I Dieci Comandamenti contro il phishing
Vi sono alcuni periodi dell’anno nei quali gli attacchi informatici che mirano a ingannare gli utenti più inesperti – soprattutto i cosiddetti "attacchi di phishing" – aumentano sensibilmente. Si pensi a giorni (o settimane) di offerte speciali, a scadenze fiscali in arrivo, a festività durante le quali si moltiplicano, ovviamente, le transazioni online e gli acquisti.
In tutti questi casi, sale la tensione nell’utente e nelle sue azioni. Tensione per i pagamenti da effettuare, per gli acquisti da completare o, ad esempio, preoccupazione per lo stato del proprio conto corrente bancario, per la "capienza" delle carte prepagate. O, si aggiunga, poca confidenza con alcuni sistemi di pagamento telematici.
I momenti di tensione sono, chiaramente, i preferiti dai criminali informatici. Se vi è tensione, il furto di dati viene facilitato perché l’agitazione fa, solitamente, abbassare le misure di sicurezza della vittima. Fa diminuire la sua lucidità. Mina, in definitiva, la sua capacità di riflessione.
Diventa, allora, indispensabile elaborare una strategia – costituita da veri e propri “Comandamenti” – che possa servire agli esperti, prima di tutto, come utile ripasso (non si è mai troppo esperti, in questi ambiti, perché anche le tecniche criminali si evolvono) ma, soprattutto, che sarebbe da condividere con tutte le persone che sono meno esperte di noi e di voi. Ciò consentirebbe di combattere la scarsa conoscenza di questi fenomeni, che è il primo fattore a generare pericolo.
Procediamo, allora, con ordine. Ecco i Dieci Comandamenti contro il phishing, tutti egualmente importanti, e tutti da tenere sempre presente ed adottare. Il dimenticarsene anche solo uno, fa crollare tutto il sistema.
1. Alzare il livello della propria cultura informatica - Il phishing è, come tanti altri attacchi nel mondo informatico, un’azione che punta molto su un fattore culturale: l’ignoranza della vittima su determinati aspetti. La conseguenza logica è che più si aumenta la conoscenza informatica, più ci si può proteggere.
Che cosa significa, tutto ciò, nella pratica? Significa informarsi, anche sulle nuove tecniche criminali, o ascoltare suggerimenti da persone più esperte, o acquistare riviste in edicola, leggere le informazioni su siti web specifici, consultare regolarmente i siti web della propria banca, delle grandi società informatiche e dei produttori di antivirus.
Le e-mail di phishing sono inviate a una moltitudine di persone, spesso decine di migliaia, per colpirne però solo una piccola parte: quella che ha un livello culturale basso, o che ha un’attenzione, in quel momento, distratta da altro.
Il mittente del messaggio dovrebbe essere il primo elemento a costringerci a una analisi “culturale”: si possono recuperare, in tal caso, le basi della corrispondenza tra individui, le regole del dialogo tra esseri umani e, semplicemente, riflettere sul fatto che le e-mail e la società digitale non devono cambiare le nostre regole di sicurezza.
Se il mittente è un soggetto che conosciamo, ad esempio, già il rischio si abbassa (ma, vedremo, non è escluso completamente).
Ma se il mittente è un soggetto per noi nuovo, che in tutti questi anni non ci ha mai scritto, ecco, per quale motivo proprio ora ci dovrebbe scrivere? Uno sconosciuto per strada, nel “mondo fisico”, si fermerebbe per domandarci simili informazioni? E quale sarebbe la nostra reazione in tal caso? Gliele forniremmo?
Se il mittente, ad esempio, è istituzionale (ossia una banca, una Procura, una società emittente di carte di credito), è normale che si rivolga a noi in quel modo, con quel lessico e su quel canale?
Si pensi che, nella maggior parte dei casi, la vittima di phishing “cade” sulla prima e-mail ricevuta da QUEL mittente, senza fermarsi a riflettere che proprio quel mittente non è un nostro corrispondente abituale, non ci ha mai scritto ed è, in sostanza, un perfetto sconosciuto.
Cultura vuole dire, allora, anche cautela e non mutamento delle proprie abitudini in un contesto nel quale siamo normalmente meno a nostro agio e che ci può portare ad abbassare naturalmente le difese. Ed è proprio questo il fattore su cui confida l’attaccante.
2. Operare un’analisi preliminare del testo (semantica) - Semplicemente leggendo con attenzione, anche ad alta voce, il testo del messaggio, si possono percepire dei segnali di allarme.
Il comprendere cosa non va nel testo deve essere il primo elemento di allerta per l’utente. Il testo diventa, così, non solo inatteso (come abbiamo detto nel Primo Comandamento) ma anche strano, sospetto, pieno d’errori. Sembra, a volte, una cattiva traduzione, oppure è estremamente generico, che va bene per tutti e che, quindi, chiaramente non è pensato per noi.
Al contempo, si potrebbe fare una verifica veloce – oggi si può effettuare via WhatsApp, o sui social network – se lo stesso identico testo sia stato ricevuto da alcuni nostri amici.
