Nella prima puntata ho raccontato la frode a mezzo phishing, in cui – tanto per cambiare – i poveri correntisti non si sono visti tutelati, per la loro credulità. Ora vedremo qualche dato e cosa è emerso dal test che abbiamo fatto internamente a Imola Informatica.
Un po’ di numeri
Analizzando i dati sul phishing è facile rendersi conto di quanto il fenomeno sia costantemente in crescita.
- Già nel 2019 a livello globale, Google bloccava circa 100 milioni di email di phishing ogni singolo giorno.¹
- Si stima che nel 2021 quasi la metà (45,56%) di tutte le email inviate siano stati tentativi di phishing.
- Per fortuna una volta tanto l’Italia non è in cima alla lista nera come paese di provenienza del phishing: ad oggi vincono Russia (24,77%), Germania (14,12%), USA (10,46%), Cina (8,73%) e Olanda (4,75%).
- Secondo Kaspersky², ad inizio 2021 l’89,60% degli attacchi di phishing è avvenuto in circa 6 mesi attraverso Whatsapp. In ordine di rischio la seconda app social più utilizzata è Telegram, ma con una percentuale del 5,6%.
In generale tra il marzo 2020 e il marzo 2022 si è calcolato un incremento del 57% delle frodi attraverso il phishing per utenti finali e grande distribuzione.
Qualche aspetto sociale
Un dato interessante riguarda le vittime. Il fenomeno è relativamente nuovo, almeno sui livelli di scala a cui stiamo assistendo oggi . Ci si potrebbe quindi aspettare che le nuove generazioni siano più digitalmente smaliziate, più pronte a comprendere e quindi a proteggersi da questo fenomeno. Invece è l’esatto contrario. Gli appartenenti alla Z-Generation (nati tra il 1997 e il 2012) assieme ai Millennial (1981 – 1996) cadono vittima di phishing più frequentemente della Generazione X (1965 – 1980): più si è giovani, più si abbocca all’amo! A parte l’orgoglio di appartenere alla generazione più consapevole (almeno da questo punto di vista), la considerazione è che stiamo assistendo ad un fenomeno in costante crescita, di rapida diffusione. E purtroppo a un contemporaneo approccio meno attento ai potenziali rischi che la tecnologia mette a disposizione.
A complicare il tutto si sta diffondendo la moda del Phishing Kit. In pratica è una raccolta di file caricati su un sito che al suo interno ha un codice in grado di sottrarre dati ed informazioni degli utenti che si collegano. La diffusione è legata al fenomeno che WIRED³ definisce “democratizzazione dell’attacco”. In sintesi, anche se non si è un super esperto o un geek occhialuto e con la testa piantata davanti al monitor, chiunque con poca spesa può acquistare questi kit. Un kit di attacco praticamente alla portata di tutti.
Ma oltre la democratizzazione dell’attacco c’è recentemente un trend più dal punto di vista sociologico: una maggiore astuzia da parte degli attaccanti. Il phishing è diventato più sofisticato. Le email in cui sono presenti frasi sconnesse e sgrammaticate, in un italiano palesemente tradotto da sistemi automatici. Gli attaccanti studiano la fonte che vogliono simulare e riescono a rendere gli attacchi più difficili da identificare. Ma ancora non basta. Oltre a questo accresciuto livello di sofisticazione, c’è anche una maggiore capacità di sfruttare gli eventi e la umana propensione al protagonismo.
A settembre 2022 muore la regina Elisabetta II. La notizia è per diverso tempo al centro delle cronache e in tutte le testate online. E qualcuno coglie l’occasione: da un account Microsoft fasullo partono centinaia di migliaia di email che una “interactive memory board in honour of Her Majesty Elizabeth II” in cui raccogliere ricordi e tributi in onore della defunta sovrana. Ovviamente il link presente nella email re-indirizza altrove, e fa incappare nel più classico degli attacchi di man-in-the-middle. Un attacco capace oltretutto di aggirare la Multi Factor Authentication degli account dei malcapitati, se pur devoti sudditi di Sua Maestà.
Parliamo quindi di fenomeno in crescita e costante diffusione. Rischi elevati. Costi altrettanto rilevanti. Nessuno è esente… La cura?
Beh, come recita un vecchio detto, “prevenire è meglio che curare”. E la prevenzione parte da un punto fermo: essere consapevoli del rischio.
Test interno: una lezione per tutti
Già lo scorso anno in un Lunch&Learn interno a Imola Informatica, assieme ad Alessandro Proscia, abbiamo riportato i risultati di un test condotto nella nostra azienda: un vero e proprio attacco di phishing a danno dei nostri stessi colleghi. Il risultato è stato interessante.
Nell’arco di qualche decina di minuti dall’attacco, già qualche collega lo riconosce come tale e fa scattare l’allarme all’interno della azienda. Tutto sommato solo pochi disattenti colleghi sono finiti nelle maglie della rete che avevamo intessuto. Purtroppo, però c’è stato anche qualche caso di colleghi meno attenti, che hanno trascurato gli avvisi gridati a gran voce e persino a distanza di diverse ore sono caduti nel tranello.
Il test realizzato ci è servito sia per verificare il livello di attenzione aziendale sul tema, ma anche per veicolare un po’ di consapevolezza, cominciando proprio dalle molteplici definizioni e tipologie di phishing già introdotte nella prima parte di questo articolo.
Oltretutto la statistica dell’esito del nostro test di attacco è perfettamente in linea con le indicazioni sull’età delle vittime: più si è giovani e meno si è attenti.
Quindi ancora una volta confermo quanto noi di Imola Informatica ripetiamo da sempre ai nostri clienti: un buon tool a prevenzione è certamente valido, e per fortuna ci sono tante ottime soluzioni sul mercato. È assolutamente utile che ogni azienda se ne doti e che lo tenga sempre perfettamente funzionante e aggiornato. Ma un tool, per quanto buono sia, non è sufficiente.
Non esiste strumento tecnologico al mondo che possa superare la consapevolezza di chi apre una email, legge un sms o un messaggio promozionale su qualche canale social.
La formazione dei propri dipendenti sulle tematiche di sicurezza è fondamentale, magari corredandole con prove e simulazioni, così da rendere maggiormente tangibile la facilità con cui queste illecite attività avvengono.
La recente diffusione e popolarità dei sistemi di intelligenza artificiale riusciranno un giorno a scremare e filtrare in maniera sempre più accurata i messaggi che ci arrivano. Chissà…
Fino ad allora, solo attaccando la spina a quella meraviglia che è il nostro cervello riusciremo sicuramente a essere più performanti nel capire se qualcuno sta attentando ai nostri dati. Altrimenti, in casi analoghi ai poveri correntisti truffati, l’unica speranza potrebbe essere quella di appellarsi a una possibile riedizione dell’art. 643 del Codice Penale che introduca il reato di “circonvenzione di disinformato”.