Un vademecum degli errori più banali commessi dalle vittime di phishing ricorda che non bisogna mai fidarsi.
Autore: Redazione SecurityOpenLab
Fidarsi delle email provenienti da sconosciuti, delle comunicazioni relative vincite straordinarie o pagamenti urgenti, chiudere un occhio sugli errori ortografici, scaricare allegati sono fra i cinque errori che agevolano il successo di un attacco di phishing. A stilare questa Top 5 è HWG, i cui esperti impegnati nel supporto e consulenza per organizzazioni di grandi e medie dimensioni rilevano spesso errori comuni e grossolani facilmente evitabili.
Gli attacchi sferrati via email sono un grande classico del cybercrime e dello spionaggio, e alcuni tipi di attacco sono talmente sofisticati che anche un esperto può essere facilmente tratto in inganno. Ma con l’avvento delle piattaforme as-a-Service moltissime campagne sono simili e piuttosto facili da individuare per chi segue frequenti corsi di formazione aziendale mirati alla prevenzione.
In realtà non ci sono molte regole da imparare per sapersi difendere. Anzi, si potrebbe ricondurre tutto a una sola regola: mai fidarsi, verificare sempre. Certo, è il principio fondante dello Zero Trust, ma è anche una regola di cyber hygiene che può evitare con successo moltissimi problemi. Prendendo ad esempio i casi più diffusi di phishing e analizzando perché hanno avuto successo, si arriva sempre alla conclusione che la vittima ha malriposto la sua fiducia.
Fiducia nelle comunicazioni ricevute da mittenti sconosciuti che utilizzano indirizzi generici: il denominatore comune delle email di phishing è che arrivano da indirizzi che all’apparenza si conoscono ma in realtà il mittente non è colui che afferma di essere. E a parte sofisticati casi, questo è verificabile. Basta leggere bene l’indirizzo del mittente per scoprire una lettera o un numero nel posto sbagliato, o un dominio diverso da quello abituale e corretto. Questo, unito alla consapevolezza che l’erario, le Forze dell’Ordine, il Sistema Sanitario o altro non comunicano notizie importanti con i singoli cittadini via semplice email.
L’altro problema di fiducia riguarda il contenuto: se in qualche modo instilla urgenza o prospetta qualcosa di estremamente grave o, all’opposto, di estremamente bello, dovrebbe venire almeno il dubbio che qualcosa non torni. Tasse non pagate, reati commessi, vincite milionarie e affini, che richiedono una interazione immediata del destinatario non sono mai veritieri.
Ancora, la richiesta di fornire o verificare informazioni personali, username o password deve mettere in allarme il destinatario di una email. Non è illecito che si verifichi davvero, ma è altamente probabile che il link proposto per farlo sia malevolo. La soluzione è semplice: ancora una volta, non fidarsi. Se per esempio è Amazon a chiedere la verifica, basta mettere da parte la email, aprire una nuova tab nel browser e collegarsi al sito di ecommerce digitando l’indirizzo da zero. Nella propria area utente non sarà un problema condurre tutte le verifiche del caso, ammesso che la richiesta non fosse farlocca.
Sul fronte degli errori ortografici, sono sempre meno le campagne in cui si ritrovano. Perché i traduttori con AI sono un po’ più sofisticati di quelli di un tempo, perché risorse come ChatGPT aiutano a scrivere testi di qualità migliore. Ma resta il fatto che se si riscontra una sgrammaticatura in una email della banca (per esempio), meglio non darle seguito.
C’è poi il capitolo degli allegati. Se sono importanti, se sono forieri di forte preoccupazione, o di notizie uniche e inedite, la probabilità che siano infettati da malware è alta. Meglio quindi controllare bene l’indirizzo del mittente, e se restano dubbi meglio rispolverare il claim di una vecchia reclame: una telefonata ti salva la vita.
Tutte queste informazioni si apprendono facilmente in un corso ben fatto sulla cyber security e la prevenzione del phishing. Dove non arriva la prudenza, è necessaria la tecnologia. HWG ricorda l’importanza dell’autenticazione a più fattori, di un buon software per la email security e di soluzioni di backup che in caso di guai permettano il recupero dei dati.