Siamo noi i migliori amici dei criminali informatici. Complici addirittura. E già, perché in 6 su 10 abbocchiamo alle mail di phishing e clicchiamo sui link che ci portano nelle braccia dei delinquenti. Sono sconcertanti i risultati di un test approfondito - Social Driven Vulnerability Assestment (SDVA) - condotto da Cefriel. Soprattutto perché chi ha partecipato all'esperimento, almeno in apparenza, non dovrebbe essere così sprovveduto. Si tratta di 40mila dipendenti di una ventina di imprese europee che operano nei settori bancario-assicurativo, energetico, in amministrazioni pubbliche e aziende di prodotti e servizi.
Cefriel, i cui soci sono Politecnico di Milano, Università degli Studi di Milano, Università degli Studi di Milano-Bicocca, Università degli Studi dell'Insubria, Regione Lombardia e imprese leader multinazionali, ha reso evidente con questo esperimento che il problema numero uno della sicurezza informatica è il fattore umano.
Il test SDVA ha messo alla prova 40mila utenti di venti aziende per stimare la vulnerabilità legata all'interazione umana. Ai dipendenti sono state inviate mail contenenti un invito a visitare un sito esterno all'azienda e inserire le proprie credenziali aziendali. Le esche utilizzate nella mail erano abbastanza generiche, vagamente contestualizzate alla realtà aziendale tramite loghi, colori o riferimenti a iniziative reali, e contenevano informazioni facilmente reperibili online.
Ebbene, il 60% dei destinatari ha cliccato sul link ingannevole e, tra questi, circa tre quarti (75%) ha digitato le proprie credenziali senza verificare l'attendibilità del mittente, specie nei primi venti minuti dal ricevimento della mail. Analizzando i dati per settore, quello bancario-assicurativo è risultato il più vulnerabile. Dagli attacchi condotti su più aziende del settore risulta che in media il 41% ha clicca sul link ingannevole, mentre in media il 27% ha inserito le proprie credenziali. Numeri più bassi, ma comunque preoccupanti sono stati riscontrati nella pubblica amministrazione: il 33% ha cliccato sul link, il 16% ha inserito anche le credenziali.
Il test di Cefriel ha dimostrato che a un delinquente informatico bastano tre mail per ottenere un click sul link potenzialmente malevolo contenuto all'interno, e quattro per convincere almeno un utente a inserire le proprie credenziali sul sito ingannevole. Altro fattore determinante è il tempo: il 50% del totale delle vittime abbocca entro i primi 20 minuti, mentre per attivare i processi e i sistemi di sicurezza aziendale ci vuole più tempo, e spesso è troppo tardi.
Come difendersi? Con la prevenzione e l'alfabetizzazione, come sottolinea il Ceo di Cefriel, Alfonso Fuggetta: "la velocità con cui questi attacchi prendono piede dimostra che è necessario un progetto di formazione per cambiare l'approccio culturale degli utenti".