Non sono passati molti anni da quando le fotografie si scattavano solo con una macchina fotografica e dovevano essere stampate per poter essere viste, dai luoghi di vacanza si mandavano cartoline, per passare al casello autostradale ci si doveva fermare e pagare il pedaggio, per prelevare del denaro ci si doveva recare in banca e fare la coda allo sportello.
L’elenco dei cambiamenti nelle nostre abitudini introdotti dall’evoluzione tecnologica degli ultimi decenni è davvero vasto e coinvolge praticamente tutti gli ambiti della nostra vita.
I più giovani riescono a fatica a immaginare come poteva essere un mondo senza le attuali tecnologie e la generazione che ha vissuto, o in alcuni casi subito, il cambiamento non sempre è consapevole di ciò che davvero è avvenuto.
Cyber-security: pc, smartphone e IOT
Se prendiamo ad esempio le fotografie, possiamo notare come sia cambiato radicalmente, oltreché il modo di scattarle, anche il nostro modo di condividerle passando dall’album mostrato agli amici più cari a foto anche molto intime mostrate sui social al mondo intero. Il semplice telepass che ci consente di transitare velocemente al casello autostradale lascia una traccia digitale del nostro passaggio che un tempo non esisteva.
Analogamente è cambiato il nostro rapporto con il denaro. Tra il doversi recare allo sportello per prelevare denaro contante e quindi effettuare gran parte dei pagamenti vis à vis stiamo passando a una modalità di pagamento “dematerializzata” attraverso carte di pagamento o strumenti elettronici. Secondo i dati di una ricerca condotta da Visa (Visa, 2017) l’82% dei millennials italiani (18-34 anni) dichiara di utilizzare lo smartphone per effettuare pagamenti e ben il 96% di loro prevede di farlo entro il 2020.
Non c’è dubbio che, a fronte di notevoli miglioramenti nelle nostre condizioni di vita, il prezzo che stiamo pagando sia quello di concedere ai fornitori dei vari servizi informazioni sulla nostra vita sia che si tratti di immagini, di viaggi, di abitudini e preferenze o delle nostre possibilità di acquisto. Nel prossimo immediato futuro, inoltre, con l’avvento dell’IOT (Internet Of Things) tutto questo riguarderà anche l’utilizzo che facciamo di tutti le apparecchiature presenti nelle nostre case (quanto ci riscaldiamo, cosa mangiamo, quali porte apriamo ecc).
Possiamo quindi affermare che le nostre vite sono, e lo saranno sempre di più a breve, quasi completamente incarnate negli strumenti tecnologici che ci circondano e che potremmo addirittura definire come parte della nostra “mente estesa” (Clark, 2002). La Stessa Corte Suprema degli Stati Uniti con la sentenza 573 del 25 giugno 2014 ha dichiarato lo smarphone protetto dal quarto emendamento affermando che nemmeno le forze di polizia, senza apposito mandato dell’autorità giudiziaria, possono accedere ai suoi contenuti essendo in grado di contenere informazioni molto personali di carattere politico, sanitario, psicologico, sociale, lavorativo e relazionale.
Una quantità di dati così preziosa attira inevitabilmente l’interesse, oltreché delle aziende che vendono prodotti o servizi online, anche di persone malintenzionate con l’obiettivo di truffarci o utilizzare in modo fraudolento le nostre informazioni.
Cyber security: le truffe online e le possibili conseguenze
Negli ultimi anni il fenomeno delle truffe online o degli attacchi hacker ha coinvolto un numero crescente di aziende e di persone.
Il caso di Cambridge Analytica con i 50 milioni di profili Facebook coinvolti (Franceschini, 2018), il furto di dati di 500 milioni di utenti di Yahoo (Biagio, 2016), i 117 milioni di mail e password rubati su Linkedin (Ansa.it, 2016) sono solo alcune delle situazioni più eclatanti che hanno riguardato i nostri dati personali.
Le stesse banche stanno subendo costanti attacchi al sistema informatico al punto che secondo il report “Banking & Financial Services Cyber-Security: US Market 2015-2020“ (Homeland Security Market Research, 2016) il mercato relativo alla protezione dei servizi finanziari americani arriverà a toccare la cifra record di 9,5 miliardi di dollari.
