i vari DOC, XLS, PPT e così via (con e senza la X finale): questi file possono contenere macro pericolose (trojan) che, se il vostro applicativo è configurato in modo non sicuro, potrebbero essere eseguite all'apertura: quando li vedete fermatevi un sec e fatevi due domande: /19
#7. Occhio alle estensioni. Gli allegati più pericolosi in assoluto sono ovviamente i file eseguibili (EXE, BAT, CMD), ma per vostra fortuna ne vedrete pochi perché gli antivirus (vostri e dei provider) sono istruiti per bloccarli. Subito dopo ci sono i file di Office, ovvero /18
#6. Occhio alle PEC. E' opinione comune che quella tecnologia aberrante introdotta in Italia con il nome di #PEC costituisca un canale di comunicazione "sicuro": così non è. Le PEC consentono di veicolare schifezze tanto quanto le mail ordinarie (vedi pt 5B): state attenti. /17
Questo non significa che il mittente non conti nulla: al contrario, lo sconosciuto che vi manda allegati strani è sempre da attenzionare e molto spesso è #phishing (e se non lo è non sa usare il mezzo, vedi punto 3); il punto è che conoscere il mittente non è una garanzia. /16
#5. Occhio al mittente... ma senza farci troppo affidamento. Come molti di voi sapranno, A) il mittente può essere falsificato senza grosse difficoltà e B) il mittente può essere stato infettato e "costretto" a inviare mail di #phishing per conto terzi, magari a sua insaputa. /15
La lingua italiana, per nostra fortuna, è particolarmente difficile da "scriptare", specie considerando che un buon 90% di questi script sono realizzati per il mercato ENG (e da sviluppatori russi o asiatici, per giunta): non fatevi fregare da un "problema di fatturatione". /14
#4. Occhio alla grammatica e alla sintassi. Nonostante i text-generator abbiano fatto passi da gigante grazie alle moderne tecnologie in ambito AI/ML, circolano ancora migliaia di mail scritte coi piedi: maschili al posto di femminili, punteggiature assurde, etc. /13
#3-bis. Questo punto vale anche per voi: se mandate allegati senza spiegazioni state utilizzando male il mezzo, e il fatto che "andate di fretta" non è una giustificazione. Mandare allegati è una responsabilità, dovete allegare anche l'onere della prova che siete davvero voi. /12
#3. Occhio al contesto. Chiunque mandi una mail contentente link e/o allegati ha la responsabilità di identificarsi e presentare tale contenuto con un testo di accompagnamento chiaro, esaustivo e degnamente contestualizzato. "Prego vedere fattura allegata" = phishing al 99%. /11
#1. Tenete alta la vostra soglia di attenzione. Sembra una stronzata, ma è la regola più importante: il #phishing è pensato per fregarvi nel momento di distrazione, quando dovete evadere 80 mail arretrate mentre vi squilla il telefono. Non fatevi fregare, leggete bene tutto. /9
Non dubito che alcuni di voi troveranno questi consigli piuttosto banali, ma vi assicuro che il fail può essere dietro l'angolo, specialmente se si utilizza più di un PC e/o software di lettura di posta elettronica diversi, cosa che capita di frequente sul posto di lavoro. /8
Poiché non voglio farla troppo lunga, farò del mio meglio per trasmettervi pochi e semplici concetti per evitare di cadere vittima dei tentativi di #phishing e #spearphishing (AKA phishing mirato) sempre più sofisticati che stanno prendendo piede negli ultimi mesi. /7
Si tratta quindi di una situazione tristemente nota, che ricorda molto da vicino quella alla base dei moltissimi incidenti sul lavoro: l'ignoranza delle più elementari norme di sicurezza unita alla carenza di investimenti volti a ridurre i rischi connessi alle attività svolte. /6
I motivi di questa "arretratezza", neanche a dirlo, sono principalmente legati al fatto che i rischi legati alla sicurezza IT sono spesso gravemente (e colpevolmente) sottostimati dal management aziendale, sia nel pubblico che nel privato (lo dico per esperienza diretta). /5
In Italia da questo punto di vista siamo messi particolarmente male: più della metà delle nostre aziende viene colpito da attacchi informatici direttamente o indirettamente imputabili al #phishing, contro una media del 38% a livello mondiale. /4
In cosa consistono queste strategie? Volendo riassumere, in un connubio virtuoso tra difese perimetrali (Firewall, IDS, validazione e-mail tramite SPF, etc.), procedure aziendali adeguate e soprattutto corsi di formazione per i dipendenti volti allo sviluppo di best practices. /3
Questo che si sta per chiudere è stato un anno dove il #phishing ha mietuto molte vittime illustri in Italia e in UE, chiaro segnale che sia gli enti pubblici che le aziende private non hanno ancora messo a punto strategie difensive adeguate. /2
https://www.privacy.it/2019/10/26/ransomware-phishing-allarme-cybersecurity/
Nemico capitale.