In cosa consistono queste strategie? Volendo riassumere, in un connubio virtuoso tra difese perimetrali (Firewall, IDS, validazione e-mail tramite SPF, etc.), procedure aziendali adeguate e soprattutto corsi di formazione per i dipendenti volti allo sviluppo di best practices. /3

In Italia da questo punto di vista siamo messi particolarmente male: più della metà delle nostre aziende viene colpito da attacchi informatici direttamente o indirettamente imputabili al #phishing, contro una media del 38% a livello mondiale. /4

https://www.wombatsecurity.com/state-of-the-phish

I motivi di questa "arretratezza", neanche a dirlo, sono principalmente legati al fatto che i rischi legati alla sicurezza IT sono spesso gravemente (e colpevolmente) sottostimati dal management aziendale, sia nel pubblico che nel privato (lo dico per esperienza diretta). /5

Si tratta quindi di una situazione tristemente nota, che ricorda molto da vicino quella alla base dei moltissimi incidenti sul lavoro: l'ignoranza delle più elementari norme di sicurezza unita alla carenza di investimenti volti a ridurre i rischi connessi alle attività svolte. /6

Poiché non voglio farla troppo lunga, farò del mio meglio per trasmettervi pochi e semplici concetti per evitare di cadere vittima dei tentativi di #phishing e #spearphishing (AKA phishing mirato) sempre più sofisticati che stanno prendendo piede negli ultimi mesi. /7

Non dubito che alcuni di voi troveranno questi consigli piuttosto banali, ma vi assicuro che il fail può essere dietro l'angolo, specialmente se si utilizza più di un PC e/o software di lettura di posta elettronica diversi, cosa che capita di frequente sul posto di lavoro. /8

#1. Tenete alta la vostra soglia di attenzione. Sembra una stronzata, ma è la regola più importante: il #phishing è pensato per fregarvi nel momento di distrazione, quando dovete evadere 80 mail arretrate mentre vi squilla il telefono. Non fatevi fregare, leggete bene tutto. /9

#2. Occhio a link e allegati. Il #phishing, a differenza del banale (e quasi sempre innocuo) #spam, è una tecnica che prevede un preciso obiettivo di conversione: farvi aprire un allegato o cliccare su un link. Se la mail contiene una di queste due cose, è da attenzionare. /10

#3. Occhio al contesto. Chiunque mandi una mail contentente link e/o allegati ha la responsabilità di identificarsi e presentare tale contenuto con un testo di accompagnamento chiaro, esaustivo e degnamente contestualizzato. "Prego vedere fattura allegata" = phishing al 99%. /11

#3-bis. Questo punto vale anche per voi: se mandate allegati senza spiegazioni state utilizzando male il mezzo, e il fatto che "andate di fretta" non è una giustificazione. Mandare allegati è una responsabilità, dovete allegare anche l'onere della prova che siete davvero voi. /12

#4. Occhio alla grammatica e alla sintassi. Nonostante i text-generator abbiano fatto passi da gigante grazie alle moderne tecnologie in ambito AI/ML, circolano ancora migliaia di mail scritte coi piedi: maschili al posto di femminili, punteggiature assurde, etc. /13

La lingua italiana, per nostra fortuna, è particolarmente difficile da "scriptare", specie considerando che un buon 90% di questi script sono realizzati per il mercato ENG (e da sviluppatori russi o asiatici, per giunta): non fatevi fregare da un "problema di fatturatione". /14

#5. Occhio al mittente... ma senza farci troppo affidamento. Come molti di voi sapranno, A) il mittente può essere falsificato senza grosse difficoltà e B) il mittente può essere stato infettato e "costretto" a inviare mail di #phishing per conto terzi, magari a sua insaputa. /15

Questo non significa che il mittente non conti nulla: al contrario, lo sconosciuto che vi manda allegati strani è sempre da attenzionare e molto spesso è #phishing (e se non lo è non sa usare il mezzo, vedi punto 3); il punto è che conoscere il mittente non è una garanzia. /16

#6. Occhio alle PEC. E' opinione comune che quella tecnologia aberrante introdotta in Italia con il nome di #PEC costituisca un canale di comunicazione "sicuro": così non è. Le PEC consentono di veicolare schifezze tanto quanto le mail ordinarie (vedi pt 5B): state attenti. /17

#7. Occhio alle estensioni. Gli allegati più pericolosi in assoluto sono ovviamente i file eseguibili (EXE, BAT, CMD), ma per vostra fortuna ne vedrete pochi perché gli antivirus (vostri e dei provider) sono istruiti per bloccarli. Subito dopo ci sono i file di Office, ovvero /18

i vari DOC, XLS, PPT e così via (con e senza la X finale): questi file possono contenere macro pericolose (trojan) che, se il vostro applicativo è configurato in modo non sicuro, potrebbero essere eseguite all'apertura: quando li vedete fermatevi un sec e fatevi due domande: /19

A) chi me li manda? B) ma c'era proprio bisogno di mandare quel formato e non un (molto più sicuro) PDF? Come forse sapete, il 90% dei #phishing è contenuto all'interno di finte fatture, note di spesa o roba simile, che non c'è alcun motivo per mandare in giro in formato DOC. /20