Ma non sono solo le aziende ad essere oggetto di attacco per il furto di dati personali.
A chi non è capitato di ricevere una mail o un messaggio di congratulazioni per aver vinto un nuovo Smartphone, o una mail da una banca con l’avviso che il nostro conto è stato bloccato e per sicurezza dobbiamo accedere al sito? Questi sono solo un paio di esempi di tentativi di entrare in possesso dei nostri dati personali e finanziari. Immaginiamo poi la quantità di applicazioni presenti sul nostro telefono e computer e il fatto che molte di esse ci chiedono una password per accedere o segnalano la nostra posizione; se non siamo attenti a utilizzare password diverse per ognuna aumentiamo enormemente il rischio che, nel caso una di queste sia ingannevole, l’accesso a tutte le nostre applicazioni sia potenzialmente in pericolo. Ma dobbiamo comunque essere molto attenti alle applicazioni che scarichiamo; è di pochi mesi fa, ad esempio, la notizia che un’applicazione per il fitness abbia rivelato informazioni potenzialmente sensibili sul personale militare americano e alleato in luoghi “caldi” come Afghanistan, Iraq e Siria (Lanni, 2018).
Appare evidente come queste truffe possano avere gravi conseguenze per l’ignara vittima, per l’azienda per cui lavora o addirittura, per la sicurezza nazionale.
In molti casi i dati vengono rivenduti e quindi utilizzati per l’invio di mail promozionali o ulteriori tentativi di truffa, in altri casi possono essere utilizzati per scoprire segreti o brevetti aziendali, per condizionare le nostre scelte politiche o di acquisto. Essere incauti quando rispondiamo a un messaggio o clicchiamo su un link può avere molte conseguenze: potremmo ad esempio acquistare un prodotto o un servizio che non arriverà mai o che arriverà contraffatto, potremmo ritrovarci con il PC bloccato con una richiesta di riscatto per poterlo sbloccare (ransomware), potremmo sottoscrivere abbonamenti a servizi mai richiesti, oppure potremmo essere ricattati per evitare la divulgazione di immagini personali. Le possibili conseguenze sono davvero tante e arrivano fino al furto dell’ identità digitale che consente al truffatore di compiere numerose operazioni con l’identità altrui come ad esempio comprare auto, sottoscrivere finanziamenti, aprire conti correnti, fino ad aprire vere e proprie aziende.
Cybersecurity: quali sono i meccanismi di queste truffe?
La modalità più frequentemente utilizzata è quella del Phishing o dello Spear Phishing.
Rientrano nella categoria di Phishing tutte quelle mail che riceviamo apparentemente da Istituti di Credito e che ci chiedono di inserire i nostri dati del conto per accedere e risolvere una qualche problematica. “La sua carta è stata bloccata…” “Abbiamo riscontrato movimentazioni sospette sulla sua carta…”. Il link presente nella mail reinvia a un sito simile a quello dell’Istituto e se l’utente inserisce i dati di accesso il gioco è fatto.
Un’altra tipologia di Phishing è rappresentata dalle comunicazioni di vittoria di un qualche premio. Per ricevere il premio dovremo inserire i nostri dati personali e in alcuni casi sono previsti anche piccoli costi di spedizione (anche solo di un euro) che ci costringono a inserire anche i dati della carta di credito.
Mentre il Phishing avviene sostanzialmente attraverso l’invio massivo di mail senza conoscenza particolare del destinatario, nello Spear Phishing c’è un invio mirato a una persona o una azienda di un testo credibile e di solito con un allegato infetto (malware). Nel momento in cui la persona apre l’allegato la sicurezza del sistema informatico è minacciata e potrebbero essere rubate informazioni riservate legate alla persona o all’azienda stessa.
Aprire allegati di mail di cui non conosciamo il mittente è sempre molto pericoloso. Potrebbe infatti trattarsi di un malware che potrebbe inviare informazioni dettagliate su cosa stiamo facendo (testi, password o immagini che visualizziamo a video) a qualcuno a nostra insaputa, attraverso delle backdoor installate furtivamente mentre noi apriamo l’allegato.