Un testo su cui sempre diffidare è quello proveniente da grandi interlocutori, da mittenti istituzionali. Siamo onesti: più il mittente è “clamoroso”, più è difficile che quel messaggio sia realmente indirizzato a noi.
Potrei fare decine di esempi: un ex Presidente africano fuggito dal suo Paese di origine che ha, guarda caso, bisogno proprio di noi per recuperare la sua fortuna e ce ne promette una parte. Una banca, un politico, le poste, una società di carta di credito, Google, PayPal. Se il testo proviene da simili mittenti, la paranoia deve essere ancora più elevata.
Simile diffidenza deve sempre esserci nei confronti di un testo proveniente da un’autorità in senso lato: si pensi a una Procura, o la Polizia Postale, o la Guardia di Finanza, o Equitalia: e-mail che annunciano una sanzione, una multa che abbiamo preso per aver scaricato illegalmente un film, o per aver consultato siti pornografici e magari ci informano che ci hanno spiato dalla webcam del nostro computer.
Una buona idea potrebbe anche essere il guardare se il testo è firmato, se c’è indicato un referente specifico da poter chiamare. Si noterà che gran parte di questi messaggi sono, invece, "troncati" alla fine. Mancano frasi di chiusura, e anche questo è un buon indizio.
Il testo del messaggio, poi, cerca di inculcare ansia nel lettore per spingerlo ad agire senza ragionare, o con un processo di valutazione molto superficiale. Come è noto, abbiamo sempre meno tempo per riflettere, ma l’arma migliore contro il phishing, oltre alla paranoia, è proprio la riflessione.
Infine, il testo dei messaggi può mirare a entusiasmare: promette premi, rimborsi, detrazioni fiscali, bonus, e vi è sempre un termine di scadenza imminente, occorre decidersi in fretta, per non perdere l’occasione della vita. Anche il termine imminente è pensato, ovviamente, per far prendere una decisione poco ponderata.
3. Prestare attenzione al phishing mirato alla nostra persona - Possono capitare dei casi, molto delicati, nei quali il messaggio ingannevole è stato appositamente forgiato e ritagliato per la nostra persona. Al momento della lettura sembra proprio che riguardi noi direttamente: le nostre abitudini, i nostri luoghi, le tecnologie che utilizziamo. Il motivo è che l’attaccante può aver raccolto, prima dell’invio e della costruzione del messaggio, informazioni su di noi o sulla nostra azienda, inserendo riferimenti correlati alla nostra persona o alla nostra professione per rendere il messaggio meno asettico e formale e più credibile.
In questo caso, le modalità di attacco possono essere molteplici: il criminale ha osservato, ad esempio, alcuni documenti che siamo soliti redigere (ad esempio: fatture), o i corrieri/spedizionieri che usiamo, o i nostri tipici fornitori (che ci mandano documenti reali). Anche una e-mail proveniente dal “servizio sicurezza” o da un “dipartimento informatico” è facile che sia percepita come reale, perché tali servizi e strutture esistono nella maggior parte delle realtà produttive. Simile può essere l’analisi dei servizi di cloud che usiamo.
Come è possibile che terzi siano a conoscenza di queste informazioni? In molti casi siamo noi stessi a fornirle. Spesso, anche senza accorgersene, regaliamo sui social network (anche professionali) informazioni al pubblico sui servizi che usiamo. È sufficiente uno screenshot su Instagram che ritrae il desktop del nostro sistema operativo per rivelare informazioni utili in tal senso.
Ciò deve comportare, ça va sans dire, molta attenzione nel diffondere informazioni tecniche precise circa le nostre scelte informatiche.
4. Diffidare delle richieste di credenziali - Un’azione tipica delle campagne di phishing è quella di cercare di convincere il soggetto preso di mira a rivelare le sue credenziali. Per "credenziali" intendiamo, in questo caso, qualsiasi codice di accesso che permetta di entrare in un servizio o account: nome utente, password, PIN, codice di sicurezza, etc.
La domanda di credenziali di qualsiasi tipo dovrebbe immediatamente bloccare qualsiasi azione di un utente saggio. Mi domandi le credenziali? Cancello la e-mail con la richiesta. Questo perché, nella società informatica odierna, è rarissimo che un soggetto domandi una verifica o una comunicazione delle credenziali per e-mail.
Le tecniche per convincere l’utente non esperto a fornirle sono ormai consolidate. Un annuncio di problemi alle credenziali di accesso a un servizio, e si noti che questi annunci non si accompagnano, poi, a un problema reale. In altre parole, se l’utente si prendesse la briga di controllare realmente il problema, si accorgerebbe che non è vero che l’account è stato disattivato o che vi sono problemi.
La regola è che le credenziali non vanno mai comunicate, non vanno inserite in moduli o form, neanche se viene detto che la connessione è sicura.
Piuttosto, se rimane un dubbio, contattare il servizio di assistenza con le modalità solite, e non quelle indicate nella e-mail di phishing!
