Psicologia del phishing: il pericolo in una email

Avete mai ricevuto un'email in cui vi chiedevano di rispondere con urgenza? Si trattava probabilmente di un tentativo di phishing, una truffa molto comune. Ne parliamo in questo articolo.
Psicologia del phishing: il pericolo in una email
María Vélez

Scritto e verificato la psicologa María Vélez.

Ultimo aggiornamento: 01 marzo, 2023

Con lo sviluppo delle tecnologie e di internet, la nostra realtà si è adattata al loro formato. Anche i reati sono su misura. Gli attacchi informatici sono molto diffusi nelle diverse forme: spyware, adware, worm o trojan. Uno dei cyber attacchi più comuni è però il furto di informazioni attraverso l’email; si può parlare di una vera e propria psicologia del phishing.

Il phishing è un attacco pericoloso compiuto da truffatori che si spacciano per persone o aziende che sollecitano un’azione da parte nostra. Tra le richieste, quella di aprire un file o fornire dati (bancari o personali) a loro vantaggio. È, inoltre, un metodo veloce per infettare un gran numero di utenti. Si stima che nel 2019 siano stati portati a termine oltre nove milioni di attacchi di phishing.

Sebbene a priori potrebbe sembrare facile identificare queste truffe, i criminali sanno come organizzarle e farci cadere nella loro rete. Giocano con le emozioni, con i meccanismi psicologici elementari e spesso la loro strategia non viene percepita come inganno. Sfruttano, in altre parole, la psicologia del phishing.

Uomo con cappuccio al computer che sfrutta la psicologia del phishing.

Psicologia del phishing e ingegneria sociale

I criminali informatici progettano le loro truffe sfruttando conoscenze di sociologia e psicologia sociale . In genere giocano su quattro emozioni: avidità, curiosità, dolore e paura. La combinazione di queste emozioni ci fa reagire quasi istintivamente.

Giocando con questi aspetti e tenendo conto di altri comportamenti sociali, i criminali del phishing ci convincono a fornire informazioni preziose.

Vediamo a seguire tre comportamenti di base che possono essere sfruttati per raggirare una persona. Il successo della truffa, naturalmente, dipende dal carattere di ognuno di noi e dalla capacità di individuare i campanelli d’allarme.

1. Il rispetto per l’autorità

Tendiamo a eseguire le istruzioni o gli ordini senza metterli in discussione se provengono da chi ha potere o prestigio. Questa caratteristica cognitiva ci induce ad annullare temporaneamente le nostre opinioni o a ignorare le conseguenze dell’azione richiesta. L’effetto è che ci atteniamo, soprattutto per paura, alle richieste di questa figura percepita come superiore.

Questa figura di autorità potrebbe essere un capo, un ente statale o un’azienda prestigiosa. Per attuare il phishing, i criminali utilizzano falsi account aziendali o commerciali e richiedono un’azione pertinente. In questo modo il destinatario riceve un’impressione di verosimiglianza e di sicurezza.

Un esempio di truffa può essere un’email da parte dell’Agenzia delle Entrate che richiede di accedere a un link per ottenere un rimborso fiscale. Oppure da parte di un dirigente aziendale che chiede di aprire il file di un nuovo progetto.

Carattere di urgenza

Questa tecnica di manipolazione è stata ampiamente utilizzata anche in altri campi, come il marketing. Consiste nel creare una situazione a carattere di emergenza che richiede una risposta rapida. Questa strategia fa leva principalmente sulla paura.

Il messaggio avvisa di un pericolo imminente, ad esempio “hai un virus nel tuo computer” oppure “qualcuno ha tentato di accedere al tuo account”. Un’altra variante è il vantaggio di essere tra i primi: “Solo le prime 50 persone registrate riceveranno un premio”. A quel punto la paura di perdere un’occasione può farci acquistare o accettare la proposta senza discutere.

In altre parole, suscitano un senso di paura che ci porta a prendere decisioni poco oculate, rapide e irrazionali, ignorando altri aspetti del messaggio che potrebbero essere decisivi. Di solito prevedono l’uso di parole a caratteri cubitali o di colore rosso per aumentare la sensazione di pericolo. Pur sospettando che possa essere una truffa, si può cadere nella trappola nel tentativo di evitarla.

Reazioni automatiche

Molti gesti vengono eseguiti in modo automatico, senza esserne pienamente consapevoli. Di solito sono frutto dell’esperienza e della ripetizione; attiviamo il pilota automatico e smettiamo di prestare attenzione.

Gli esperti di phishing fanno leva su questi automatismi per farci cadere nella loro trappola. Possono chiederci, per esempio, di inviare nuovamente una email, perché è tornata indietro. Oppure ci forniscono un link su cui cliccare per smettere di ricevere email o messaggi pubblicitari. Naturalmente nessuna di queste situazioni è reale.

Questa strategia risulta particolarmente efficace e pericolosa. Ci viene richiesta un’azione apparentemente innocua e a cui siamo già abituati. Fa leva sugli automatismi, sapendo che in tale contesto la nostra attenzione è ridotta; in modo inconsapevole, infatti, tendiamo a selezionare solo le informazioni più evidenti. Ignoriamo, cioè, i dettagli e prendiamo decisioni senza un’analisi accurata.

Tastiera del pc con tasto con la scritta phishing.

Psicologia del phishing: come evitare di cadere nella trappola?

Alcune persone sanno individuare questo inganno meglio di altre. In realtà, però, siamo tutti potenziali vittime. Per non cadere in una truffa, bisogna essere coscienti del pericolo. In questo modo, leggeremo le email sospette in modo più consapevole. Se il mittente non è noto, ad esempio, può essere utile cercare di scoprire se l’indirizzo di posta è affidabile.

E, soprattutto, cerchiamo di non reagire di istinto e di pensare alle conseguenze delle nostre azioni. Valutiamo se il contenuto del messaggio è realistico o se è normale che un’importante azienda ci contatta in questo modo. In breve, prendiamoci un momento per riflettere e per individuare indizi sospetti. Infine, è importante avvisare le autorità, in modo che altre persone non vengano danneggiate.


Questo testo è fornito solo a scopo informativo e non sostituisce la consultazione con un professionista. In caso di dubbi, consulta il tuo specialista.