Cyber-security: le frodi sentimentali sui social
Oltre al Phishing e allo Spear Phishing ci sono molte altre strategie per ingannarci online, la frode sentimentale è uno di questi. Nella versione di qualche anno fa si trattava di una richiesta di contatto via mail, spesso sgrammaticata, da parte di una sedicente ragazza dell’est e successivamente di denaro per svariate ragioni (perso i documenti, viaggio per incontrarsi, furto subito). La versione più recente passa attraverso i social network o i siti di dating online. Il meccanismo in questo caso parte da un contatto da parte di una ragazza o un ragazzo molto affascinante. Se l’utente risponde al contatto, ci sarà una prima fase di consolidamento della relazione attraverso lo scambio di messaggi finalizzata ad aumentare la fiducia e l’intimità. A questo punto si possono verificare due situazioni: se il malintenzionato percepisce la vittima come di “buon cuore” potrebbe chiedere un piccolo prestito (analogamente al vecchio schema) o in alternativa potrebbe sedurla e portarla a inviare foto compromettenti con cui potrà in seguito attuare dei ricatti.
Cyber-security: quali aspetti psicologici ci portano a essere tratti in inganno?
Ci sono molti aspetti psicologici che vengono studiati dalla Social Engineering con l’obiettivo di aumentare le probabilità di successo di una truffa online.
Iniziamo con il concetto fondamentale di “disinibizione online” (Suler, 2004). Molte persone navigando in rete si comportano in modo differente da come farebbero nella vita offline di fronte ad altre persone. Si ha la percezione di essere anonimi, invisibili, si può rispondere in modo asincrono ai messaggi, non si vede la reazione emotiva dell’altra persona e non si rischia che l’altra persona veda la propria.
Tutto questo sembra disinibire il nostro comportamento e consentirci di fare cose per le quali vis à vis ci imbarazzeremmo. Ovviamente questo implica una serie di aspetti positivi come la possibilità di condividere sentimenti o situazioni che altrimenti sarebbe difficile condividere, il potersi sentire più autentici, il potersi sperimentare in relazioni online e aspetti negativi come ad esempio quelli legati alla violenza online o al cyberbullismo dove l’aggressività può raggiungere livelli ben più alti che nella vita offline. Essere disinibiti e abbassare quindi i nostri automatismi difensivi, ci potrebbe però anche far sottovalutare situazioni di pericolo o di potenziali truffe.
A tutto questo si aggiunge la mancanza di importantissimi indicatori utilizzati dai nostri sistemi di allarme, come la vista dell’altra persona, l’udito, l’olfatto, il che rende decisamente più difficile smascherare il potenziale inganno. In una interessante ricerca condotta da Jeff Hancock della Stanford University è stato scoperto che la presenza di segnali fisici sulla presenza reale di un’altra persona permette una maggiore attenzione alla propria privacy nelle interazioni online (Hancock, 2017).
Cyber-security: il fattore tempo
Abbiamo già individuato due fattori che aumentano la possibilità di indurci in inganno, la disinibizione online e la mancanza di indicatori fisici dell’altra persona.
C’è un altro aspetto che rende insidiosi questi attacchi: il fattore tempo.
Internet ha nella velocità una componente essenziale e nel futuro tutti ci aspettiamo che la velocità migliori ancora. Ma la velocità che ci consente di fare in pochissimo tempo molte cose ci da anche meno tempo per attivare le aree del cervello che ci consentono un’analisi precisa su cosa stiamo facendo. Un inganno tradizionale richiede oltre alle abilità del truffatore anche molto tempo; un inganno online è basato sull’istante necessario a cliccare su un link o a inserire qualche dato personale cosa che siamo abituati a fare senza pensarci troppo e in pochissimo tempo.
Per la truffa online è quindi fondamentale attivare degli automatismi mentali e fare in modo che l’operazione si concluda prima che le aree del nostro cervello deputate alla valutazione specifica si attivino.
Finora abbiamo considerato aspetti psicologici connessi alle caratteristiche dello strumento e della rete internet.
