domenica 12 febbraio 2017

“I link sconosciuti non vanno aperti, ci frega la curiosità”

La Stampa
carola frediani

L’esperimento della ricercatrice tedesca

La frontiera cybercriminale ha già inventato sistemi di malware (software dannosi) come servizio in cui gang specializzate vendono o affittano infrastrutture e kit di attacco ad altri. Ma Fake Game è probabilmente la prima piattaforma che permette di imbastire un attacco di phishing (truffa attraverso cui malintenzionati si fingono enti affidabili convincendo le vittime a fornire loro informazioni personali, dati finanziari o codici di accesso) appoggiandosi a un servizio esterno.

La Stampa l’ha provata: si può imitare una pagina di login di Gmail, Facebook e altri siti. Iscrizione è gratuita, le funzioni extra a pagamento. A limitare la diffusione di questo servizio, per ora, è solo il fatto che sia in russo e orientato soprattutto a quell’area geografica. «Oltre a Fake Game nascono piattaforme simili di tanto in tanto, ma poi chiudono velocemente, anche perché chi svolge questa attività di professione preferisce progettarsi tutto in casa», commenta Andrea Draghetti, ricercatore di D3Lab, società che offre servizi per il rilevamento e il contrasto al phishing. Il problema è che con questo tipo di attacco ci si scontra con il «fattore umano».

Zinaida Benenson, ricercatrice dell’università tedesca di Erlangen-Nuremberg, ha sottoposto a un test 1600 suoi studenti, inviando loro un messaggio (via mail o Facebook) che arrivava in realtà da una persona inesistente e che diceva di avere le foto di una festa, da vedere via link. Poi, ha registrato i clic.

Quando il messaggio si rivolgeva al destinatario usando il suo nome, il 56% di chi aveva ricevuto l’email e il 38% di chi era stato raggiunto via Facebook cliccava. E questo malgrado ben il 78% avesse consapevolezza del fatto che seguire un collegamento sbagliato potesse portare a conseguenze negative. La ragione principale dietro a quei clic, successivamente addotta dai giovani dell’esperimento, è molto banale: la curiosità.

Benenson è piuttosto scettica sul fatto che i consigli di sicurezza informatica possano incidere sui comportamenti. «Anche perché è facile dire: non cliccate su link e allegati. Ma che impatto ha questo monito sulla vita lavorativa delle persone? Specie chi deve gestire flussi di fatture, ricevute e via dicendo che arrivano via mail?», di domanda Benenson.

Negli ultimi tempi sono cresciute le realtà - come PhishMe, Phisd o Wombat - che offrono delle simulazioni di phishing alle aziende, in modo da testare il livello di consapevolezza dei propri dipendenti. In Italia c’è ancora un po’ di ritrosia su questo genere di analisi proattiva. «Al momento le aziende hanno ancora timori al riguardo, anche perché non sanno bene come gestire eventuali dubbi o ricadute sulla privacy», commenta Denis Frati, Ceo di D3Lab. Alla Carel, azienda manifatturiera di Padova, hanno messo in piedi un gruppo dedicato alle frodi informatiche.

Hanno mappato i processi di lavoro, i flussi delle mail e tutti i domini del gruppo, individuando le criticità. Hanno migliorato i sistemi di sicurezza interni, ad esempio fornendo ai dipendenti con ruoli più esposti chiavette per fare l’autenticazione a due fattori (un po’ come quelle che danno le banche). E infine hanno iniziato una serie di attività di formazione interna, comprese simulazioni di attacchi phishing per analizzare le reazioni del personale.