Il cybercrime si conferma la motivazione dell’86% dei cyber attacchi, in crescita rispetto all’81% del 2020 (+16% in termini assoluti).
L’email rimane il principale vettore di attacchi informatici, circa il 90%, ma gli hacker traggono nuova linfa dall’aumento degli strumenti utilizzati: SMS, piattaforme di messaggistica istantanea, social media e tutte le app che consentono di condividere dei link.
Sono tante le vulnerabilità che possono implicitamente derivare dall'uso della posta elettronica, tra le quali:
- Quelle legate alla possibilità di una contraffazione delle intestazioni dei messaggi;
- Quelle che comportano l'esecuzione di programmi attraverso i messaggi di posta;
- Quelle concernenti gli attacchi tramite gli allegati di posta elettronica;
- Quelle che espongono l’utente a fenomeni di phishing;
- Quelle della perdita di dati aziendali e informazioni riservate;
- Quelle della comunicazione illecita di dati.
In questo settore (dell’email security) le minacce si fanno sempre più subdole e con campagne sofisticate e mirate o comunque con componenti di personalizzazione, condotte con messaggi confezionati in modo spesso curato e competente. I messaggi sono indirizzati specificamente ad un singolo, o ad un gruppo, di aziende/enti.
Quando parliamo di messaggi personalizzati parliamo di phishing, una tecnica che si fonda sullo studio del comportamento e della psicologia degli individui con lo scopo di influenzare il percorso decisionale della mente inducendo le persone a compiere determinate azioni sui loro pc e i loro dispositivi, con il fine ultimo di carpire informazioni e dati utili.
Gli hacker inducono le loro vittime a compiere processi cognitivi distorti inducendoli in errore e portandole così a cadere più facilmente in trappole informatiche.
Nel phishing l’hacker deve ottenere l’indispensabile collaborazione da parte della vittima, la quale deve in un modo o nell’altro dargli la possibilità di accesso al sistema.
L’hacker si presenta, in genere, come un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.) che invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc.
In genere, i messaggi di phishing invitano a fornire direttamente i propri dati personali, oppure a cliccare un link che rimanda ad una pagina web dove è presente un form da compilare.
L’efficacia di un messaggio “mirato” rispetto ad uno più generico e massivo è evidente.
È sufficiente un minimo di personalizzazione per superare la gran parte delle difese.
Il messaggio personalizzato viene di per sé ritenuto molto più sicuro di un messaggio generico.
Se all’email aggiungiamo un elemento emotivo, una sollecitudine o un’urgenza e un potenziale beneficio individuale, diventa minore il tempo dedicato all’analisi e il messaggio acquista valore.
1- Il link non corrispondente (vogliono spacciarsi come inviate da aziende o istituzioni);
2- Dominio a cui si richiede di accedere, strano ed incomprensibile (login.latuabanca.web. maxweb.com/credenziali);
3- Messaggio sgrammaticato (errori grammaticali e ortografici);
4- Richiesta di informazioni personali (messaggio di “aggiornamento” o “operazioni da confermare”);
5- Offerte troppo interessanti (concorso dal premio molto ghiotto);
6- Ciao Mario, hai vinto la lotteria (vincita a un concorso o una lotteria);
7- Richiesta di soldi;
8- L’agenzia governativa (Equitalia, Agenzia delle Entrate); complice il “timore” causato dalla ricezione di un messaggio, all’apparenza affidabile se non uguale in tutto e per tutto a quello inviato dalle agenzie stesse, in cui si chiede il saldo di un debito ma anche al contrario la riscossione di un rimborso.
Lo smishing è una forma di phishing che utilizza i telefoni cellulari come piattaforma di attacco.
Il criminale compie l'attacco con l'intento di raccogliere informazioni personali, compresi il codice fiscale e/o il numero di carta di credito.
Lo smishing viene attuato attraverso messaggi di testo o SMS.
Il Phishing può essere perpetrato anche al telefono (in questo caso, parliamo di vishing).
- Conto sospeso e problemi con la banca;
- Accredito, addebito e trasferimento di denaro (anche tramite PayPal, Satyspay);
- Autenticazione e rinnovo password;
- Conferma d’ordine e ricarica di una spedizione e/o programmazione di una consegna;
- Criptovalute;
- Sextortion (riscatto sessuale).
Esistono e sono esistiti virus informatici creati ad hoc per attaccare gli utenti di WhatsApp e non solo.
Anche social network come Instagram e Facebook (non da meno anche Twitter) sono stati vettori e oggetto di attacchi.