Cyber-security: fattori di rischio di personalità e interpersonali
Ci sono però altri due elementi da tenere in considerazione: gli aspetti temperamentali personali e quelli interpersonali. Tra gli aspetti temperamentali personali quello dell’impulsività è stato oggetto di numerosi studi (Hadlington, 2017) (Coutlee, Politzer, Hoyle, & Huettel, 2014) (McCoul, 2001) (Zuckerman, 2000).
Dagli studi condotti è emerso che una risposta impulsiva, rapida e senza riflettere sulle possibili conseguenze aumenta le probabilità di comportamenti rischiosi sulla cyber-sicurezza; sembra esserci inoltre una differenza significativa nella capacità di riconoscimento di una mail di phishing tra una persona impulsiva rispetto a una che riesce a controllare meglio il tono emotivo (Welk, Hong, Zielinska, Tembe, Murphy-Hill, & Mayhorn, 2015).
Tra gli aspetti psicologici connessi al nostro modo di stare in relazione con gli altri e alla nostra tendenza ad agire in funzione di mete particolari connesse con le esperienze emotive del momento, faremo riferimento a quelli che Liotti ha definito i Sistemi Motivazionali Interpersonali (Liotti, 2008) .
Possiamo individuare almeno 4 tipologie di phishing basate su schemi motivazionali interpersonali:
-
Il bisogno di ricevere aiuto
Quando stiamo male, proviamo disagio o paura cerchiamo l’immediata vicinanza di qualcuno che ci possa aiutare. Un esempio dell’applicazione nel phishing di questo nostro bisogno è evidente in tutte le mail che iniziano con un qualche cosa di allarmante come: “abbiamo notato movimenti sospetti sulla tua carta” “abbiamo bloccato la tua carta di credito” “sei stato scoperto a visitare siti pornografici”. Lo scopo di queste mail è attivare l’emozione della paura e il nostro immediato e automatico bisogno di aiuto. Le persone più sensibili a questo tipo di paura saranno attirate dalla seconda parte della mail che di solito offre una soluzione: “clicca qui” “accedi per verificare” “paga una quota e nessuno saprà nulla”; se il tutto avviene in un tempo rapido che non consente l’attivazione della parte cognitiva è probabile una violazione della sicurezza dei dati personali. -
Accudimento
Siamo esseri sociali e tendiamo a offrire aiuto agli altri in modo evolutivamente vantaggioso. Se vediamo una persona in una condizione di fragilità o in difficoltà sentiamo una spinta ad aiutarla. Si basano su questo nostro bisogno innato ad esempio le mail del tipo “sono una ragazza dell’est ho perso i documenti, puoi mandarmi un po’ di soldi?”. In un interessante esperimento condotto nel campus dell’Università dell’Illinois (Tischer, Durumeric, Bursztein, & Bailey, 2017) sono state abbandonate 297 chiavette usb per verificare quanti studenti avrebbero raccolto e utilizzato la chiavetta, mettendo potenzialmente a rischio la sicurezza, e per quale ragione. I partecipanti hanno aperto uno o più file su ben 135 chiavette e il 68 % di loro ha dichiarato di aver aperto i file alla ricerca di dati del proprietario per poter restituire l’unità mentre il 18% lo avrebbe fatto per curiosità. Sembrerebbe quindi che la motivazione principale, raccontata dai soggetti che hanno preso parte all’esperimento, che ha messo in pericolo la sicurezza del campus, abbia a che vedere con la bontà. -
Agonismo
Siamo istintivamente agonisti e competitivi gli uni con gli altri. Essere i più forti in natura garantisce cibo migliore e il rispetto del gruppo. Se in natura il rango si stabilisce con la lotta fisica per noi si traduce nel desiderio di essere più ricchi, possedere le cose più costose, avere più potere. Si basano su questo nostro bisogno innato le mail del tipo: “sei il fortunato vincitore di..” “c’è una grossa eredità da riscuotere” “prodotto di marca sotto costo”. Anche in questo caso la truffa può avere diversi obiettivi: la conferma dell’indirizzo e-mail, il furto dei dati personali, il furto di dati finanziari, la truffa per contraffazione. -
Sesso
La sessualità è il più grande sistema motivazionale umano. Possiamo essere attivati da fattori fisiologici, da fattori ambientali e dal corteggiamento dell’altro individuo. Si basano su questo nostro bisogno innato le frodi sentimentali del tipo “sono ragazza sola desiderosa…” o gli inviti ricevuti sui social network o app di incontri da profili con potenziali partner molto attraenti e apparentemente disponibili. Come abbiamo visto sopra una delle possibili conseguenze di questo tipo di frode potrebbe anche essere quella del ricatto nel caso in cui ci sia lo scambio di foto o materiale compromettente.
