Anche chi non ne è stato vittima, o non ha abboccato, sa cosa sia il phishing: è quell’attività fraudolenta che consiste nell’invio di mail fasulle per attirare l’attenzione degli utenti che, se abboccano, forniscono i loro dati per usi illeciti.
Il termine nasce nel 1996 dalla fantasia di un gruppo di hacker all’attacco degli account di America Online, con una evidente analogia col mondo della pesca sportiva: l’hacker è il pescatore, la mail fasulla è l’esca con l’amo dentro, e gli utenti sono i pesci che abboccano.
Come il pesce che cade nel tranello e si immola, con il phishing siamo noi che consegniamo nelle mani del ladro le chiavi di casa nostra sotto forma di username e password dei nostri account. Sicuramente il ladro è stato bravo a camuffarsi e a fingere di essere una persona di nostra fiducia, un amico, un inviato di una azienda credibile, ma la domanda è: potevamo controllare meglio?
Passando dalla pesca ad un’altra analogia, è come nella favola di cappuccetto rosso: la mail di phishing è il lupo travestito da nonna. Con più attenzione avremmo potuto notare gli occhi e le orecchie grandi, e che alla fine, con tutto quel pelo il lupo non assomigliava proprio a nostra nonna.
Social Engineering: l’ingegneria sociale della truffa
Se finora non siete mai cascati nel tranello: bravi. Ma attenzione. Negli anni le mail di phishing hanno migliorato la loro capacità mimetica. Ricorderete tutti le prime mail della vedova di un ricchissimo uomo del Congo che non sapeva a chi affidare i milioni di euro di eredità del marito e per un fortuito caso del destino aveva scelto proprio voi. Difficile crederci, anche perché spesso la traduzione dall’inglese (lingua di origine di queste truffe) all’italiano era fatta con software automatici che davano un risultato finale davvero poco convincente.
Oggi però le cose sono cambiate: mail e messaggi arrivano spesso a nome di aziende locali come poste italiane o corrieri, o vostri amici di Facebook e Instagram, persino colleghi o clienti. Se non possedete account o avete ordinato servizi con questi partner è facile capire che il target non siete voi, ma è molto probabile che prima o poi vi arriverà una mail fatta molto bene che sembra parlare a voi, e allora dovrete decidere se cliccare sul link oppure no.
Attacchi sofisticati di questo tipo, spesso effettuati dopo un lavoro preparatorio di raccolta di informazioni da parte dell’attaccante, fanno parte di una più ampia famiglia di attacchi. Si tratta di social engineering, in italiano ingegneria sociale ed è l’uso di tecniche di comunicazione e persuasione al fine di convincere una persona a fornire dati e informazioni riguardanti lui o la sua organizzazione, e può coinvolgere l’uso di email, sms, telefonate, chiavette USB trovate nel parcheggio aziendale…
Tornando all’argomento delle email, la miglior regola è controllare con attenzione il mittente, l’oggetto, il link. Se qualcosa non torna, ad esempio invece che www.poste.it, il link è www.poste-sicurezza.it, allora diffidate e fate attenzione.
Phishing scam: si pesca coi grandi numeri
Questo genere di truffe su internet funziona secondo la legge dei grandi numeri. Se io invio un milione di mail, anche se abbocca solo lo 0,01% dei riceventi, parliamo comunque di 100 persone. Se di queste dieci, il 90% si accorge dopo aver cliccato di aver fatto un errore e blocca la procedura, ne rimangono ancora altre 10 che rischiano di dare le loro credenziali ai ladri.
I numeri, nella realtà, sono ancora più impietosi. Secondo un’indagine di Terranova Security il 20% dei dipendenti di un’azienda è probabile che clicchi su un link di una e-mail di phishing. Di questi, il 67% prosegue e fornisce i dati richiesti dando così libero accesso a chi cerca di compromettere la sicurezza dell’azienda.
Se state leggendo questo articolo al lavoro alzate la testa e guardatevi intorno. Se avete quattro colleghi vicino attorno, uno di voi potrebbe essere la persona che clicca il link.
Ok, perdono, questo approccio è un po’ terroristico, ma i numeri sono questi.
Tecnologia e formazione assieme per non abboccare
Quando si parla di cybersicurezza e in particolare di phishing è assolutamente necessario che le corrette tecnologie, la giusta policy, è una corretta strategia proattiva vadano a braccetto con la corretta formazione del personale.
Il perché dovrebbe essere chiaro: sicurezza e firewall fanno la loro parte, ma se è l’utente a fornire il modo agli hackers di entrare nei server dell’azienda, tutto il lavoro fatto per proteggere i dati aziendali (brevetti, tecnologie), personali, va in fumo.
È un po’ come la storia del cavallo di troia: rischiamo di essere noi, convinti di essere tranquilli e al sicuro, a portare dentro le mura della nostra città il nemico.
La miglior strategia è quindi la formazione dei dipendenti, fatta attraverso corsi, simulazioni di attacchi, test, a cui ovviamente si accompagnano le necessarie procedure di sicurezza.
In maniera poco sorprendente, sono convinto che sia parte di un buon servizio l’avere un DPO (esterno od interno) che sia in grado di supportare l’azienda sotto la sua tutela, nel mettere in campo le strategie di prevenzione più adatte ed efficaci.
