Phishing 2020: un fenomeno mondiale

 

Non si era mai parlato così tanto come in questo 2020 del pericolo numero uno per ogni impresa, pubblica o privata che sia: il rischio informatico  e, in particolare, il fenomeno phishing. L’emergenza Coronavirus è purtroppo stata accompagnata dall’emergenza hacker, per ragioni facili da intuire.

Innanzitutto, la diffusione dello smart working ha aumentato le possibilità di attacco alla rete aziendale, non più protetta nelle sue sedi master, ma sbriciolata in una miriade infinita di collegamenti in modalità lavoro agile, attraverso connessioni, router, modem, device casalinghi, spesso in mobilità.

Aggiungiamo poi che il Covid-19 ha obbligato ad una digitalizzazione spinta, in particolare nel settore sanitario, un mondo che si è dovuto digitalizzare in fretta per sopperire al distanziamento sociale, per aiutare con la telemedicina i pazienti positivi e perché obbligato all’uso di mezzi digitali. Degli attacchi informatici avvenuti nella prima metà del 2020, ben il 14% hanno riguardato il settore sanitario e se analizziamo solo gli attacchi attraverso e-mail (canale preferito dal phishing), la percentuale sale al 70%, uno fra tanti, mail di phishing con come mittente l'OMS (Organizzazione Mondiale della Sanità).

Questo picco negativo non ha riguardato solo il settore sanitario. La pandemia ha anche contribuito a far emergere le criticità insite in un vecchio modello di gestione del rischio informatico, modello che perché venga superato deve considerare come alleati Innovazione e Intelligenza Artificiale, con il fine ultimo di evitare l’interruzione dei flussi di lavoro e il furto (come nel caso del phishing) di dati e informazioni sensibili e preziose.

 

 

 

Cos’è il phishing e come si manifesta

 

Il phishing è uno dei più comuni attacchi informatici conosciuti. Deve il suo nome all’incontro di due termini: il fishing (pescare) e il phreaking (la ricerca di falle all’interno di un sistema). Rientra nella categoria di attacchi cyber denominata ingegneria sociale (social engineering) che consiste nello studio del comportamento delle persone con il fine di manipolarle e ottenere da loro informazioni confidenziali (password, info sui conti correnti bancari, informazioni finanziarie, etc.).

Il phishing è appunto il metodo più noto di social engineering e sfrutta la posta elettronica per inviare in modo massivo e-mail con allegati o link malevoli che se aperti e cliccati permettono all’hacker di entrare nel sistema del malcapitato. Di solito i mittenti-hacker fingono di essere organizzazioni conosciute (banche o in generale servizi utilizzati comunemente dalla vittima) che contattano l’utente per avvisarlo di errori o di aggiornamenti per i quali è richiesto l’inserimento di dati personali. I link rimandano spesso a pagine web clonate, uguali in tutto e per tutto ai siti originali, che spingono l’utente ad inserire così le proprie credenziali e dati sensibili.

Quando invece l’attacco non avviene su una massa indistinta di indirizzi e-mail ma su una specifica persona o target di destinatari si parla di spear phishing e di solito l’account che invia la e-mail è non solo attendibile ma anche riconosciuto dal destinatario. Ovviamente si tratta di un hacker che ha creato una copia dell’indirizzo e-mail della persona o istituzione riconosciuta come safe. Nel clone phishing invece i criminali fanno una copia, o clone, di e-mail legittime inviate in passato che contengono un link o un allegato: il phisher sostituisce poi i link o i file allegati originali con corrispondenti link o file dannosi.

Il phishing non si limita solo all’uso dell’e-mail: sono sempre più diffusi attacchi tramite SMS (smishing) e instant messaging quali WhatsApp, Telegram, etc.

 

 

 

La facilità di fare phishing e come fare anti-phishing

 

Quando si pensa ai rischi nei quali può incorrere un’attività (libero professionista, negozio o piccola e media impresa) il primo pensiero va ad un virus che blocca il pc. Ma il messaggio phishing è altrettanto pericoloso. Innanzitutto, fare del phishing è più o meno alla portata di tutti: acquistare un migliaio di indirizzi e-mail comporta una spesa minima e, attraverso mercati sommersi, un phisher può affittare un server web compromesso sul quale ospitare le proprie pagine di phishing. Una volta ottenuto il numero di una carta di credito o altre credenziali, per la monetizzazione ci pensano altri mercati altrettanto sommersi ai quali vendere queste informazioni.

Per proteggersi, la prima cosa da fare è controllare sempre la correttezza dell’indirizzo e-mail (di solito è diverso da quello originale per una lettera o due o per diversi simboli, come slash, underscore, etc.) e non aprire mai gli allegati se sospetti. Altro accorgimento è quello di controllare il linguaggio utilizzato (spesso quello di phishing include errori grammaticali o di battitura) e riflettere sulle info richieste: nessun istituto richiede mai di inserire direttamente nelle- mail le proprie credenziali di accesso all’home banking e non sono mai presenti link che invitano a loggarsi.

E, a monte, sempre un solido firewall, antivirus aggiornati ma soprattutto tanta, tanta formazione al personale, perché il phishing funziona proprio perché agisce sul fattore umano e sulla leggerezza e poca dimestichezza delle vittime designate con i trucchi operati dai phisher. Occorre una vera e propria cultura della Sicurezza informatica, attraverso la sensibilizzazione dei dipendenti rispetto ai rischi informatici e formazione rispetto alle policy aziendali.