parte di criminali informatici, sia nel lavoro che nella vita privata: "Dico sempre ai miei figli che se ricevono un'e-mail o una telefonata... e provano una grande emozione, non devono fare nulla".

    Quando le persone si imbattono in un'e-mail o in un messaggio che potrebbe essere potenzialmente dannoso, è fondamentale resistere all'impulso di agire immediatamente. I criminali informatici spesso sfruttano l'urgenza per evitare il processo decisionale razionale, spingendo ad azioni affrettate come cliccare su link dannosi o condividere informazioni sensibili. Fermarsi a verificare l'autenticità di un messaggio può fare la differenza tra cadere vittima di una truffa e salvaguardare la sicurezza personale o organizzativa.

    Semplici accorgimenti, come controllare l'indirizzo e-mail del mittente o contattare il mittente attraverso un canale affidabile, possono aiutare a confermare la legittimità. Privilegiando la prudenza rispetto alla velocità, le persone possono proteggere se stesse e le loro organizzazioni dagli attacchi di phishing e da altre minacce informatiche. 

    Scopra di più

    Questo blog non fa che scalfire la superficie della nostra discussione tra Shawnee Delaney e il Chief Marketing Officer di Mimecast, Adenike Cosgrove, e il Chief Product Officer Rob Juncker. Guardi la sessione completa, Segreti di spionaggio rivelati: Padroneggia l'Human Risk, e mentre lo fa, ottiene l'accesso esclusivo al Kit di sensibilizzazione sulla Cybersecurity di Mimecast, che contiene le migliori pratiche per i leader IT, di sicurezza e aziendali, oltre a un'utile formazione per i dipendenti.

    21BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    Colmare il divario: perché l'AI da sola non è sufficiente per fermare gli attacchi BEC

    Related Articles

    Email Collaboration Threat Protection
    Indagine sulla cattiva condotta in Slack e Microsoft Teams: Dos, don't e considerazioni sulla privacy
    Email Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email Collaboration Threat Protection
    Perché Mimecast guida la lotta contro le frodi via e-mail nel 2024

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top