Contro truffe e phishing serve una vera cultura della sicurezza

di Francesco Pagano, Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale

Il fenomeno delle truffe online e del furto di identità su Internet sta crescendo in maniera esponenziale. Secondo i dati diffusi dall’Interpol lo scorso agosto, il boom di attacchi informatici è coinciso con la pandemia da Covid-19 e segna, in particolare, un aumento nell’uso delle tecniche phishing.

Il phishing è una tipologia di attacco estremamente subdola e che sfrutta comunicazioni via e-mail (ma anche su social network e piattaforme di chat) per attirare le vittime su siti malevoli o progettati per rubare le credenziali di accesso ai servizi Web. La strategia dei cyber criminali prevede l’uso di messaggi di posta elettronica “confezionati” in modo da sembrare perfettamente legittimi, in cui gli hacker impersonano aziende, organizzazioni o istituti bancari.

Il messaggio, spesso realizzato in maniera estremamente convincente, ha l’obiettivo di indurre il destinatario a fare click sul collegamento che lo dirotta sulla pagina controllata dai pirati. Per centrare l‘obiettivo, i truffatori utilizzano tecniche di ingegneria sociale, cioè stratagemmi che fanno leva sullo stato d’animo della potenziale vittima. Di solito queste strategie sfruttano due diversi fattori: l’entusiasmo e la paura.

Nel primo caso vengono utilizzati messaggi che promettono regali, premi od offerte speciali dedicate al destinatario del messaggio. Nel secondo, le e-mail prospettano invece il rischio di dover pagare multe o fanno riferimento a richieste di pagamento, fatture o scadenze ineludibili.

L’obiettivo è lo stesso: provocare una reazione nella vittima che la induca ad agire impulsivamente e fare click sul collegamento.

In alcuni casi, questo porta a una pagina Web che contiene malware, in altri a un sito che a prima vista appare essere quello dell’azienda od organizzazione impersonata dai pirati informatici. In questo secondo caso, l’obiettivo dei cyber criminali è quello di indurre la loro vittima a inserire le credenziali di accesso al servizio (per esempio quelle del servizio di home banking online) per potergliele rubare.

Non è nulla di nuovo Chi utilizza abitualmente servizi online ha ormai imparato a riconoscere (ed evitare) questo tipo di attacchi. La pandemia da Covid-19, però, ha inciso sul fenomeno in due modi. Da un lato ha messo a disposizione dei pirati informatici un tema, quello del coronavirus, particolarmente adatto a suscitare paura o allarme in chi riceve i messaggi. Dall’altro, il lockdown di primavera e le restrizioni ai movimenti in questa seconda ondata hanno portato molte persone a utilizzare per la prima volta gli strumenti digitali o a intensificarne l’uso rispetto al passato.

Il risultato è che i cyber criminali possono adesso raggiungere una platea di potenziali vittime estremamente vulnerabili, che non hanno la malizia per riconoscere i messaggi sospetti e poca esperienza nell’utilizzo di Internet. Gli strumenti di protezione come firewall e software antivirus possono aiutare ad arginare il fenomeno, ma non possono garantire una protezione assoluta da questo tipo di attacchi, che spesso non usano codice malevolo ma soltanto stratagemmi che puntano a ingannare gli ignari utenti.

Ciò di cui abbiamo disperatamente bisogno è piuttosto un processo di alfabetizzazione rivolto a tutta la popolazione, che consenta di acquisire quelle capacità critiche indispensabili per disinnescare gli attacchi dei pirati informatici. Qualcosa che, probabilmente, accadrà in maniera naturale in seguito all’impennata nella digitalizzazione che stiamo attraversando, ma che senza un intervento che punti alla creazione di una reale “cultura della sicurezza” rischia di essere troppo lenta e lasciare una quantità incredibile di macerie (digitali) sulla sua strada.