Non tutti siamo sensibili allo stesso modo alle varie situazioni, alcuni saranno più vulnerabili alle richieste di aiuto, altri alla paura, altri all’idea di avere un partner sessuale e altri ancora a ricevere un premio o del denaro. Queste motivazioni interpersonali sono alla base anche delle truffe nel mondo offline ma su internet la disinibizione, la velocità, la possibilità di inviare una serie infinita di messaggi con contenuti diversi aumenta la probabilità di intercettare la vulnerabilità su quel tema di quella specifica persona. Ovviamente il tutto, per raggiungere l’obiettivo, deve avvenire il più rapidamente possibile e senza attivare una valutazione critica cognitiva.
Come intervenire in modo efficace?
Le aziende hanno investito molto in sistemi di sicurezza basati sulla tecnologia e molte persone hanno installato sul proprio pc o smartphone software di protezione.
Tutto questo non sembra essere sufficiente per garantire la sicurezza. In una ricerca condotta dal governo Inglese (UK Department for Digital, Culture, Media & Sport, 2018) emerge come il 43% delle aziende abbia subito un attacco o un security breach negli ultimi 12 mesi nel 75% dei casi attraverso mail fraudolente, nonostante la presenza di sistemi di protezione.
Molte delle violazioni ai sistemi informatici sono da attribuire al fattore umano (Anwar, He, Ash, Yuan, Li, & Xu, 2016). Inoltre, come sottolineato da Wilde, l’affidarsi a sistemi di sicurezza tecnici per ridurre il rischio potrebbe allo stesso tempo generare la sensazione di sicurezza che ci porta a correre maggiormente il rischio stesso (Wilde, 1998).
Nel contesto della cyber security l’affidarsi a infrastrutture informatiche confidando esclusivamente nella presenza di software e sistemi di sicurezza potrebbe farci sentire meno la pericolosità delle nostre azioni e portarci persino a correre rischi maggiori (Hadlington, 2017).
I fattori umani da tenere presenti sono molteplici, la motivazione interpersonale, più o meno consapevole, che ci porta ad agire di fronte a determinati stimoli e situazioni; i tratti personali temperamentali di ansia o impulsività o, come messo in luce da Kimberly Young, la dipendenza dall’uso eccessivo di internet. Sono tutti fattori che vanno considerati come possibili elementi di vulnerabilità personale rispetto alla cyber security.
Diventa così difficile, se non impossibile, pensare a una soluzione efficace valida per tutti i contesti.
Laddove l’intervento punitivo non sembra portare ad un miglioramento del comportamento di sicurezza in un contesto aziendale (Young & Case, 2004) anche il limitarsi a dare informazioni sui rischi e i comportamenti corretti non è sufficiente (Bada, Sass, & Nurse, 2014).
Il tema della cyber security va affrontato con un approccio che tenga conto della sua complessità dove al primo livello risiede la necessità di analizzare le esigenze della specifica realtà aziendale e delle risorse umane.
I fattori umani di vulnerabilità possono essere personali, culturali, ambientali o sociali e non possono essere generalizzati ma vanno indagati nelle situazioni specifiche.
La conoscenza di questi fattori è un presupposto importante per non esserne vittime inconsapevoli e per questo la formazione diventa uno strumento essenziale. Un altro aspetto importante sarebbe la possibilità di identificare quelle persone che, per fattori umani, presentano un rischio più elevato e consentire a loro un percorso specifico finalizzato al cambiamento di atteggiamento e comportamento rispetto al tema della cyber security.
