Contro truffe e phishing serve una vera cultura della sicurezza
di Francesco Pagano, Consigliere Aidr e Responsabile servizi
informatici Ales spa e Scuderie del Quirinale
Il fenomeno delle truffe online e del furto di identità su Internet
sta crescendo in maniera esponenziale. Secondo i dati diffusi
dall’Interpol lo scorso agosto, il boom di attacchi informatici è
coinciso con la pandemia da Covid-19 e segna, in particolare, un
aumento nell’uso delle tecniche phishing.
Il phishing è una tipologia di attacco estremamente subdola e che
sfrutta comunicazioni via e-mail (ma anche su social network e
piattaforme di chat) per attirare le vittime su siti malevoli o
progettati per rubare le credenziali di accesso ai servizi Web. La
strategia dei cyber criminali prevede l’uso di messaggi di posta
elettronica “confezionati” in modo da sembrare perfettamente
legittimi, in cui gli hacker impersonano aziende, organizzazioni o
istituti bancari.
Il messaggio, spesso realizzato in maniera estremamente convincente,
ha l’obiettivo di indurre il destinatario a fare click sul
collegamento che lo dirotta sulla pagina controllata dai pirati. Per
centrare l‘obiettivo, i truffatori utilizzano tecniche di ingegneria
sociale, cioè stratagemmi che fanno leva sullo stato d’animo della
potenziale vittima. Di solito queste strategie sfruttano due diversi
fattori: l’entusiasmo e la paura.
Nel primo caso vengono utilizzati messaggi che promettono regali,
premi od offerte speciali dedicate al destinatario del messaggio. Nel
secondo, le e-mail prospettano invece il rischio di dover pagare multe
o fanno riferimento a richieste di pagamento, fatture o scadenze
ineludibili.
L’obiettivo è lo stesso: provocare una reazione nella vittima che la
induca ad agire impulsivamente e fare click sul collegamento.
In alcuni casi, questo porta a una pagina Web che contiene malware, in
altri a un sito che a prima vista appare essere quello dell’azienda od
organizzazione impersonata dai pirati informatici. In questo secondo
caso, l’obiettivo dei cyber criminali è quello di indurre la loro
vittima a inserire le credenziali di accesso al servizio (per esempio
quelle del servizio di home banking online) per potergliele rubare.
Non è nulla di nuovo Chi utilizza abitualmente servizi online ha ormai
imparato a riconoscere (ed evitare) questo tipo di attacchi. La
pandemia da Covid-19, però, ha inciso sul fenomeno in due modi. Da un
lato ha messo a disposizione dei pirati informatici un tema, quello
del coronavirus, particolarmente adatto a suscitare paura o allarme in
chi riceve i messaggi. Dall’altro, il lockdown di primavera e le
restrizioni ai movimenti in questa seconda ondata hanno portato molte
persone a utilizzare per la prima volta gli strumenti digitali o a
intensificarne l’uso rispetto al passato.
Il risultato è che i cyber criminali possono adesso raggiungere una
platea di potenziali vittime estremamente vulnerabili, che non hanno
la malizia per riconoscere i messaggi sospetti e poca esperienza
nell’utilizzo di Internet. Gli strumenti di protezione come firewall e
software antivirus possono aiutare ad arginare il fenomeno, ma non
possono garantire una protezione assoluta da questo tipo di attacchi,
che spesso non usano codice malevolo ma soltanto stratagemmi che
puntano a ingannare gli ignari utenti.
Ciò di cui abbiamo disperatamente bisogno è piuttosto un processo di
alfabetizzazione rivolto a tutta la popolazione, che consenta di
acquisire quelle capacità critiche indispensabili per disinnescare gli
attacchi dei pirati informatici. Qualcosa che, probabilmente, accadrà
in maniera naturale in seguito all’impennata nella digitalizzazione
che stiamo attraversando, ma che senza un intervento che punti alla
creazione di una reale “cultura della sicurezza” rischia di essere
troppo lenta e lasciare una quantità incredibile di macerie (digitali)
sulla sua strada.
