Gli aspetti di un messaggio di posta elettronica che sembrano disattivati dovrebbero indurti a considerare la possibilità di phishing. Il trucco è ricordare che il phishing esiste. Credito:Rick Wash, CC BY-ND 4.0
Un dipendente della MacEwan University ha ricevuto un'e-mail nel 2017 da qualcuno che affermava di essere un imprenditore edile chiedendo di cambiare il numero di conto in cui sono stati inviati quasi $ 12 milioni di pagamenti. Una settimana dopo l'appaltatore vero e proprio ha chiamato chiedendo quando sarebbe arrivato il pagamento. L'e-mail sulla modifica del numero di conto era falsa. Invece di andare all'appaltatore, i pagamenti sono stati inviati a conti controllati da criminali.
Le email false che cercano di indurre le persone a fare cose che normalmente non farebbero, come inviare denaro, eseguire programmi pericolosi o fornire password, sono note come email di phishing. Gli esperti di sicurezza informatica spesso incolpano le persone che ricevono tali messaggi di non aver notato che le e-mail sono false.
Come ricercatore di sicurezza informatica, ho scoperto che la maggior parte delle persone è brava in quasi tutte le abilità che gli esperti di sicurezza informatica usano per notare le email false nelle loro caselle di posta. Fare la differenza dipende dall'ascoltare il tuo istinto.
Come fanno i professionisti
In una ricerca precedente, ho scoperto che quando gli esperti di sicurezza informatica hanno ricevuto un messaggio di posta elettronica di phishing, loro, come la maggior parte delle persone, presumevano che l'e-mail fosse reale. Inizialmente hanno preso tutto nell'e-mail al valore nominale. Hanno cercato di capire cosa chiedeva loro di fare l'e-mail e in che modo si collegava alle cose della loro vita.
Mentre leggono, hanno notato piccole cose che sembravano fuori luogo o diverse da quelle che sarebbero normalmente in messaggi di posta elettronica simili. Hanno notato cose come errori di battitura in un'e-mail professionale o la mancanza di errori di battitura da parte di un dirigente impegnato. Hanno notato cose come una banca che fornisce informazioni sul conto in un messaggio di posta elettronica invece della notifica standard che il destinatario aveva un messaggio in attesa nel sistema di messaggistica sicuro della banca. Hanno anche notato cose come qualcuno che insolitamente gli ha inviato un'e-mail senza prima menzionarlo di persona.
Ma notare questi segni non è sufficiente per capire che l'e-mail è una frode. Invece, gli esperti si sono appena sentiti a disagio con il messaggio di posta elettronica. È stato solo quando hanno visto qualcosa nel messaggio che ricordava loro il phishing che sono diventati sospettosi. Vedrebbero un'anomalia come un collegamento su cui l'e-mail stava cercando di indurli a fare clic. Nella loro mente, questi sono comunemente associati alle e-mail di phishing.
In combinazione con la sensazione di disagio per il messaggio di posta elettronica, questo promemoria ha spinto gli esperti a riconoscere che il phishing potrebbe spiegare le cose strane che hanno notato. Sono diventati sospettosi del messaggio e hanno indagato per scoprire se si trattava di una frode.
Buon istinto
Se è così che fanno gli esperti, cosa fanno le persone normali? Quando ho intervistato persone senza esperienza di sicurezza informatica, ho trovato un processo simile. La maggior parte delle persone ha notato cose che sembravano sbagliate, si è sentita a disagio con l'e-mail, si è ricordata del phishing e ha indagato.
La mia ricerca ha scoperto che le persone sono brave nei primi due passaggi:notare cose nell'e-mail che sembrano strane e sentirsi a disagio. Quasi tutti quelli con cui ho parlato hanno notato molteplici problemi quando hanno visto un'e-mail falsa e mi hanno detto di sentirsi a disagio con il messaggio.
E se le persone pensavano al phishing, erano anche brave a indagare. Invece di guardare i dettagli tecnici, tuttavia, la maggior parte delle persone ha contattato il mittente o ha chiesto aiuto ad altri. Ma sono stati comunque in grado di capire correttamente se un messaggio di posta elettronica fosse un attacco di phishing.
Storie di phishing
La maggior parte della formazione sul phishing insegna alle persone a cercare i problemi nella posta elettronica. Ma per la maggior parte delle persone, la parte difficile del phishing non è notare le cose strane in un messaggio di posta elettronica. Le persone spesso hanno a che fare con e-mail strane ma reali. Molti messaggi sembrano un po' fuori luogo. A volte il tuo capo sta passando una brutta giornata o la banca cambia le sue politiche. Nessun messaggio di posta elettronica è perfetto e le persone spesso sono in sintonia con questo.
La sfida per la maggior parte delle persone è stata ricordare che il phishing esiste e riconoscere che il phishing potrebbe spiegare queste cose strane. Senza quella consapevolezza del phishing, le stranezze dei messaggi di phishing possono essere perse nelle stranezze quotidiane delle email.
La maggior parte delle persone che ho intervistato conosce il phishing in generale. Ma le persone che sono state brave a notare i messaggi di phishing hanno riportato storie su specifici episodi di phishing di cui avevano sentito parlare. Mi hanno raccontato di una volta in cui qualcuno nella loro organizzazione si è innamorato di un'e-mail di phishing o di una notizia di un incidente come quello della MacEwan University.
La familiarità con specifici incidenti di phishing aiuta le persone a ricordare il phishing in generale e a riconoscere che potrebbe spiegare le cose strane che notano in un'e-mail. Queste storie sono fondamentali per le persone che vanno da "qualcosa di sospetto" a "questo è phishing?"