Questo che si sta per chiudere è stato un anno dove il #phishing ha mietuto molte vittime illustri in Italia e in UE, chiaro segnale che sia gli enti pubblici che le aziende private non hanno ancora messo a punto strategie difensive adeguate. /2
https://www.privacy.it/2019/10/26/ransomware-phishing-allarme-cybersecurity/
In cosa consistono queste strategie? Volendo riassumere, in un connubio virtuoso tra difese perimetrali (Firewall, IDS, validazione e-mail tramite SPF, etc.), procedure aziendali adeguate e soprattutto corsi di formazione per i dipendenti volti allo sviluppo di best practices. /3
In Italia da questo punto di vista siamo messi particolarmente male: più della metà delle nostre aziende viene colpito da attacchi informatici direttamente o indirettamente imputabili al #phishing, contro una media del 38% a livello mondiale. /4
I motivi di questa "arretratezza", neanche a dirlo, sono principalmente legati al fatto che i rischi legati alla sicurezza IT sono spesso gravemente (e colpevolmente) sottostimati dal management aziendale, sia nel pubblico che nel privato (lo dico per esperienza diretta). /5
Si tratta quindi di una situazione tristemente nota, che ricorda molto da vicino quella alla base dei moltissimi incidenti sul lavoro: l'ignoranza delle più elementari norme di sicurezza unita alla carenza di investimenti volti a ridurre i rischi connessi alle attività svolte. /6
Poiché non voglio farla troppo lunga, farò del mio meglio per trasmettervi pochi e semplici concetti per evitare di cadere vittima dei tentativi di #phishing e #spearphishing (AKA phishing mirato) sempre più sofisticati che stanno prendendo piede negli ultimi mesi. /7
Non dubito che alcuni di voi troveranno questi consigli piuttosto banali, ma vi assicuro che il fail può essere dietro l'angolo, specialmente se si utilizza più di un PC e/o software di lettura di posta elettronica diversi, cosa che capita di frequente sul posto di lavoro. /8
#1. Tenete alta la vostra soglia di attenzione. Sembra una stronzata, ma è la regola più importante: il #phishing è pensato per fregarvi nel momento di distrazione, quando dovete evadere 80 mail arretrate mentre vi squilla il telefono. Non fatevi fregare, leggete bene tutto. /9
#3. Occhio al contesto. Chiunque mandi una mail contentente link e/o allegati ha la responsabilità di identificarsi e presentare tale contenuto con un testo di accompagnamento chiaro, esaustivo e degnamente contestualizzato. "Prego vedere fattura allegata" = phishing al 99%. /11
#3-bis. Questo punto vale anche per voi: se mandate allegati senza spiegazioni state utilizzando male il mezzo, e il fatto che "andate di fretta" non è una giustificazione. Mandare allegati è una responsabilità, dovete allegare anche l'onere della prova che siete davvero voi. /12
#4. Occhio alla grammatica e alla sintassi. Nonostante i text-generator abbiano fatto passi da gigante grazie alle moderne tecnologie in ambito AI/ML, circolano ancora migliaia di mail scritte coi piedi: maschili al posto di femminili, punteggiature assurde, etc. /13
La lingua italiana, per nostra fortuna, è particolarmente difficile da "scriptare", specie considerando che un buon 90% di questi script sono realizzati per il mercato ENG (e da sviluppatori russi o asiatici, per giunta): non fatevi fregare da un "problema di fatturatione". /14
#5. Occhio al mittente... ma senza farci troppo affidamento. Come molti di voi sapranno, A) il mittente può essere falsificato senza grosse difficoltà e B) il mittente può essere stato infettato e "costretto" a inviare mail di #phishing per conto terzi, magari a sua insaputa. /15
Questo non significa che il mittente non conti nulla: al contrario, lo sconosciuto che vi manda allegati strani è sempre da attenzionare e molto spesso è #phishing (e se non lo è non sa usare il mezzo, vedi punto 3); il punto è che conoscere il mittente non è una garanzia. /16
