All’Università di Padova hanno fatto un esperimento, mandando email fasulle a studenti, professori e impiegati, per carpirne account e password e ci sono riusciti nel 30% dei casi. L’esperimento, pubblicato a breve come ricerca scientifica, è stato realizzato dal gruppo Spritz del professor Mauro Conti dello stesso ateneo.
I risultati dell’esperimento, realizzato con tutte le garanzie del caso e senza contraccolpi per gli ignari partecipanti, sono purtroppo in linea con ricerche simili.
Ma è comunque un buon esempio di quella che chiamiamo Gamification, cioè la trasformazione in gioco, si dice «ludicizzazion»e, di compiti nuovi o complessi da apprendere in un contesto protetto.
I padovani non sono gli unici a praticarla.
Alcune realtà commerciali italiane già usano questo approccio per valutare la preparazione dei propri impiegati a reagire opportunamente a tentativi di truffa e frode realizzate con email, telefonate, sms fasulli che possono indurli in errore sfruttando dinamiche psicologiche come la fretta, l’ansia, la distrazione, il rispetto dell’autorità.
Il campo della gamification in cybersecurity è da tempo aperto alle sperimentazioni.
Il Consiglio nazionale delle ricerche ad esempio ha realizzato un nuovo videogioco didattico, Nabbovaldo e il ricatto dal cyberspazio per sensibilizzare i più piccoli al tema della cybersecurity.
Il progetto fa parte dell’iniziativa della Ludoteca del Registro.it, l’organismo che assegna e gestisce i domini a targa italiana. L’obiettivo è quello di diffondere la cultura di Internet anche alle generazioni più giovani, in maniera divertente ed interattiva.
Stessa cosa aveva fatto il DIS con un altro gioco interattivo, Cybercity Chronicles, parte della campagna di comunicazione sulla cybersecurity «Be Aware, Be Digital», della Presidenza del Consiglio avviata nel 2017 con l’obbiettivo di insegnare ai più giovani e alle loro famiglie le basi della cybersecurity, il suo vocabolario, le trappole e i comportamenti virtuosi da tenere in rete.
Da qualche giorno invece, è partita la campagna i Navigati coordinata da Certfin, Abi e Bankitalia che, utilizzando spot radiofonici e televisivi, web e social, quotidiani, materiali per filiali e agenzie, mette in scena i componenti della omonima famiglia che invita ad adottare i comportamenti utili a evitare le possibili insidie del web, riducendo il rischio di attacchi e frodi online.
Ai vari materiali si aggiunge una gustosa web-serie di otto puntate dedicate alle minacce informatiche più frequenti per imparare a riconoscere Smishing, Social engineering, Sim swap, Money muling, Download pericolosi. I Navigati ce lo insegnano, divertendoci.
Se l’avessero vista, molti farmacisti probabilmente avrebbero evitato le truffe che hanno permesso a un circuito criminale – sgominato ieri dalla Polizia – di generare Green Pass fasulli con telefonate capaci di camuffare il vero numero del chiamante simulando quello del sistema sanitario regionale e per impersonare un presunto tecnico che induceva il farmacista a installare un software che consentiva di prendere il controllo del computer e rubargli le credenziali di accesso ai sistemi informativi regionali. Quando l’accesso ai sistemi richiedeva le credenziali Spid della farmacia, l’ostacolo veniva infatti aggirato con sofisticate tecniche di vishing (voice-phishing), smishing (Sms-phishing) e l’impiego di siti-clone.
Grazie alla collaborazione del Ministero della Salute, i falsi Green Pass sono stati disabilitati, i siti clone sequestrati e le perquisizioni hanno individuato finora 15 presunti colpevoli e 67 loro clienti.