Il consiglio di “non cliccare su link sospetti” è ancora inefficace: l’approccio del Regno Unito alla sicurezza informatica
Il National Cyber Security Centre (NCSC) del Regno Unito ha recentemente pubblicato un articolo, datato 13 marzo 2025, con un’affermazione che, nonostante anni di campagne di sensibilizzazione, risuona ancora come un problema persistente nella sicurezza informatica: “Dire agli utenti di ‘evitare di fare clic su collegamenti cattivi’ non funziona ancora.” Questa constatazione, pur non essendo una novità, sottolinea la necessità di approcci più sofisticati e multi-strato per proteggere gli utenti online dalle minacce informatiche.
L’articolo del NCSC non si limita a constatare un fallimento; esplora le ragioni dietro l’inefficacia di questo consiglio apparentemente semplice e offre spunti su come migliorare la situazione. Analizziamo le ragioni e le possibili soluzioni:
Perché il consiglio “non cliccare su link sospetti” non funziona?
- Sottovalutazione della complessità degli attacchi di phishing: I criminali informatici sono diventati estremamente abili nel creare e-mail, messaggi e siti web che imitano perfettamente quelli legittimi. Utilizzano loghi aziendali rubati, imitano il tono di voce di persone conosciute e sfruttano le emozioni umane (come la paura o l’urgenza) per ingannare le vittime. Distinguere un’e-mail falsa da una reale è diventato un compito sempre più difficile, anche per gli utenti più esperti.
- Il “bias dell’ottimismo”: Molte persone credono di essere intelligenti e astute a sufficienza per riconoscere un tentativo di phishing. Questo “bias dell’ottimismo” le porta a sottovalutare il rischio e a cliccare su link che altrimenti eviterebbero. La convinzione di non essere una facile preda rende gli utenti più vulnerabili.
- Pressione temporale e multitasking: Gli utenti spesso controllano le e-mail e i messaggi mentre sono impegnati in altre attività. La pressione temporale e il multitasking riducono l’attenzione e la capacità di valutare criticamente un link prima di cliccarci sopra. L’urgenza creata dai truffatori (es. “Controlla subito il tuo conto bancario!”) sfrutta proprio questa vulnerabilità.
- Difficoltà nel valutare l’URL: Molti utenti non sanno come interpretare un URL per capire se è legittimo o meno. Gli attaccanti possono utilizzare tecniche come l’URL shortening, l’utilizzo di caratteri simili (es. “rn” invece di “m”) o il “typosquatting” (registrazione di domini con errori di battitura) per mascherare la vera destinazione di un link.
- L’evoluzione delle tecniche di attacco: Il panorama delle minacce è in continua evoluzione. I criminali informatici sviluppano costantemente nuove tecniche per aggirare le difese e ingannare gli utenti. I semplici consigli di “non cliccare su link sospetti” non riescono a tenere il passo con questa evoluzione.
- Falsa sensazione di sicurezza data da filtri antispam: Gli utenti potrebbero diventare complici credendo che i filtri antispam siano sufficienti a bloccare ogni minaccia. In realtà, i filtri antispam non sono infallibili e spesso lasciano passare messaggi di phishing sofisticati.
Come migliorare la situazione? Proposte del NCSC:
L’articolo del NCSC propone un approccio multifattoriale, che va oltre il semplice consiglio di “non cliccare su link sospetti”. Ecco alcuni suggerimenti chiave:
- Migliorare la formazione e la consapevolezza: La formazione deve essere più interattiva e pratica, simulando situazioni reali di phishing. Invece di semplici elenchi di “cose da fare e non fare”, è necessario concentrarsi sullo sviluppo di un pensiero critico e sulla capacità di analizzare e valutare i link. La formazione dovrebbe essere continua e adattarsi alle nuove minacce.
- Implementare soluzioni tecniche più robuste: La protezione non può dipendere solo dall’utente finale. Le aziende e le organizzazioni devono implementare soluzioni tecniche come:
- Autenticazione a due fattori (2FA): Riduce significativamente il rischio di accesso non autorizzato, anche se le credenziali sono state compromesse.
- Filtri anti-phishing avanzati: Sistemi di rilevamento e blocco di e-mail sospette basati su intelligenza artificiale e machine learning.
- Sandbox: Ambienti isolati per l’esecuzione di codice sospetto, impedendo che infetti il sistema principale.
- DNS filtering: Blocco dell’accesso a domini web noti per la distribuzione di malware o il phishing.
- Promuovere una cultura della segnalazione: Incoraggiare gli utenti a segnalare le e-mail e i messaggi sospetti, anche se non sono sicuri che si tratti di phishing. Questo permette ai team di sicurezza di identificare e mitigare rapidamente le minacce.
- Semplificare i processi di verifica: Se un utente riceve un’e-mail che richiede azioni urgenti (es. reimpostare la password), fornire alternative semplici e sicure per verificare la richiesta, come contattare direttamente l’azienda o l’organizzazione tramite un canale ufficiale.
- Adottare un approccio “zero trust”: Assumere che qualsiasi richiesta di accesso, anche se proveniente dall’interno della rete, sia potenzialmente pericolosa. Verificare l’identità e l’autorizzazione di ogni utente e dispositivo prima di concedere l’accesso alle risorse.
- Focus sull’usabilità delle misure di sicurezza: Le misure di sicurezza devono essere facili da usare e non devono ostacolare la produttività degli utenti. Se le misure sono troppo complicate o intrusive, gli utenti saranno tentati di aggirarle, rendendole inefficaci.
In conclusione:
L’articolo del NCSC sottolinea un punto cruciale: la sicurezza informatica non può basarsi esclusivamente sulla responsabilità dell’utente finale. Un approccio olistico e multi-strato, che combini formazione efficace, soluzioni tecniche robuste e una cultura della sicurezza consapevole, è essenziale per proteggere gli utenti dalle minacce informatiche in continua evoluzione. Il futuro della sicurezza informatica risiede nella creazione di un ambiente online più sicuro per tutti, riducendo la dipendenza dalla fragile linea di difesa rappresentata dal semplice consiglio di “non cliccare su link sospetti”.
Dire agli utenti di “evitare di fare clic su collegamenti cattivi” non funziona ancora
L’IA ha fornito le notizie.
La seguente domanda è stata utilizzata per ottenere la risposta da Google Gemini:
Alle 2025-03-13 11:22, ‘Dire agli utenti di “evitare di fare clic su collegamenti cattivi” non funziona ancora’ è stato pubblicato secondo UK National Cyber Security Centre. Si prega di scrivere un articolo dettagliato con informazioni correlate in modo chiaro.
50