Phishing 2021: un fenomeno mondiale
Non si era mai parlato così tanto come in questo ultimo periodo del pericolo numero uno per ogni impresa, pubblica o privata che sia: il rischio informatico e, in particolare, del phishing. L’emergenza del Coronavirus è purtroppo stata accompagnata da numerosi attacchi hacker, per ragioni facili da intuire.
Innanzitutto, la diffusione dello smart-working ha aumentato le possibilità di attacco alla rete aziendale in modo esponenziale, iaggiungendo al sistema informatico interno una miriade di dispositivi difficili da proteggere fuori dalla propria sede operativa, come smartphone, tablet, notebook e computer dekstop utilizzati per connettersi all’ufficio da casa.
Aggiungiamo poi che il Covid-19 ha obbligato ad una digitalizzazione forzata, in particolare nel settore sanitario, un mondo che si è dovuto digitalizzare in fretta per sopperire al distanziamento sociale, per aiutare con la telemedicina i pazienti positivi e perché obbligato all’uso di mezzi digitali. Degli attacchi informatici avvenuti nel 2020, ben il 36% hanno riguardato il settore sanitario e se analizziamo solo gli attacchi e-mail (canale preferito dal phishing), la percentuale sale al 70%, uno fra tanti, l’email di phishing con come mittente l’OMS (Organizzazione Mondiale della Sanità).
Questo picco negativo non ha riguardato solo il settore sanitario. La pandemia ha anche contribuito a far emergere le criticità insite in un vecchio modello di gestione del rischio informatico, modello che perché venga superato deve considerare come alleati Innovazione e Intelligenza Artificiale, con il fine ultimo di evitare l’interruzione dei flussi di lavoro e il furto (come nel caso del phishing) di dati e informazioni sensibili e preziose.
Cos'è il phishing e come si manifesta
Il phishing è uno dei più comuni attacchi informatici conosciuti. Deve il suo nome all’incontro di due termini: il fishing (pescare) e il phreaking (la ricerca di falle all’interno di un sistema). Rientra nella categoria di cyber-attacchi denominata ingegneria sociale (social engineering) che consiste nello studio del comportamento delle persone con il fine di manipolarle e ottenere da loro informazioni confidenziali (password, informazioni sui conti correnti bancari, informazioni finanziarie, etc.).
Il phishing è appunto il metodo più noto di social engineering e sfrutta la posta elettronica per inviare in modo massivo e-mail con allegati o link malevoli che se aperti e cliccati permettono all’hacker di entrare nel sistema del malcapitato. Di solito i mittenti-hacker fingono di essere organizzazioni conosciute (banche o in generale servizi utilizzati comunemente dalla vittima) che contattano l’utente per avvisarlo di errori o di aggiornamenti per i quali è richiesto l’inserimento di dati personali. I link rimandano spesso a pagine web clonate, uguali in tutto e per tutto ai siti originali, che spingono l’utente ad inserire così le proprie credenziali e dati sensibili.
Quando invece l’attacco non avviene su una massa indistinta di indirizzi e-mail ma su una specifica persona o target di destinatari si parla di spear phishing e di solito l’account che invia la e-mail è non solo attendibile ma anche riconosciuto dal destinatario. Ovviamente si tratta di un hacker che ha creato una copia dell’indirizzo e-mail della persona o istituzione riconosciuta come safe. Nel clone phishing invece i criminali fanno una copia, o clone, di e-mail legittime inviate in passato che contengono un link o un allegato: il phisher sostituisce poi i link o i file allegati originali con corrispondenti link o file dannosi.
Il phishing non si limita solo all’uso dell’e-mail: sono sempre più diffusi attacchi tramite SMS (smishing) e instant messaging quali WhatsApp, Telegram, etc.
La facilità di fare phishing e come fare anti-phishing
Quando si pensa ai rischi nei quali può incorrere un’attività (libero professionista, negozio o piccola e media impresa) il primo pensiero va ad un virus che blocca il pc. Ma il messaggio phishing è altrettanto pericoloso. Innanzitutto, fare del phishing è più o meno alla portata di tutti: acquistare un migliaio di indirizzi e-mail comporta una spesa minima e, attraverso mercati sommersi, un phisher può affittare un server web compromesso sul quale ospitare le proprie pagine di phishing. Una volta ottenuto il numero di una carta di credito o altre credenziali, per la monetizzazione ci pensano altri mercati altrettanto sommersi ai quali vendere queste informazioni.
Per proteggersi, la prima cosa da fare è controllare sempre la correttezza dell’indirizzo e-mail (di solito è diverso da quello originale per una lettera o due o per diversi simboli, come slash, underscore, etc.) e non aprire mai gli allegati se sospetti. Altro accorgimento è quello di controllare il linguaggio utilizzato (spesso quello di phishing include errori grammaticali o di battitura) e riflettere sulle informazioni richieste: nessun istituto richiede mai di inserire direttamente nelle- mail le proprie credenziali di accesso all’home banking e non sono mai presenti link che invitano a loggarsi.
E, a monte, sempre un solido firewall, antivirus aggiornati ma soprattutto tanta, tanta formazione al personale, perché il phishing funziona proprio perché agisce sul fattore umano e sulla leggerezza e poca dimestichezza delle vittime designate con i trucchi operati dai phisher. Occorre una vera e propria cultura della Sicurezza informatica, attraverso la sensibilizzazione dei dipendenti rispetto ai rischi informatici e formazione rispetto alle policy aziendali.