CAS@WEB – LA CASSETTA DEGLI ATTREZZI
3 Novembre 2020
CAS@WEB – LA CASSETTA DEGLI ATTREZZI 3
17 Novembre 2020
CI SONO ANCHE PESCI CHE NESSUNO RIESCE A PESCARE
L’obbiettivo reale di ogni attacco informatico non è lasciare un danno facilmente visibile o rilevabile: il vero obbiettivo è infiltrarsi nelle nostre vite, nei nostri posti di lavoro, nelle nostre case, nei nostri computer per imparare tutto il possibile su di noi per driblare (sfruttando o duplicando) il nostro profilo e quindi accedere senza filtri alle persone con cui comunichiamo, ai posti che frequentiamo, ai siti con cui scambiamo valori (o meglio ancora soldi tramite bonifico).
In questi giorni di pandemia, come tutti sappiamo, è diventato sempre più diffuso il ricorso al “lavoro agile” [smartworking] che consiste nel lavorare da casa “in remoto” (col proprio computer) senza doversi recare sul posto di lavoro.
Questa pratica, geniale sotto il profilo del contrasto alla diffusione del virus per mezzo dei contatti sociali, ha portato a un intensificarsi e moltiplicarsi di attività in rete e quindi degli attacchi, specialmente quelli noti come phishing [“pescare” dati] e whailing [“caccia alla balena”, un livello “superiore” di phishing economico e commerciale], che qui cercheremo di approfondire.
Si tratta, semplicemente, di truffe on-line che consistono e mirano ad indurre una persona, con inganni, sotterfugi e raggiri, a commettere inconsapevolmente azioni dannose per la propria persona, famiglia o azienda.
La differenza tra i due (phishing e whailing) è la dimensione e l’obiettivo: il primo è “diffuso” e mira a colpire indistintamente tutti, mentre il secondo è “infiltrato” (sempre in modo ampio) e mira a colpire dirigenti o persone che comunque gestiscono i vertici aziendali sotto il profilo economico e commerciale.
Sono entrambe tecniche ingannevoli su larga scala che sfruttano l’ingegneria sociale, e quindi per loro stessa natura molto pericolose, ma anche facili da riconoscere se si presta attenzione a quei dettagli che la generalità della loro stessa diffusione impedisce di curare.
La via più utilizzata è quella delle e-mail, inviate in modo conveniente “a pioggia” sulle utenze-obiettivo con le quali, pur essendo ovviamente false ma apparentemente legittime e legittimate, riuscire ad ottenere spontaneamente dai malcapitati che credono di relazionarsi con una fonte affidabile, informazioni personali e riservate.
Uno dei più “classici” e sfacciati attacchi phishing è una falsa e-mail (apparentemente legittima, coerente e quindi potenzialmente veritiera) proveniente da un indirizzo molto simile e con una impostazione grafica altrettanto conforme a quelli della propria banca, con cui si chiede, ad esempio, l’aggiornamento della password per motivi di sicurezza, o altri tipi di informazioni confidenziali (proprietà, altri codici di accesso, stato economico e quant’altro… ).
Ma ve ne sono di più fantasiosi, come quello dell’esempio dell’articolo precedente (il nostro nome da pornostar) che era un altrettanto diffuso tipo di attacco phishing grazie al quale il povero utente “donava” liberamente le proprie informazioni personali ad emeriti sconosciuti per usi e scopi altrettanto ignoti.
Il più evidente e sfruttato punto di forza di questi attacchi si basa su quanto poco le persone valutano la propria sicurezza e il valore delle proprie informazioni personali.
In Inghilterra, durante l’evento InfoSecurity (dove si radunano gli esperti della sicurezza delle informazioni di tutta Europa), nel 2016 venne fatto un esperimento presso la stazione di Liverpool che consisteva nel chiedere ai passanti di compilare un sondaggio, nel quale erano presenti tre domande:
- Qual è il tuo nome e cognome?
- Per quale compagnia lavori?
- Qual è la tua password di rete?
L’esperimento concluse che il 34% delle persone si fermavano spontaneamente a compilare il modulo, rispondendo a tutte e tre.
Se questo fatto appare inquietante (e lo è, basta rileggere le domande), lo è ancora di più il fatto che dopo aver offerto alle persone che avevano risposto bruscamente di no (come spero che chiunque stia leggendo avrebbe fatto) una barretta di cioccolato in cambio della compilazione del sondaggio la percentuale della partecipazione attiva fu del 70%.
Se una parte di noi vuole crede che quelle persone abbiano riempito il modulo a caso, dando informazioni false solo per ricevere la barretta di cioccolato, purtroppo la realtà è che una parte di loro ha fornito informazioni reali, considerandole informazioni innocue.
