Casey Inez Canfield, Baruch Fischhoff, Alex Davis, Quantifying Phishing Susceptibility for Detection and Behavior Decisions, in Human Factors: The Journal of the Human Factors and Ergonomics Society 58: 8 (December 2016), pp. 1158-1172
Questo articolo riassume una ricerca svolta nel 2015 su ben 162 persone volontarie, ma scelte in funzione del loro profilo socio- professionale per costituire un campione rappresentativo della componente umana di una compagnia di dimensioni medie. L’analisi è stata finanziata e approvata dall’Institutional Review Board della Carnegie Mellon University e la sua metodologia ha seguito passo dopo passo il codice etico dell’American Psychological Association, Code 196 of Ethics.
In questo caso non si tratta, come in altri studi nello sesso campo, di un esperimento svolto durante campagne di awareness del personale, che in genere consistono nel lanciare una campagna di phishing prima del corso e una seconda subito dopo, per misurare la comprensione del fenomeno e delle regole da seguire.
Si è trattato invece di una simulazione di una situazione reale, ottenendo un indicatore il più preciso possibile su quanto è ancora incompresa, nella pratica quotidiana, la teoria divulgata tramite campagne di awareness, proprio perché tutti i volontari del campione sono stati educati sul fenomeno, in adempimento delle norme aziendali in vigore negli USA per combattere i fenomeni di criminalità informatica, in primis quello del phishing.
I risultati sono più che preoccupanti. Prima di ricevere le mail da analizzare, tutti i partecipanti hanno ricevuto messaggi del tipo “State in guardia, più della metà delle mail che riceverete saranno di tipo phising”.
Per di più, non sono stati trasmessi mail complicate, bensì mail con tutti i segnali che indicano che ci si trova davanti ad un tentativo di phishing, ovvero: (1) Saluto impersonale, (2) URL o indirizzi IP dubbi e mandati con nomi creati intenzionalmente per non ispirare fiducia 3) contenuti anomali in tutto quello che riguarda sia il destinatario che il “falso” mittente (4) domande di azione urgente, e infine (5) errori grammaticali ed ortografici.
Nel dettaglio, la percezione del phishing come elemento quasi “costitutivo” dell’inbox quotidiano è abbastanza buona: il campione dimostra di sapere che si trova di fronte a mail di phishing e che ha la possibilità di analizzarli o di distruggerli direttamente. Questo risulta dal primo esperimento, nel quale i partecipanti dovevano rispondere alle domande seguenti: (1) “è questa una mail di phishing?” (Si/No); (2) “Cosa farebbe se ricevesse questa mail?” (domanda con risposte a scelta multiple).
Al contempo però, quando i volontari si sono trovati realmente davanti a una mail dubbia, la fiducia in sé stessi sembrava essersi offuscata completamente nella maggioranza dei partecipanti e gli errori sono andati moltiplicandosi.
Le conclusioni, come si può osservare nel grafico soprastante, sono devastanti e siamo convinti che se si facesse un test identico su cittadini europei, dove la presa di coscienza sul rischio cyber è spesso inesistente, i risultati sarebbero ancora più catastrofici. Grazie a questo raro tipo di ricerca, che speriamo si ripeta spesso, avremo finalmente delle evidenze per convincere sia gli Enti statali che le aziende private, che è arrivato il momento di reagire per limitare i danni, soprattutto dopo gli ultimi due anni dove, in tutta Europa, vere e proprie ondate mensili di ransomware hanno raggiunto le vittime proprio tramite mail di phishing.
