L’avvertimento di non cliccare su “link sospetti” è obsoleto: Una riflessione sulla sicurezza informatica moderna
Il 13 marzo 2025, il National Cyber Security Centre (NCSC) del Regno Unito ha pubblicato un blog post dal titolo inequivocabile: “Dire agli utenti di ‘evitare di fare clic su collegamenti cattivi’ non funziona ancora”. Questo annuncio, apparentemente semplice, segna un punto di svolta importante nella strategia di sensibilizzazione alla sicurezza informatica e ci invita a riconsiderare un approccio che, per anni, è stato un pilastro della formazione sulla sicurezza.
Il problema di fondo: La complessità del panorama delle minacce
Perché un consiglio così basilare come “non cliccare su link sospetti” si rivela inefficace? La risposta risiede nella crescente sofisticazione delle minacce informatiche e nella natura sempre più complessa dell’ambiente digitale in cui operiamo.
- Tecniche di phishing avanzate: I criminali informatici non si limitano più a inviare email mal scritte con errori grammaticali evidenti. Utilizzano tecniche di spear phishing e whale phishing per creare email estremamente personalizzate che imitano comunicazioni legittime da persone, aziende o enti governativi di cui le vittime si fidano. Riescono a raccogliere informazioni personali dalle reti sociali e dai database violati per rendere i loro attacchi sempre più credibili.
- Link compromessi su siti web affidabili: Non è solo questione di evitare link provenienti da fonti sconosciute. I criminali informatici riescono a iniettare codice malevolo in siti web legittimi e popolari, trasformando un sito di fiducia in una fonte di infezione.
- La pressione del tempo e l’urgenza emotiva: Le email di phishing spesso giocano sulla paura, sull’urgenza o sull’avidità per indurre le persone a cliccare impulsivamente. “Conto bancario bloccato”, “Vincita di un concorso”, “Fattura non pagata”: questi sono solo alcuni esempi di pretesti comuni che spingono le persone a reagire senza pensare.
- L’evoluzione dei canali di comunicazione: I link malevoli non si diffondono solo via email. Li troviamo sui social media, nei messaggi di testo (SMS), nelle app di messaggistica e persino nei codici QR stampati su flyer e poster.
Perché “non cliccare su link sospetti” è insufficiente:
- Difficoltà di identificazione: La definizione di “link sospetto” è diventata troppo vaga e soggettiva. Cosa distingue un link sicuro da uno pericoloso? Molti utenti non possiedono le competenze tecniche per analizzare l’URL di un link, controllare l’autenticità del mittente o rilevare anomalie nel testo dell’email.
- Stanchezza da avvisi: Le persone sono bombardate da avvisi di sicurezza e messaggi di sensibilizzazione, il che può portare a una sorta di “fatica da avviso” in cui gli utenti diventano insensibili ai pericoli e smettono di prestare attenzione.
- La fiducia come fattore di rischio: Tendiamo a fidarci delle comunicazioni provenienti da persone o aziende che conosciamo, abbassando le nostre difese e diventando più vulnerabili agli attacchi di phishing.
Oltre l’avvertimento: Un approccio alla sicurezza informatica a strati
L’NCSC suggerisce che la soluzione non è smettere completamente di educare gli utenti, ma di adottare un approccio più olistico e a strati che combini la formazione con misure di sicurezza tecnologiche.
- Formazione continua e personalizzata: Invece di semplici avvertimenti generici, la formazione sulla sicurezza informatica dovrebbe essere continua, interattiva e personalizzata in base ai ruoli e alle responsabilità degli utenti. Simulazioni di phishing realistiche possono aiutare le persone a identificare i segnali di pericolo in un ambiente sicuro.
- Implementazione di controlli di sicurezza robusti: Le aziende e le organizzazioni devono investire in tecnologie di sicurezza avanzate, come filtri anti-spam, software anti-malware, sistemi di rilevamento delle intrusioni e autenticazione a più fattori.
- Promozione di una cultura della sicurezza: Creare un ambiente in cui i dipendenti si sentano a proprio agio nel segnalare potenziali minacce senza timore di essere giudicati o puniti.
- Semplificare la segnalazione di incidenti: Fornire canali chiari e facili da usare per segnalare incidenti di sicurezza, come email di phishing sospette o siti web compromessi.
- Concentrarsi sulla mitigazione del danno: In caso di successo di un attacco di phishing, è fondamentale avere piani di risposta agli incidenti in atto per limitare i danni e ripristinare rapidamente i sistemi.
In conclusione:
L’affermazione dell’NCSC secondo cui “dire agli utenti di ‘evitare di fare clic su collegamenti cattivi’ non funziona ancora” non è un atto di resa, ma un invito all’azione. È un segnale che dobbiamo superare un approccio semplicistico alla sicurezza informatica e abbracciare un modello più sofisticato che combini la tecnologia, la formazione e una cultura della sicurezza forte. Solo così potremo proteggere noi stessi e le nostre organizzazioni dalle minacce informatiche in continua evoluzione.
Dire agli utenti di “evitare di fare clic su collegamenti cattivi” non funziona ancora
L’IA ha fornito le notizie.
La seguente domanda è stata utilizzata per ottenere la risposta da Google Gemini:
Alle 2025-03-13 11:22, ‘Dire agli utenti di “evitare di fare clic su collegamenti cattivi” non funziona ancora’ è stato pubblicato secondo UK National Cyber Security Centre. Si prega di scrivere un articolo dettagliato con informazioni correlate in modo chiaro.
36