Un breve cenno storico. All’inizio il phishing utilizzava delle email scritte in un inglese approssimativo; successivamente, queste erano scritte in un italiano piuttosto denso di errori; poi è migliorata la grammatica italiana, ma il sito di provenienza tradiva la trappola: ciò ha insegnato a tutti che quello che è importante capire è se quel messaggio proviene effettivamente da chi dice di essere. Alle email si sono aggiunti i messaggi SMS. Più recentemente il mittente della email viene camuffato con l’indirizzo corretto, e quindi bisogna controllare la eventuale segnalazione che la email proviene dall’esterno; comunque, bisogna guardare con estrema criticità specialmente quei messaggi che chiedono di digitare delle credenziali di accesso ad un’area – per esempio del proprio conto corrente bancario – e/o che chiedono di aprire un allegato: questo sembra sia un file PDF, ma invece può essere un programma eseguibile. Ed il virus entra nel computer, se non viene riconosciuto dai sistemi di difesa. Oggi, per fortuna, ci sono molti software e sistemi (es.: SIEM, SOAR, NGFW, ecc.) che aiutano a bloccare possibili eventi anomali. Servono competenze e conoscenze non indifferenti, e investimenti anche non indifferenti.
Ora, grazie alla AI, gli attacchi diventano più sofisticati; infatti, al telefono arriva la voce camuffata perfettamente di una persona conosciuta!
Se non si è preparati a farvi fronte, le conseguenze possono essere assai serie. In queste settimane è giunta notizia di crimini compiuti contro privati cittadini con questo metodo (secondo il Gazzettino.it, La Federal Trade Commission degli Stati Uniti ha stimato che nel 2022 le perdite derivanti da queste attività illecite hanno raggiunto i 2,6 miliardi di dollari).
Mi viene in mente un episodio accadutomi quando tenevo delle conversazioni sulla information security al personale di una Regione. Una mattina, un funzionario entrò in aula estremamente soddisfatto esclamando: “ho scoperto un attacco di phishing!”. E raccontò.
Gli era arrivata una email dalla sua dirigente: l’indirizzo email era proprio quello della Regione e della sua dirigente, il testo era molto sintetico perché chiedeva di leggere il documento allegato e fornire un parere. Il funzionario si è soffermato sul fatto che questa volta la sua dirigente aveva firmato con nome e cognome la email, cosa che non aveva mai fatto in precedenza; spesso firmava solo con una sigla. A questo punto, invece di aprire l’allegato, ha chiamato la dirigente e le ha chiesto conferma della email. La dirigente ha negato di avere spedito quella email! (successivi controlli hanno evidenziato che la email proveniva effettivamente da un IP esterno alla Regione). Facendo così il funzionario aveva evitato quasi sicuramente l’inizio di un attacco di ransomware alla Regione!
Con AI la situazione si è complicata. Sappiamo oramai che sono disponibili dei prodotti che consentono di clonare una voce. Basta registrare la voce di una persona, sottoporla all’applicazione, sottomettere un testo e farlo leggere dalla voce clonata.
Come difendersi? Bisogna quindi capire, da quello che dice e chiede l’interlocutore al telefono, se la persona è effettivamente quella che dice di essere, oppure è una voce clonata. Facile a dirsi, ma più complicata l’attuazione.
Questa volta il nostro funzionario che cosa può fare? Mettiamoci nei suoi panni.
Quasi sicuramente ascolterebbe ed analizzerebbe la richiesta e, qualora gli dovesse sorgere qualche dubbio, porrebbe delle domande per accertare che l’interlocutore sia effettivamente chi dice di essere. Oppure, invierebbe una email di conferma di ricezione della richiesta ricevuta, prima di eseguirla. Credo che diversi lettori a questo punto abbiano storto il naso e abbiamo commentato fra sè e sè: facile a dirsi, ma se al telefono è il “big boss”, come mi comporto?
Bisogna essere preparati: ci vuole una opportuna e diffusa cultura dei rischi ed organizzativa.
La vita del security manager (dove c’è) è sempre più complicata.
CW
Post Scriptum.
Leggendo questo mio articolo, un socio ANSSAIF, mi ha scritto: <<nella pubblica amministrazione periferica e nelle piccole e medie imprese, che non sono in grado di gestire una struttura adeguata di difesa, è necessaria un’opera di diffusione della cultura specifica attraverso interventi che possono essere promossi a livello alto dalle associazioni di categoria, ma che vanno poi diffusi a basso livello attraverso interventi che si insinuino nella coscienza civica del singolo. Più o meno, quello che abbiamo fatto e stiamo facendo noi, nel nostro piccolo.>>.
Mi sembra una giusta chiusura per questo articolo indirizzato soprattutto alle tante piccole realtà produttive italiane.
CW
