In un panorama sempre più sofisticato di minacce informatiche, il phishing continua a essere il metodo di attacco più semplice e più efficace. Secondo il report annuale pubblicato da Netskope, nel 2024 oltre otto dipendenti su mille hanno cliccato ogni mese su un link di phishing, quasi il triplo rispetto al 2023. Nonostante investimenti in sicurezza e formazione, le trappole digitali fanno ancora presa, soprattutto quando sfruttano fiducia, stanchezza mentale e routine lavorative.
Il phishing non arriva più soltanto via email. Sempre più spesso, i link malevoli vengono inseriti all’interno di risultati di ricerca manipolati (SEO poisoning), in forum, social media o pubblicità ingannevoli. In particolare, le campagne che imitano fornitori di servizi cloud (strumenti usati quotidianamente dai dipendenti) sono quelle che registrano il maggior numero di clic (27%). A seguire, le “finte” banche (17%), operatori telefonici (13%) e social network (11%).
Il successo di questi attacchi si basa anche su meccanismi psicologici semplici: bias cognitivi, carico decisionale e fiducia automatica verso ambienti digitali familiari. La pressione continua, unita a training poco incisivi e alla mancanza di feedback in tempo reale, indebolisce la capacità di riconoscere un tentativo di inganno.
Le soluzioni, però, esistono. Come l’integrazione di alert istantanei, veri e propri “coach digitali”, che bloccano comportamenti rischiosi prima che causino danni: nel 73% dei casi gli utenti si fermano di fronte a un messaggio di avvertimento. A questo si devono affiancare misure tecniche come l’ispezione del traffico cloud e web, il blocco delle applicazioni inutili, l’analisi dei file sospetti e l’adozione di sistemi come il Remote Browser Isolation.
Il phishing non punta alla debolezza dei sistemi, ma all’automatismo delle abitudini. Non è la tecnologia il vero bersaglio, ma l’attenzione. Per questo difendersi non significa solo alzare muri digitali, ma coltivare dubbi, rallentare il gesto, rompere la routine. Perché il primo vero atto di sicurezza è scegliere di guardare prima di cliccare.
A.C.