#6. Occhio alle PEC. E' opinione comune che quella tecnologia aberrante introdotta in Italia con il nome di #PEC costituisca un canale di comunicazione "sicuro": così non è. Le PEC consentono di veicolare schifezze tanto quanto le mail ordinarie (vedi pt 5B): state attenti. /17
#7. Occhio alle estensioni. Gli allegati più pericolosi in assoluto sono ovviamente i file eseguibili (EXE, BAT, CMD), ma per vostra fortuna ne vedrete pochi perché gli antivirus (vostri e dei provider) sono istruiti per bloccarli. Subito dopo ci sono i file di Office, ovvero /18
i vari DOC, XLS, PPT e così via (con e senza la X finale): questi file possono contenere macro pericolose (trojan) che, se il vostro applicativo è configurato in modo non sicuro, potrebbero essere eseguite all'apertura: quando li vedete fermatevi un sec e fatevi due domande: /19
A) chi me li manda? B) ma c'era proprio bisogno di mandare quel formato e non un (molto più sicuro) PDF? Come forse sapete, il 90% dei #phishing è contenuto all'interno di finte fatture, note di spesa o roba simile, che non c'è alcun motivo per mandare in giro in formato DOC. /20
#8. Occhio agli unsubscribe. L'aumento esponenziale delle newsletter negli ultimi anni ci ha portati a clickare in modo compulsivo sui link di "unsubscribe" presenti in fondo a ciascuna di queste mail, senza neanche leggere. ERRORE. Cliccare su un link a cuor leggero /21
significa abbassare la nostra soglia di attenzione al di sotto del livello di guardia e, ormai lo sappiamo, è una cosa che non ci possiamo mai permettere di fare. Occhio alla NL truffaldina che non aspetta altro di farvi clickare sulla URL pericolosa travestita da unsubscribe./22
#9. Occhio alla fretta. Il principale driver di qualsiasi frode, fin da epoche remote, è la rapidità, e il #phishing non fa eccezione: lo scopo del truffatore è farvi agire senza riflettere, spingendovi fuori dalla vostra comfort zone (e dalle procedure di sicurezza). /23
Diffidate quindi delle mail dai toni urgenti che prevedono una vostra reazione immediata e impulsiva: notifiche di pagamento che scadono tra un'ora, occasioni in procinto di essere perse, sconti che scadono a breve e via dicendo. Figuratevi se, nel mondo in cui viviamo oggi, /24
chi deve inviarvi un avviso di pagamento si riduce all'ultimo giorno: se c'è qualcosa da pagare ce lo cominciano a notificare come minimo a partire da 30 giorni prima, con diverse comunicazioni e tramite più di un canale. Diffidate di chi cerca di farvi sentire in ritardo. /25
#10. Installate un buon antivirus/antimalware (e configurate Office per non aprire automaticamente le macro e il contenuto attivo). Nell'eventualità (spero remota) di un click sul file sbagliato, è fondamentale avere una rete di sicurezza che vi impedisca di schiantarvi male. /26
Per il momento mi fermo qui, sperando di non avervi annoiato troppo: fatemi sapere se trovate questo thread interessante. Concludo con una citazione attribuita (pare erroneamente, vedi link allegato) a John Chambers, CEO di Cisco Inc., che aiuta a capire molto bene i rischi /27
legati alla sottovalutazione delle minacce informatiche da parte delle aziende e di un management spesso inadeguato:
"There are two types of companies: those who have been hacked, and those who don’t yet know they have been hacked".
Alla prossima!
https://taosecurity.blogspot.com/2018/12/the-origin-of-quote-there-are-two-types.html
@utentone Hai ragione :) scusa. E' un modo di scrivere mutuato da twitter, dove però la gestione della TL "per utente" è molto diversa e fa molto meno casino. Su Mastodon, a quanto sto vedendo, dà molto più fastidio: cercherò di stare più attento.