Un recente studio Condotto dalla Carnegie Mellon University e dalla Ben-Gurion University indica che gli utenti di dispositivi mobili mostrano una maggiore tendenza a evitare di fare clic su collegamenti potenzialmente dannosi rispetto alle loro controparti PC. Questa ricerca evidenzia l’importanza delle strategie di sicurezza informatica su misura per diversi dispositivi.
I risultati dello studio sono particolarmente rilevanti alla luce della crescente prevalenza di attacchi di phishing. Il phishing è stato identificato come la migliore denuncia informatica segnalata all’FBI nel 2024, secondo il più recente rapporto IC3 dell’agenzia. Il rapporto ha documentato 193.407 reclami di phishing su un totale di 859.532 reclami, con conseguenti perdite superiori a $ 70 milioni, in particolare $ 70.013.036.
Per studiare le differenze nel comportamento degli utenti tra i dispositivi, i ricercatori hanno analizzato le richieste URL anonime raccolte da una startup di protezione della rete informatica. Questo set di dati comprendeva poco meno di 500.000 richieste URL da dispositivi mobili e PC per un periodo di una settimana nel 2020. L’analisi ha rivelato “una relazione positiva e significativa tra dispositivo mobile e il livello di sicurezza dell’URL target”, suggerendo che gli utenti mobili stavano facendo scelte più sicure.
La ricerca si è estesa oltre i dati di osservazione attraverso esperimenti controllati. I ricercatori hanno reclutato partecipanti dalla piattaforma Amazon Mechanical Turk (AMT). Questi lavoratori AMT hanno avuto il compito di svolgere un’attività di tag di immagini mentre contemporaneamente venivano interrotti da un messaggio pop-up di phishing simulato. L’esperimento è stato progettato per imitare scenari del mondo reale in cui gli utenti si trovano ad affrontare collegamenti inaspettati e potenzialmente dannosi.
I risultati dell’esperimento AMT hanno dimostrato una differenza significativa nel comportamento tra utenti mobili e PC. In particolare, gli utenti mobili sono stati trovati “2,67 volte più probabilità degli utenti di PC di mostrare un comportamento a rischio”. Ciò significa che gli utenti mobili erano significativamente più inclini a evitare di fare clic sui collegamenti dannosi presentati nei messaggi pop-up. Un esperimento secondario ha rafforzato questi risultati, rivelando che gli utenti mobili avevano 4,43 volte più probabilità degli utenti di PC di evitare tentativi di phishing.
Lo studio suggerisce che gli utenti mobili non stanno necessariamente prendendo decisioni migliori su quali collegamenti fanno clic, ma piuttosto stanno evitando di prendere una decisione del tutto. Il rapporto conclude: “Gli utenti mobili affrontano il costo più elevato della valutazione del rischio evitando il rischio piuttosto che soccombendo ad esso”. Ciò implica che gli utenti mobili hanno maggiori probabilità di sbagliare dal lato della cautela, anche se ciò significa perdere contenuti legittimi.
I ricercatori hanno proposto diverse potenziali spiegazioni per questa differenza nel comportamento. Un’ipotesi è incentrata sullo “stato mentale mobile”, suggerendo che le persone che usano dispositivi mobili sono spesso in movimento e sperimentano un “carico cognitivo” più elevato. Il professore di Carnegie Mellon e il co-autore della ricerca Naama Ilany-Tzur ha spiegato: “Quando sei caricato o addirittura sovraccarico, tenderai a evitare di prendere decisioni”.
Le dimensioni dello schermo più piccole e l’ambiente più limitato dei dispositivi mobili possono anche contribuire alla difficoltà della valutazione del rischio. Al contrario, gli utenti di PC “stanno interagendo con uno schermo più grande e si trovano in un ambiente che è meno cognitivo, culminando con una maggiore probabilità di accettare il rischio”, secondo la ricerca.
Dati questi risultati, Ilany-Tzur suggerisce che le organizzazioni prendono in considerazione l’adeguamento delle loro strategie di sicurezza informatica per tenere conto dei diversi profili di rischio di PC e utenti mobili. “Direi che avvisare le persone più velocemente o più spesso, o abbassare la soglia dei meccanismi di allerta sarebbe una strategia generale per iniziare a gestire la situazione”, ha detto Brew. Ha inoltre raccomandato di “migliorare i meccanismi di protezione specifici per i dispositivi PC” in un’e-mail di follow-up.
Lo studio evidenzia l’importanza di comprendere il comportamento degli utenti su diversi dispositivi e adattarsi di conseguenza a misure di sicurezza informatica. Come ha affermato Ilany-Tzur, “il pericolo si nasconde quando siamo a mio agio, non quando siamo al limite”, sottolineando la necessità di una costante vigilanza, in particolare tra gli utenti del PC che potrebbero essere più sensibili agli attacchi di phishing.