5. Diffidare della richiesta di dati bancari o di codici di carta di credito - Molto richiesti sono anche dati bancari, di home banking o codici di carta di credito. Anche in questo caso si annuncia un malfunzionamento del sistema, o un problema, e si cercano di carpire informazioni da usare o da rivendere.
La tecnica, in questo caso, è quella di annunciare un problema del servizio o una interruzione dovuta a un abbonamento scaduto, a una multa, a un blocco dell'utenza per un nostro comportamento sbagliato.
PayPal è molto usato per cercare di ingannare, così come Visa, PostePay, Mastercard e altre società emittenti di carta di credito.
Non bisogna farsi ingannare, in questi casi, dall’eleganza della e-mail o dalla bellezza e professionalità del sito web cui rimandano eventuali link. I criminali sono in grado di ricreare esattamente la grafica di un sito, anche con URL simili, usando gli stessi colori e la stessa architettura, sempre contando su un controllo superficiale dell’utente.
6. Diffidare dei link - I link sono usati anch'essi per ingannare, cercando di convincere l’utente a cliccare su un collegamento che porta a un sito che può essere ingannevole o, addirittura, contenere del malware.
Anche in questo caso, la regola è di evitare di cliccare dei link a meno che il collegamento non sia conosciuto, non sia atteso o vi sia un motivo per cui è stato inviato.
7. Diffidare degli allegati - Particolare attenzione va anche prestata agli allegati, che possono contenere software nocivo, script per sfruttare delle vulnerabilità e malware di vario genere.
Niente di nuovo: anche per gli allegati vanno previste le stesse tutele (e cautele) dei link.
"Perché il messaggio ha un allegato?", ci si dovrebbe sempre domandare? Alzare il livello di paranoia, quindi, e pensare: lo stavamo attendendo?
Al contempo, dovremmo riflettere sul fatto che se non apriamo un allegato, non muore nessuno. Calma: niente frenesia o urgenza, anche se il testo del messaggio ci spinge ad agire in fretta. Nel caso la nostra valutazione fosse sbagliata, il mittente dell’allegato ci solleciterà una risposta. Tutto qui.
8. Diffidare di conoscenti e istituzioni - Purtroppo, occorre fare attenzione anche nella nostra comfort zone, ossia nell’ambito del messaggi provenienti da persone conosciute e in “luoghi”, quali la PEC (Posta Elettronica Certificata), considerati di default sicuri ma che, in realtà, non lo sono.
Il mittente, innanzitutto, può essere travisato, quindi una e-mail proveniente da un nostro amico può non essere reale e contenere allegati truffaldini. È facile impersonare un’altra persona. Inoltre, i nostri amici e contatti ci potrebbero inoltrare e-mail di phishing (per scherzo, o perché indecisi e ci domandano un parere) e, in quel caso, le difese tendono ad abbassarsi.
Poi, anche la Posta Elettronica Certificata può essere destinataria di phishing, quindi il fatto che sia, sulla carta, più protetta (sia in partenza, sia in arrivo) ai nostri fini di protezione non ha importanza.
9. Ci si può proteggere con antivirus e sistemi anti-phishing - Esistono strumenti informatici che, accanto all’attenzione per i comportamenti, possono dare una grandissima mano. Sono pensati per tutti i sistemi operativi e i browser: un antivirus aggiornato, e sistemi di filtro anti phishing, che possono essere o integrati nei browser per proteggere dai siti, o come software a sé, sono in molti casi una manna dal cielo.
Non bisogna, però, abbassare la guardia: il fatto di avere un software che ci protegge aiuta, ma non fornisce sicurezza in automatico. La sicurezza è data dall’uomo e dai suoi comportamenti.
Usare, quindi, filtri anche gratuiti, sistemi incorporati nel sistema operativo o nei client e-mail, e fidarsi di loro. Se il sistema ci avverte e ci chiede cosa fare (ad esempio: "l’allegato lo apriamo lo stesso?") essere sempre cauti e seguire le indicazioni più sicure.
10. Non vergognarsi e non tenere il segreto - Vi hanno truffato? Bene. Ormai è successo. Ma non vergognatevi. Comunicatelo subito. Un attacco di phishing può generare un vero e proprio data breach, una fuoriuscita di credenziali e di dati importanti o, al contrario, può aprire porte di accesso ai sistemi.
Si deve, allora, comunicare subito l’incidente, soprattutto se è avvenuto in un contesto aziendale o in un’amministrazione pubblica, parlando con il DPO o con l’amministratore di sistema.
La fuoriuscita di credenziali è critica, e non basta cambiarle (azione che serve a proteggere l’utente) ma occorre comunicare ciò che è avvenuto. Ciò è essenziale per pensare a un piano serio di sicurezza.
Fonte: Giovanni Ziccardi
(Giovanni Ziccardi intervistato al CNR di Pisa in occasione della sua docenza al Corso di formazione manageriale per Data Protection Officer di Federprivacy)