È innegabile, ormai riceviamo un sacco di email spazzatura e più o meno tutti i provider di servizi email integrano soluzioni per ridurre al massimo le email indesiderate. Nel tempo si sono susseguite varie tipologie di email che tentavano in qualche modo di estorcerci informazioni personali per finalità a volte nemmeno immaginabili per l’utente medio.
Occupandomi di sicurezza da un po’ non mi è difficile ricordare frasi come: “Cosa vuoi che possano rubarmi, con l’accesso alla mia web mail”, “Mah no, quelle cose lì succedono solo alle grandi aziende” o “Io sono attento, mi accorgo subito delle truffe online!”. Devo dire che rimango sempre sorpreso da come invece, nella realtà, quel tipo di attacchi mirati che fanno leva sui nostri comportamenti stia sempre più diventando un fenomeno frequente.
Oggi ho ricevuto un email che è ha penetrato alcune delle nostre protezioni e ha raggiunto la mia casella di posta.
Il mittente come si vede non è un indirizzo del nostro dominio, anche se parla di Office 365 Protection, ed effettivamente noi abbiamo Office 365 in azienda, indica il mio indirizzo email, e mi comunica che oggi il mio accesso scade. Facendo leva su due comportamenti umani semplici, la paura e la curiosità, è poi ben evidenziato in rosso un tasto contenente un link.
Quanti utenti inconsapevoli avrebbero cliccato sul tasto rosso? Cosa sarebbe successo se uno di loro avesse cliccato sul link?
Nello specifico, cliccando sul link, si viene dirottati ad una pagina identica a quella del login di Office 365 ma con la piccola differenza che le credenziali inserite non vengono inoltrate ai server Microsoft!
Come ci proteggiamo in GPV? I nostri sistemi bloccano l’indirizzo sospetto e chiunque, con un dispositivo aziendale, non può accedere alla pagina fasulla, inoltre avendo implementato l’autenticazione a più fattori (MFA) non sarebbe possibile avere l’accesso ai nostri sistemi anche se in possesso di username e password. Ma possiamo fare affidamento solo sui sistemi di protezione?
Non è fantascientifico immaginare che dietro alle credenziali vi sia un vero business da milioni di Euro e, guardando le statistiche, il punto debole dei sistemi di sicurezza è rappresentato dal comportamento umano.
Alcuni dati sono allarmanti, il 6% degli utenti utilizza la medesima password per tutti gli account (https://www.statista.com/statistics/763091/us-use-of-same-online-passwords/), 81% è la percentuale delle violazioni rese più semplici a causa di password deboli/rubate (Report delle indagini sulla violazione dei dati, Verizon 2017).
Circa 1 persona su 5 usa costantemente password vulnerabili o condivise.
Una password rubata consente magari l’accesso alla sola casella di posta, ma leggendone il contenuto potrebbero essere ricavate altre informazioni o ancor peggio potrebbero essere perpetrati altri attacchi maggiormente mirati e soprattutto meno identificabili dai sistemi di protezione.
Non esiste quindi un’unica soluzione tecnologica che garantisca protezione a 360° ma esiste un mix di strumenti tecnologici che devono essere affiancati a procedure specifiche e alla formazione degli addetti per rendere veramente sicuro l’ambiente di lavoro informatico.
Protezione per noi vuol dire questo: un sistema completo che analizzi le email, gli eventuali link contenuti ma che nel contempo, quando si verifica una violazione, consenta la formazione costante degli addetti; un sistema che ci semplifichi la vita senza obbligarci a ricordare password diverse e complesse aggiungendo invece altri parametri di accesso, anche biometrici, e che ci consenta di controllare e autorizzare ogni accesso. Un sistema che preveda procedure che implementino controlli su altri canali delle informazioni ricevute via email.