La sicurezza informatica è un gioco di numeri, di conseguenza nel phishing è sufficiente che anche solo una piccola parte di queste informazioni sia vera per poter essere considerato un successo, perché, come già abbiamo detto le scorse settimane, nessuna informazione in rete viaggia da sola ed è innocua.
Banalmente: se ho nome, cognome e compagnia dove lavoro (facciamo finta che per pudore metto una password diversa da quella reale) e incrocio questi dati con l’orario in cui ho fatto il test alla stazione e quelli recuperabili con semplici ricerche di indirizzi (disponibili all’anagrafe elettorale), posso arrivare ad avere l’indirizzo di diversi soggetti che vivono da soli e l’orario in cui non sono in casa perché stanno al lavoro…
L’esperimento svolto per l’evento Infosecurity 2016 è stato un campanello di allarme di quello che è successo negli Stati Uniti tra giugno e settembre di quest’anno 2020 (fonte: Barracuda) dove sono stati effettuati oltre 3,5 milioni di attacchi phishing su larga scala non molto diversi da quello di Liverpool, dei quali circa 1000 indirizzati alle scuole e che hanno causato un danno economico diffuso calcolato in oltre 2,3 milioni di dollari.
Se però è vero che il punto di maggior forza degli attacchi phishing sono gli atteggiamenti di noi esseri umani a sottovalutare e quindi regalare le nostre informazioni al mondo etereo in modo più o meno consapevole, è altrettanto vero che questa è la sua più grande debolezza e criticità.
Per difendersi dal phishing in modo efficace non sono infatti necessari sofisticati programmi informatici o servizi di protezione costosissimi, che esistono e hanno una effettiva ragione di esistere in una realtà di grandi uffici o di aziende che trattano dati molto sensibili, ma basta attivare la consapevolezza di quello che si sta facendo.
Sembra un paradosso, ma gli utenti (noi utenti) siamo la prima e l’ultima linea di difesa da questa tipologia di attacchi: il punto è la necessità di essere formarti e informati sulle minacce specifiche che interessano la nostra vita o i nostri luoghi di lavoro attraverso gli attacchi in rete.
Dobbiamo cioè voler essere in grado di riconoscerli, comprenderne la natura fraudolenta e sapere come comunicarli a chi di competenza per risolvere il problema.
Per fare un esempio pratico, se il nostro capo a lavoro ci chiede senza preavviso tramite una mail di fare un bonifico di 1000€, magari persino ad un iban che non è nell’elenco dei fornitori noti dell’azienda, e alle nostre domande (sempre per mail) ci chiede quali sono le sue credenziali di accesso per procedere lui stesso perché non se le ricorda, dovrebbe almeno accendercisi una lampadina di allarme che ci dovrebbe portare a chiamarlo e chiedere conferma dell’operazione che ci ha richiesto.
La verifica della veridicità della fonte di certe operazioni, anche quando non ci riguardano direttamente, è la chiave che smonta la quasi totalità delle truffe phishing e whailing.
Nella quasi totalità dei casi, invece, alle richieste di amici e parenti (phishing) o che riguardano la gestione dell’azienda della quale ci sentiamo ingranaggio e non elemento di sicurezza (whailing), agiamo considerando che arrivano da una persona che ci lega sentimentalmente o professionalmente.
Questo rende ancora una volta evidente che non esistono dati non-sensibili o innocui in rete, perché basta poco a costruire un falso profilo o utilizzare indirizzi mail che ad una prima vista appaiono del tutto identici a quelli clonati.
Si pensi a due indirizzi mail con lo stesso account (la prima parte del nome) e un dominio simile (la parte della mail che segue il carattere @ [AT] e che indica in quale “mailserver” esiste quella cassetta di posta elettronica), diverso solo perché in un caso termina (ad esempio) con “.it” e nel secondo “.com”; o a un profilo con (poche ma vere) informazioni e foto della persona che noi conosciamo, ma creato da un estraneo: solo la volontà di verifica della loro veridicità può impedire un gesto dannoso per noi o per le vittime della clonazione.
Un amico vero ed un capo intelligente sapranno apprezzare l’attenzione alla loro sicurezza che rappresenta una semplice telefonata di verifica.
Nel phishing e whailing “a pioggia” il meccanismo non è diverso: una vincita, uno sconto, una richiesta di verifica dei dati e simili vicende saranno presentate su pagine simili a quelle originali per nome digitale e presentazione grafica (i Monopoli di Stato, la banca, le Poste, ecc.), ma mai abbastanza uguali alle originali per un occhio appena (appena!) più attento.
E una telefonata o mail di verifica (all’indirizzo conosciuto e noto) svelerà immediatamente ogni tentativo malevolo: uno dei molti casi in cui la pazienza diventa una utile virtù.
