L'attualità al «servizio» del phishing
Il phishing è una tecnica di attacco informatico utilizzata dai criminali informatici. Consiste nell’inviare un’e-mail contenente uno o più allegati e/o link fraudolenti, dietro ai quali spesso si nasconde un software dannoso(malware: trojan, virus, worm, ransomware…). Per farlo, il truffatore non manca certo di fantasia. Può, ad esempio, fingersi una terza parte di fiducia (collega, responsabile, banca, assicurazione, amministrazione) al fine di sottrarre dati riservati (password, recapiti...) e/o sfruttare l'attualità per ingannare l'utente... ein questo caso, gli argomenti non mancano!
Sapevate che i primi attacchi di phishing risalgono agli anni '90?
Ebbene sì… 30 anni di phishing!
A questo punto dovremmo quindi essere sufficientemente informati e vigili di fronte a questo flagello. Infatti, indipendentemente dal periodo, dall’argomento o dal modo in cui si manifesta, il meccanismo rimane lo stesso!
Eppure, nonostante tutto, il phishing continua ad avere successo!
Rimane addirittura in cima alla lista dei vettori di attacco preferiti dai truffatori!
Perché il phishing continua a diffondersi?
Oltre all’uso di tecniche sempre più sofisticate, le fonti di ispirazione non mancano. Anzi, sono inesauribili! Una di queste, l'attualità, qualunque essa sia (buona o cattiva), è del resto un terreno fertile e una vera e propria “occasione d'oro” per i cybercriminali. Essa permette loro di attivare leve vecchie come il mondo, quali:
- La nostra ansia: come è successo di recente con il COVID-19 (ad esempio, l'invio di e-mail per acquistare mascherine «certificate» e gel idroalcolico, o per partecipare a una campagna di screening).
- Le nostre paure, il nostro stress: ad esempio, l’invio di e-mail fraudolente relative a multe per infrazioni al codice della strada o alla dichiarazione dei redditi online. Oppure, per citare un altro esempio, e-mail che propongono la sanificazione della vostra abitazione (per di più, apparentemente raccomandata dallo Stato!).
- La nostra segnalazione: a seguito dello sciopero della SNCF alla fine del 2019, sono state inviate e-mail piene di link dannosi. Questi rimandano a una piattaforma malevola che richiede dati personali e/o bancari per ottenere il rimborso dei biglietti ferroviari.
- Il nostro entusiasmo: un rimborso per imposte pagate in eccesso o per la CPAM, un’offerta allettante su un presunto “farmaco miracoloso” durante la pandemia di COVID-19, buoni acquisto falsi inviati via e-mail per la festa della mamma, l'ultima offerta di un provider Internet per un abbonamento “rivoluzionario” di cui parlano i media sui social, o ancora un'e-mail contenente un link che reindirizza a un finto sito di rivendita di regali di Natale. E che dire delle e-mail inviate durante i periodi dei saldi, del Black Friday, ecc... ?
- La nostra strategia: l'invio di e-mail che invitano a lasciare i propri dati o a firmare una petizione su un determinato tema di attualità, ad esempio donazioni per la ricerca, per l'ecologia o per sostenere una causa «al centro dell'attenzione».
Allora… Come si fa a eliminare definitivamente il phishing?
Im-pos-si-bi-le!
D'altra parte, ridurre i rischi e limitare le conseguenze di un attacco informatico tramite phishing è assolutamente possibile. Come? Dotando la vostra organizzazione non solo di soluzioni tecniche di sicurezza, come dovrebbe già essere, ma anche di soluzioni organizzative.
Trasformare il fattore umano, anello debole della sicurezza informatica, in una risorsa fondamentale per la vostra organizzazione.
Sensibilizzare sui rischi informatici, fornire formazione sulla sicurezza informatica e insegnare agli utenti a smascherare le trappole delle e-mail di phishing: ecco l'ingrediente essenziale e indispensabile per un'organizzazione «preparata dal punto di vista informatico» e resiliente!
Ricopri un ruolo legato alla gestione dei rischi nella tua organizzazione? Organizza una campagna di sensibilizzazione sulla sicurezza informatica.
