Tecnologia

Cybersecurity: cinque regole per evitare di cadere nel phishing

  • Abbonati
  • Accedi

Cybersecurity: cinque regole per evitare di cadere nel phishing

Siamo nel 2018, gli attacchi informatici sono super sofisticati, ci sono nazioni che hanno veri e propri cyber eserciti impegnati nelle violazioni di sistemi eppure… secondo tutte le più grandi società di sicurezza informatica del mondo circa il 90% del malware arriva tramite phishing.

Com'è possibile che il metodo di distribuzione più elementare sia ancora più efficace? I motivi sono vari: innanzitutto, i criminali sono diventati più bravi nel confezionare le e-mail truffa. Non ci sono più gli strafalcioni di grammatica e ortografia, copiano per bene l'aspetto delle vere email che arrivano dalle società più disparate, fanno leva sui bisogno quotidiani delle persone (chi non aprirebbe apparentemente una mail in arrivo da un corriere se stesse aspettando un pacco?). Inoltre, usano l'intelligenza artificiale per capire quali tipi di email esca funzionano meglio in quale lingua o nazione e poi ritagliano “l'attacco” di conseguenza.

Come risultato, una ricerca di Sophos ci dice che il 41% delle aziende subisce attacchi phishing quotidiani, il 77% subisce almeno un attacco al mese e nel 30% dei casi almeno una mail viene aperta. Bisogna, quindi, essere molto attenti quando si maneggia della posta perché non si sa mai da dove arriva il messaggio che abbiamo appena ricevuto. Vediamo in cinque passi cosa possiamo fare per limitare le possibilità di cadere vittime di un attacco.

1. Facciamo sempre molta attenzione a link ed allegati nelle mail.
Partiamo dalla base: mai cliccare con leggerezza su link e allegati arrivati via mail. Per quanto possa sembrare innocuo un file PDF, esistono molte tecniche per nascondere al suo interno un malware. Se, poi gli allegati arrivano compressi in file ZIP, bisogna alzare ben più di un sopracciglio perché questa è una tecnica molto comune per evitare agli antivirus di fare il loro dovere. In generale, se in una mail vi chiedono di verificare un account, è quasi certamente un messaggio fasullo.

2. Controlliamo l'ortografia.
Sebbene siano migliorati moltissimo, i criminali che effettuano campagne di phishing non sono ancora padroni della nostra lingua. Spesso sono stranieri con dei buoni consulenti, ma che commettono errori; altre volte sono italiani ma non proprio delle cime. In ogni caso, anche se ortografia e grammatica sono in ordine, facciamo caso al tono. Spesso, i consulenti dei criminali parlano italiano, ma non sono pratici di lettere dal tono “ufficiale” e usano un linguaggio colloquiale che stona con il contesto.

3. Verifichiamo il mittente.
No, non basta guardare l'indirizzo di chi ha inviato il messaggio. Il protocollo informatico che gestisce l'invio della posta elettronica (chiamato SMTP) permette di specificare l'indirizzo di invio senza fare controlli sulla sua veridicità. Questo vuol dire che chiunque può inviare mail a nostro nome. Inoltre, anche se avessimo un sistema di certificazione della posta elettronica, non possiamo escludere che la mail sia davvero partita dal computer della persona che conosciamo, ma a sua insaputa. Quando un pirata prende il controllo di un PC, può fare tutto con quel PC, incluso inviare messaggi all'insaputa del proprietario. Un sistema veloce, economico e sicuro per evitare guai è quello di chiedere conferma via Whatsapp o simile al mittente.

4. Usiamo una suite antivirus.
Sì, lo scriviamo ogni volta, ma è incredibile quanta gente ancora si affidi ad antivirus gratuiti o a Windows Defender di Microsoft. Non che questi facciano un brutto lavoro a prescindere, ma i primi lasciano sempre “scoperti” alcuni aspetti ormai importanti per la sicurezza del PC, mentre Windows Defender ha il difetto di essere troppo famoso: se un criminale vuole far passare inosservato il suo malware, potete scommetterci che il primo antivirus che cercherà di fregare sarà Defender.

5. Instauriamo delle procedure di sicurezza.
Per quanto possiamo essere prudenti e accorti, può essere che un giorno finiremo nel mirino di un gruppo davvero in gamba, che calibrerà l'attacco sulle nostre difese e sui nostri dipendenti. In questo caso, cadere nella trappola del phishing sarà praticamente inevitabile e a questo punto serviranno due cose: delle procedure di autorizzazione ai pagamenti (o al movimento di ciò che abbiamo di prezioso in azienda) molto rigorose e un sistema che possa scovare gli intrusi una volta entrati nella rete. Per capire a cosa deve far fronte il sistema di autorizzazioni, raccontiamo un caso reale. Dei criminali sono riusciti ad avere accesso al computer di un paio di segretarie di direzione in una grande azienda. Da lì, hanno ottenuto l'agenda dei movimenti del presidente e del direttore finanziario. Subito prima che questi due salissero a bordo di un aereo per far ritorno in Italia dopo una trasferta di lavoro, i pirati inviano una mail a nome del presidente in cui si chiede di effettuare un pagamento urgente perché durante l'ultima riunione ha chiuso un importante affare e ha promesso il pagamento in tempi brevi. Pochi minuti dopo, gli stessi pirati mandano una mail a nome del direttore finanziario che conferma la necessità di effettuare il bonifico. La segretaria esegue… i soldi sono persi.

© Riproduzione riservata