Quasi sempre le truffe di phishing via chat si riconoscono perché:
- Chi invia il messaggio dice di essere parte del team di WhatsApp;
- Dice di essere un conoscente che non sentiamo da molto tempo o che ha cambiato numero;
- Il messaggio contiene istruzioni per l’inoltro;
- Il messaggio contiene un testo che sollecita, mette ansia o invita l’utente a compiere un’azione in breve tempo;
- Il contenuto parla di un premio o un regalo da parte di qualcuno.
Il Ramsonware è un virus informatico che rende inaccessibili i file del computer o dei dispositivi infettati e chiede il pagamento di un riscatto per ripristinarli.
L’utente che pone scarsa attenzione o non ha consapevolezza può innescare il ramsomware attraverso l’apertura di un’email (email di phishing).
Il ramsomware può propagarsi in rete usando le vulnerabilità dei software e/o dei sistemi operativi.
Tutti i file non sono più utilizzabili e/o accessibili. Al posto dello sfondo del desktop compare un avviso con la richiesta di un riscatto. Generalmente in criptovaluta (Bitcoin ma non solo).
Pagare il riscatto può esporre a responsabilità penale. Il pagamento può essere perseguito in quanto “favorisce” il reato commesso da chi effettua l’attacco (favoreggiamento); inoltre potrebbe costituire uno dei reati presupposto ai sensi del D.Lgs. 231/2001. Infine, si potrebbe porre in contrasto con i valori, i principi e gli ideali di comportamento di cui al codice etico dell’azienda. Nel caso di PA si deve anche rispondere per danno erariale.
- Spionaggio e/o deliberata alterazione di dati personali e aziendali;
- Monetizzazione del furto attraverso vendita a terzi dei dati; *
- Monetizzazione del furto attraverso una richiesta di riscatto; *
- Divulgazione non autorizzata dei dati personali;
- Discriminazione;
- Furto o usurpazione di identità;
- Perdite finanziarie;
- Pregiudizio e perdita reputazionale.
* La correlazione dei dati sugli attacchi rilevati con le dimensioni ed il fatturato delle aziende/enti rispondenti mostra anche in questo periodo la chiara tendenza all’aumento degli attacchi digitali per organizzazioni di dimensioni e per fatturato crescenti.
- Verificate la fonte. Cosa sanno? È plausibile che la fonte possieda informazioni, come il vostro nome e cognome? Lavoro, abitudine, indirizzo?
- Verificate se il contenuto del messaggio possa essere realistico: è possibile ricevere un premio in denaro da un’associazione che neanche conosco?
- Non andate troppo in fretta, alcuni attacchi di ingegneria sociale cercano di trarvi in inganno, non dandovi il tempo di razionalizzare e determinare se la situazione sia realistica. Controllatele email e gli altri messaggi ricevuti, alla ricerca di un dettaglio fuori posto o di un’anomalia (un refuso o un errore ortografico di troppo deve far suonare un “campanello d’allarme”).
- Non aprite link sospetti: controllate gli estratti conto e i documenti accedendo dai siti ufficiali e non da link.
- Rimuovete il più possibile la vostra traccia digitale: quella serie di dati memorizzati derivanti da tutte le vostre attività online. Condividere eccessivamente le proprie informazioni online, come sui social media, può dare manforte agli hacker che avranno molte informazioni che potranno utilizzare per trarvi in inganno.
Ricordatevi che il social engineering, come nel caso di fishing, trova fondamento nella profilazione (molti attacchi di ingegneria sociale cercano di acquistare credibilità facendo riferimento ad eventi recenti che potreste avere condiviso sui social).
- Attenzione ai siti internet e alle proposte commerciali a tempo: sono stati ben 1.633 i siti web sospetti rilevati all’avvicinarsi dell’Amazon Prime Day.
- Gli utenti che sono molto attivi sui social hanno più possibilità di essere presi di mira per via delle tante informazioni in rete: gli utenti di LinkedIn rappresentano il 52% delle truffe di phishing in tutto il mondo, con un aumento del 44% rispetto al trimestre precedente.
- Nel caso di messaggi (mail, SMS, WhatsApp, ecc.) da fonti non attendibili:
1- Chiudere immediatamente il messaggio;
2- Non scaricare gli allegati contenuti;
3- Avvisare il personale informatico.
CASSAZIONE CIVILE, SEZ. III, 23 MARZO 2024, N. 7909
La misurazione della performance aziendale richiede l'uso combinato di indicatori economici e non monetari per una visione completa.
