10 regole sui criminali informatici
Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.
Alcune premesse
Sono numerose, e assai differenti tra loro, le strategie che comunemente utilizzano i criminali informatici per cercare d'ingannare gli utenti in rete, esperti o inesperti che siano.
Uno dei sistemi più evoluti consente, ad esempio, a siti web criminali o fraudolenti di apparire ben visibili nel motore di ricerca Google e nei suoi risultati, rendendo quindi ancora più potente la loro azione d’inganno: come comprensibile, l’ufficialità e la notorietà di Google generano fiducia nell’utente.
È una operazione che gli esperti definiscono di black marketing, molto aggressiva e basata su una tecnica di injection: tutti i siti web controllati da un sito criminale principale effettuano costantemente un'attività di spam molto aggressiva e invasiva inserendo di nascosto il proprio URL all’interno di siti legittimi che, così, ne aumentano la reputazione online (ingannando Google circa la loro affidabilità).
Come si nota, in questo caso si cerca di carpire la fiducia di una persona passando "attraverso" la reputazione di canali (o brand ufficiali) con cui l’utente è abituato a interagire e, in un certo senso, convincerlo a fidarsi delle informazioni che riceve da quelle fonti.
Lo stesso, se ci pensiamo, avviene con il phishing, che spesso appare provenire da aziende, banche, assicurazioni o enti ufficiali, e ciò proprio per cercare di alimentare fiducia in chi ha ricevuto la e-mail o il messaggio.
Tre sono, in particolare, le strategie utilizzate dai criminali negli attacchi di phishing.
La prima consiste nel domandare direttamente una risposta all’utente contenente dati, confidando che l'utente fornisca così informazioni utili inserendole senza problemi nel corpo e nel testo della e-mail di risposta.
La seconda consiste nel mandare un link che, una volta cliccato, porta a un sito gemello identico a un sito ufficiale, con la stessa grafica e che domanda le nostre credenziali di accesso.
La terza è l’invio di un allegato da aprire che contiene del malware che, in questo modo, viene attivato dall’utente.
Simili strategie non vengono attuate solo per e-mail ma anche per messaggio, con note vocali o vere e proprie telefonate (ad esempio quando il criminale vuole aggirare un'app di home banking).
DIECI regole per comprendere meglio questi temi
- Diffidare anche di mittenti istituzionali, ossia di e-mail provenienti da Procure, Agenzia delle Entrate, Equitalia e simili.
- Non rispondere mai a richieste di credenziali.
- Non rispondere a chi mette fretta o minaccia conseguenze negative nel caso non dovessimo agire come richiesto. Sono tutte tecniche di condizonamento psicologico.
- Verificare con cura anche i siti che sono esito di ricerche effettuate con Google.
- Ricordarsi che è molto semplice creare un sito gemello uguale in tutto e per tutto al sito di una banca o di un ente pubblico, metterlo in linea e confidare in un mancato controllo del link da parte dell'utente per rubare, così, dati e credenziali.
- Non esporre la propria e-mail di lavoro in contesti non correlati all’ambito lavorativo, per evitare che sia oggetto di spam o, soprattutto, di phishing.
- Prestare grande cura a qualsiasi tipo di allegato, e attivare sempre un antivirus: i più moderni sono in grado di individuare anche i ransomware più diffusi.
- Diffidare anche di SMS che invitino a fare qualcosa anche se apparentemente provenienti dal numero abituale della nostra banca.
- Tutti i dipendenti dovrebbero essere formati contro i più comuni tipi di truffa.
- Si possono effettuare simulazioni di attacchi e di frodi ai dipendenti per valutare le loro vulnerabilità.